Jak globalna branża oprogramowania szpiegowskiego wymknęła się spod kontroli

Rynek komercyjnego oprogramowania szpiegującego - które pozwala rządom na inwigilację telefonów komórkowych i gromadzenie danych - kwitnie. Nawet rząd Stanów Zjednoczonych je używa.

Administracja Bidena zajęła w zeszłym roku publiczne stanowisko przeciwko nadużywaniu oprogramowania szpiegowskiego do atakowania działaczy na rzecz praw człowieka, dysydentów i dziennikarzy: Wpisała na czarną listę najbardziej znanego producenta narzędzi hakerskich, izraelską firmę NSO Group.

Ale globalny przemysł komercyjnego oprogramowania szpiegowskiego - które pozwala rządom na inwigilację telefonów komórkowych i gromadzenie danych - nadal się rozwija. Nawet rząd USA używa go.

Agencja ds. Walki z Narkotykami (D.E.A.) potajemnie wykorzystuje oprogramowanie szpiegowskie innej izraelskiej firmy, według pięciu osób zaznajomionych z działaniami agencji, w pierwszym potwierdzonym przypadku użycia komercyjnego oprogramowania szpiegowskiego przez rząd federalny.

W tym samym czasie, wykorzystanie oprogramowania szpiegowskiego nadal rozprzestrzenia się na całym świecie, a nowe firmy - zatrudniające byłych weteranów izraelskiego cyberwywiadu, z których niektórzy pracowali dla NSO - wkraczają, aby wypełnić pustkę pozostawioną przez czarną listę. Dzięki tej nowej generacji firm, technologia, która kiedyś była w rękach niewielkiej liczby narodów, jest teraz wszechobecna - przekształcając krajobraz rządowego szpiegostwa.

Jedna z firm, sprzedająca narzędzie hakerskie o nazwie Predator i prowadzona przez byłego izraelskiego generała z biura w Grecji, jest w centrum politycznego skandalu w Atenach, dotyczącego wykorzystania oprogramowania szpiegującego przeciwko politykom i dziennikarzom.

Po pytaniach The New York Times, grecki rząd przyznał, że dał firmie, Intellexa, licencje na sprzedaż Predatora do co najmniej jednego kraju z historią represji, Madagaskaru. The Times pozyskał również propozycję biznesową, jaką Intellexa złożyła, by sprzedać swoje produkty Ukrainie, która odrzuciła sprzedaż.

Stwierdzono, że Predator był używany w kolejnych tuzinach krajów od 2021 roku, co ilustruje ciągły popyt wśród rządów i brak solidnych międzynarodowych wysiłków na rzecz ograniczenia stosowania takich narzędzi.

Śledztwo The Times opiera się na badaniu tysięcy stron dokumentów - w tym zapieczętowanych dokumentów sądowych na Cyprze, tajnych zeznań parlamentarnych w Grecji i tajnego dochodzenia izraelskiej żandarmerii wojskowej - a także na wywiadach z ponad dwoma tuzinami urzędników rządowych i sądowych, agentów organów ścigania, dyrektorów przedsiębiorstw i ofiar hakingu w pięciu krajach.

Najbardziej wyrafinowane narzędzia szpiegowskie - takie jak Pegasus firmy NSO - posiadają technologię "zero kliknięć", co oznacza, że mogą ukradkiem i zdalnie wydobyć wszystko z telefonu komórkowego celu, bez konieczności klikania przez użytkownika na złośliwy link, aby dać Pegasusowi zdalny dostęp. Mogą również przekształcić telefon komórkowy w urządzenie śledzące i potajemnie nagrywające, pozwalając na szpiegowanie jego właściciela. Ale narzędzia hakerskie bez możliwości zerowego kliknięcia, które są znacznie tańsze, również mają znaczący rynek.

Komercyjne oprogramowanie szpiegowskie było wykorzystywane przez służby wywiadowcze i policję do hakowania telefonów używanych przez sieci narkotykowe i grupy terrorystyczne. Ale było również nadużywane przez liczne reżimy autorytarne i demokracje do szpiegowania przeciwników politycznych i dziennikarzy. Doprowadziło to rządy do czasami wymuszonego uzasadnienia ich użycia - w tym wyłaniającego się stanowiska Białego Domu, że uzasadnienie użycia tej potężnej broni zależy częściowo od tego, kto jej używa i przeciwko komu.

Administracja Bidena próbuje narzucić pewien stopień porządku globalnemu chaosowi, ale w tym środowisku Stany Zjednoczone odegrały rolę zarówno podpalacza, jak i strażaka. Oprócz wykorzystania przez D.E.A. oprogramowania szpiegowskiego - w tym przypadku narzędzia o nazwie Graphite, wyprodukowanego przez izraelską firmę Paragon - C.I.A. w czasie administracji Trumpa zakupiło Pegasusa dla rządu Dżibuti, który używał narzędzia hakerskiego przez co najmniej rok. I urzędnicy F.B.I. naciskali pod koniec 2020 roku i w pierwszej połowie 2021 roku, aby wdrożyć Pegasusa w swoich własnych dochodzeniach kryminalnych, zanim biuro ostatecznie porzuciło ten pomysł.

W oświadczeniu dla The Times, Agencja ds. Walki z Narkotykami powiedziała, że "mężczyźni i kobiety z D.E.A. używają każdego legalnego narzędzia śledczego dostępnego do ścigania zagranicznych karteli i osób działających na całym świecie, odpowiedzialnych za zatrucie narkotykami 107,622 Amerykanów w zeszłym roku."

Steven Feldstein, ekspert z Carnegie Endowment for International Peace w Waszyngtonie, udokumentował stosowanie oprogramowania szpiegowskiego przez co najmniej 73 kraje.

"Kary przeciwko NSO i jemu podobnym są ważne", powiedział. "Ale w rzeczywistości inni dostawcy wkraczają do akcji. I nic nie wskazuje na to, aby miało się to skończyć".

Podpalacz i strażak

Przez ponad dekadę NSO sprzedawało Pegasusa służbom szpiegowskim i organom ścigania na całym świecie. Rząd Izraela wymagał od firmy uzyskania licencji przed wyeksportowaniem jej oprogramowania szpiegowskiego do konkretnej agencji egzekwowania prawa lub wywiadu.

Dzięki temu rząd izraelski mógł uzyskać dyplomatyczny wpływ na kraje chętne do zakupu Pegasusa, takie jak Meksyk, Indie i Arabia Saudyjska. Jednak góra dowodów na nadużywanie Pegasusa pięła się w górę.

Administracja Bidena podjęła działania: Rok temu umieściła NSO i inną izraelską firmę, Candiru, na czarnej liście Departamentu Handlu - zakazując amerykańskim firmom prowadzenia interesów z firmami hakerskimi. W październiku Biały Dom ostrzegł przed niebezpieczeństwami związanymi z oprogramowaniem szpiegującym w swoim zarysie strategii bezpieczeństwa narodowego, który mówił, że administracja będzie walczyć z "bezprawnym użyciem technologii, w tym komercyjnego oprogramowania szpiegującego i technologii nadzoru, i będziemy stać przeciwko cyfrowemu autorytaryzmowi".

Administracja koordynuje dochodzenie w sprawie tego, jakie kraje używały Pegasusa lub innych narzędzi szpiegowskich przeciwko amerykańskim urzędnikom za granicą.

Kongres pracuje nad dwupartyjnym projektem ustawy zobowiązującej dyrektora narodowego wywiadu do przygotowania oceny zagrożeń kontrwywiadowczych dla Stanów Zjednoczonych, jakie stwarza zagraniczne komercyjne oprogramowanie szpiegowskie. Projekt ustawy dawałby również dyrektorowi wywiadu narodowego prawo do zakazania używania oprogramowania szpiegowskiego przez jakąkolwiek agencję wywiadowczą. Biały Dom pracuje nad rozporządzeniem wykonawczym zawierającym inne ograniczenia w stosowaniu oprogramowania szpiegowskiego.

Są jednak wyjątki. Biały Dom pozwala D.E.A. na dalsze używanie Graphite, narzędzia hakerskiego wyprodukowanego przez izraelską firmę Paragon, do swoich operacji przeciwko kartelom narkotykowym.

Wysoki rangą urzędnik Białego Domu, który mówił pod warunkiem zachowania anonimowości, powiedział, że przygotowywane rozporządzenie Białego Domu będzie dotyczyć oprogramowania szpiegującego (spyware), które stanowiło "zagrożenie dla kontrwywiadu i bezpieczeństwa" lub było niewłaściwie używane przez zagraniczne rządy. Jeśli takie dowody pojawią się przeciwko Paragonowi, według urzędnika, to Biały Dom oczekuje, że rząd rozwiąże kontrakt z firmą.

"Administracja jasno określiła, że nie będzie używać narzędzi śledczych, które zostały wykorzystane przez obce rządy lub osoby, aby atakować rząd Stanów Zjednoczonych i nasz personel, lub aby celować w społeczeństwo obywatelskie, tłumić dysydentów lub umożliwić łamanie praw człowieka" - powiedział urzędnik. "Oczekujemy, że wszystkie departamenty i agencje będą działać zgodnie z tą polityką".

Podobnie jak Pegasus, narzędzie NSO, oprogramowanie szpiegowskie Graphite może wtargnąć na telefon komórkowy swojego celu i wydobyć jego zawartość. Ale w przeciwieństwie do Pegasusa, który zbiera dane przechowywane wewnątrz samego telefonu, Graphite przede wszystkim zbiera dane z chmury, po wykonaniu kopii zapasowej danych z telefonu. To może utrudnić odkrycie włamania i kradzieży informacji, jak twierdzą eksperci od cyberbezpieczeństwa.

Urzędnik z D.E.A. powiedział, że Graphite był używany tylko poza Stanami Zjednoczonymi, do operacji agencji przeciwko handlarzom narkotyków. Agencja nie odpowiedziała na pytania, czy Graphite był używany przeciwko Amerykanom mieszkającym za granicą, ani na pytania o to, jak agencja traktowała informacje o obywatelach amerykańskich - wiadomości, kontakty telefoniczne lub inne informacje - które uzyskała podczas używania Graphite przeciwko swoim celom.

Urzędnicy D.E.A. spotkali się w 2014 roku z NSO w sprawie zakupu Pegasusa do swoich operacji, o spotkaniu tym informował wcześniej Vice News, ale agencja zdecydowała się nie kupować oprogramowania szpiegowskiego.

Sprzedaż Paragonu jest regulowana przez rząd Izraela, który zatwierdził sprzedaż Graphite do Stanów Zjednoczonych, według urzędnika znającego izraelskie umowy licencyjne dotyczące eksportu obronnego.

Firma została założona zaledwie trzy lata temu przez Ehuda Schneorsona, byłego dowódcę Jednostki 8200, izraelskiego odpowiednika Agencji Bezpieczeństwa Narodowego. Niewiele informacji o firmie jest dostępnych publicznie; nie posiada ona strony internetowej. Większość kierownictwa firmy to weterani izraelskiego wywiadu, niektórzy z nich pracowali dla NSO, według dwóch byłych oficerów Jednostki 8200 i wysokiego urzędnika izraelskiego.

Ehud Barak, były premier Izraela, zasiada w zarządzie firmy, a amerykańskie pieniądze pomagają finansować jej działalność. Battery Ventures, fundusz z Bostonu, wymienia Paragon jako jedną z firm, w które inwestuje. Przedstawiciel Paragonu odmówił komentarza.

Podczas gdy rząd USA jedną ręką kupuje i wdraża oprogramowanie szpiegujące produkcji izraelskiej, posunięcia administracji Bidena mające na celu ograniczenie komercyjnego przemysłu szpiegowskiego przy użyciu drugiej ręki spowodowały pogorszenie stosunków z Izraelem.

Izraelscy urzędnicy bezskutecznie zabiegali o usunięcie NSO i Candiru z czarnej listy Departamentu Handlu.

Amir Eshel, dyrektor generalny izraelskiego Ministerstwa Obrony, powiedział, że izraelscy urzędnicy starali się poznać stanowisko rządu USA w sprawie komercyjnego oprogramowania szpiegowskiego.

Pomimo tych wysiłków, pan Eshel powiedział, "wyżsi urzędnicy rządowi nie są gotowi odpowiedzieć nam, zająć się sprawą lub wyjaśnić swój punkt widzenia."

Posunięcie administracji Bidena polegające na wpisaniu na czarną listę NSO i Candiru miało skutki finansowe. Aby zapobiec wpisaniu na czarną listę innych firm, Ministerstwo Obrony Izraela nałożyło ostrzejsze ograniczenia na lokalny przemysł cyberbezpieczeństwa, w tym poprzez zmniejszenie liczby krajów, do których te firmy mogą potencjalnie sprzedawać swoje produkty do 37 z 110, według dwóch starszych izraelskich urzędników i kierownika izraelskiej firmy technologicznej. Z mniejszą liczbą krajów dostępnych jako potencjalni nabywcy, wiele izraelskich firm zajmujących się oprogramowaniem szpiegowskim, z których najbardziej znana jest NSO, poniosło poważne straty finansowe. Trzy inne zbankrutowały.

Ten nowy krajobraz stworzył innym nowe możliwości do wykorzystania.

Pojawia się drapieżnik

Tal Dilian tak właśnie zrobił.

Były generał izraelskiego wywiadu wojskowego, Tal Dilian został zmuszony do przejścia na emeryturę z Sił Obronnych Izraela w 2003 roku po tym, jak wewnętrzne dochodzenie wzbudziło podejrzenia, że był on zaangażowany w niewłaściwe zarządzanie funduszami, jak twierdzą trzy osoby, które były wysokimi rangą oficerami wywiadu wojskowego. W końcu przeniósł się na Cypr, wyspiarski kraj Unii Europejskiej, który w ostatnich latach stał się ulubionym miejscem dla firm inwigilacyjnych i ekspertów od cyberwywiadu.

W 2008 roku na Cyprze pan Dilian był współzałożycielem firmy Circles, która wykorzystywała udoskonaloną przez Izrael technologię szpiegowania znaną jako Signaling System 7. Sprzedał ją i założył inne firmy sprzedające produkty do inwigilacji. Szczycił się tym, że rekrutował najlepszych hakerów, w tym byłych ekspertów od oprogramowania szpiegującego z najbardziej elitarnej jednostki cyberwywiadu izraelskiej armii.

Pan Dilian nie odpowiedział na prośbę o wywiad ani na pisemne pytania skierowane do niego bezpośrednio oraz przez jego prawników na Cyprze i w Izraelu.

Przez kilka lat po sprzedaży Circles, Cypr był dobry dla pana Diliana. Potem, w 2019 roku, udzielił wywiadu Forbesowi z furgonetki monitoringu jeżdżącej po cypryjskim mieście Larnaka. Przedstawił udawaną demonstrację zdolności furgonetki do hakowania dowolnego pobliskiego telefonu i wykradania WhatsApp i wiadomości tekstowych od niczego nie podejrzewających celów.

Zapytany o przypadki łamania praw człowieka podczas korzystania z jego produktów, pan Dilian powiedział Forbesowi, że "pracujemy z dobrymi ludźmi". Dodał: "I czasami ci dobrzy nie zachowują się".

Władze cypryjskie wkrótce wydały wniosek o jego aresztowanie za pośrednictwem Interpolu, światowej agencji policyjnej, za nielegalną inwigilację. Jego prawnikowi udało się ostatecznie załatwić sprawę, płacąc 1 milion euro (1 milion dolarów) grzywny za pośrednictwem firmy pana Diliana, ale nie mógł on już prowadzić interesów na Cyprze, jak powiedziało kilku cypryjskich urzędników zaangażowanych w sprawę.

Pan Dilian nie skończył. Przeniósł się do Aten i założył tam firmę Intellexa w 2020 roku, wtedy też zaczął agresywnie sprzedawać swój nowy produkt szpiegowski, Predator.

Predator wymaga od użytkownika kliknięcia na link, aby zainfekować telefon użytkownika, podczas gdy Pegasus infekuje telefon bez żadnego działania ze strony celu.

Infekcje Predatora mają postać starannie spreparowanych, spersonalizowanych wiadomości błyskawicznych oraz przynęty - zainfekowanych linków naśladujących uznane strony internetowe. Dochodzenie w sprawie Predatora prowadzone przez Metę wymieniało około 300 takich stron, które według ekspertów były wykorzystywane do infekcji Predatorem.

Od wiosny 2020 roku Intellexa działała z biur wzdłuż Riwiery stolicy Grecji, jej południowego wybrzeża ulubionego przez surfujących cyfrowych nomadów i międzynarodowe gwiazdy sportu. Według poufnych rejestrów zatrudnienia przejrzanych przez The Times, a także profili LinkedIn pracowników, firma zatrudniła co najmniej ośmiu Izraelczyków, z których kilku miało doświadczenie w służbach wywiadowczych kraju.

Pan Eshel, którego ministerstwo nadzoruje licencje eksportowe na oprogramowanie szpiegowskie, powiedział, że ma niewielkie uprawnienia do kontrolowania tego, co pan Dilian lub inni byli pracownicy izraelskiego wywiadu robili po założeniu firm poza Izraelem.

"Z pewnością przeszkadza mi to, że weteran naszego wywiadu i jednostek cybernetycznych, który zatrudnia innych byłych wysokich urzędników, działa na całym świecie bez żadnego nadzoru" - powiedział.

Intellexa wypatrywała również możliwości, które wcześniej były domeną NSO. Ukraina próbowała wcześniej nabyć Pegasusa, ale starania zakończyły się niepowodzeniem, gdy rząd Izraela zablokował NSO sprzedaż na Ukrainie w obawie, że mogłoby to zaszkodzić stosunkom Izraela z Rosją.

Intellexa wkroczyła do akcji. The Times uzyskał kopię dziewięciostronicowego opisu Intellexa dla Predatora dla ukraińskiej agencji wywiadowczej w zeszłym roku, pierwszej pełnej takiej propozycji komercyjnego oprogramowania szpiegującego, która została upubliczniona. Dokument, datowany na luty 2021 roku, chwali się możliwościami Predatora, a nawet oferuje linię pomocy 24/7.

Za 13,6 mln euro (14,3 mln dolarów) na pierwszy rok Intellexa zaoferowała Ukrainie podstawowy pakiet 20 jednoczesnych infekcji Predatorem i "magazyn" 400 włamań na krajowe numery, a także szkolenia i całodobowe centrum pomocy. Gdyby Ukraina chciała używać Predatora na nieukraińskich numerach, cena wzrosłaby o dodatkowe 3,5 mln euro.

Ukraina odrzuciła ofertę, powiedziała osoba znająca sprawę. Powody, dla których Ukraina zrezygnowała z Predatora są niejasne, ale to nie wydawało się zniechęcać Intellexa lub pana Diliana. Uwolniona od rygorów izraelskich regulacji rządowych i działająca praktycznie bez nadzoru w Atenach, firma rozszerzyła swoją klientelę.

Meta, jak również Citizen Lab z Uniwersytetu w Toronto, organizacja zajmująca się bezpieczeństwem cybernetycznym, wykryły Predatora w Armenii, Egipcie, Grecji, Indonezji, na Madagaskarze, w Omanie, Arabii Saudyjskiej, Serbii, Kolumbii, Wybrzeżu Kości Słoniowej, Wietnamie, na Filipinach i w Niemczech. Lokalizacje te zostały ustalone poprzez skanowanie internetu w poszukiwaniu serwerów znanych z powiązania z oprogramowaniem szpiegowskim.

Dramat grecki

W ciągu ostatnich kilku miesięcy Predator wstrząsnął również życiem publicznym w Grecji, gdzie okazało się, że był używany przeciwko dziennikarzom i przedstawicielom opozycji. Rząd grecki wielokrotnie określał spyware jako nielegalne i twierdził, że nie ma z nim nic wspólnego.

Pomimo tych doniesień, Grecja przyznała się do wspierania Intellexy i jej oprogramowania szpiegującego w istotny sposób: poprzez udzielenie firmie licencji na eksport Predatora na Madagaskar, którego rząd ma historię rozprawiania się z dysydentami.

Alexandros Papaioannou, rzecznik greckiego Ministerstwa Spraw Zagranicznych, potwierdził, że 15 listopada 2021 roku oddział ministerstwa wydał firmie Intellexa dwie licencje eksportowe. W odpowiedzi na presję, pod jaką znajduje się kraj, Papaioannou powiedział, że inspektor generalny ministerstwa rozpoczął wewnętrzne dochodzenie po tym, jak w lokalnej prasie pojawiły się doniesienia o firmie. Prawodawstwo Unii Europejskiej traktuje oprogramowanie szpiegujące jako potencjalną broń i wzywa władze do udzielania licencji na eksport po zachowaniu należytej staranności, aby zapobiec jego nadużywaniu.

Madagaskar, położony tuż przy wybrzeżu Afryki Wschodniej, jest czwartym najbiedniejszym krajem świata. Zmaga się z korupcją, zwłaszcza w przemyśle wydobywczym i naftowym, które przynoszą korporacjom miliardy rocznie. Malgascy urzędnicy nie skomentowali sprawy.

W Grecji, Predator jest również w centrum wewnętrznej politycznej zawieruchy.

Saga rozpoczęła się w kwietniu, kiedy grecki serwis Inside Story poinformował, że Predator został użyty do zainfekowania telefonu lokalnego reportera śledczego. Laboratorium Obywatelskie Uniwersytetu w Toronto wykryło infekcję. Dwaj politycy opozycji wkrótce potwierdzili, że oni również byli celem ataku, a każdy z nich przedstawił dowody kryminalistyczne na poparcie swoich twierdzeń.

Wszyscy trzej podejrzewają, że państwo greckie zleciło ich inwigilację i złożyli pozwy. Thanasis Koukakis, reporter śledczy, pozwał pana Diliana i jego współpracowników z firmy Intellexa.

Konserwatywny premier, Kyriakos Mitsotakis, zaprzeczył, że zlecił inwigilację przy użyciu Predatora i utrzymuje, że grecki rząd nie jest właścicielem oprogramowania szpiegowskiego.

Mimo to, bratanek pana Mitsotakisa, który miał polityczny nadzór nad narodową służbą wywiadowczą, podał się do dymisji w związku ze skandalem z oprogramowaniem szpiegowskim w sierpniu, chociaż zaprzecza jakiejkolwiek roli w nim. Mniej więcej w tym samym czasie premier zwolnił szefa krajowego wywiadu.

W tym samym miesiącu Intellexa zwolniła większość swoich pracowników z siedzibą w Atenach.

W listopadzie pan Mitsotakis przyznał, że ktoś prowadzi tajne operacje z użyciem Predatora wewnątrz Grecji - nie wie tylko kto.

"Aby było jasne, nigdy nie twierdziłem - i rząd nigdy nie twierdził - że nie było żadnych włamań i żadnych sił używających oprogramowania Predator", powiedział, dodając: "W całej Europie działa nielegalne oprogramowanie szpiegujące".

autorzy:

Mark Mazzetti, Ronen Bergman,  Matina Stevis-Gridneff 

źródło:

https://www.nytimes.com/2022/12/08/us/politics/spyware-nso-pegasus-paragon.html

https://archive.ph/gsLpQ

https://int.nyt.com/data/documenttools/intellexa-commercial-proposal/309b14108229142a/full.pdf

https://archive.ph/qqqVw