Novinárom z Maďarska nepomohlo ani šifrovanie. Investigatíva odhalila sledovanie žurnalistov z celého sveta

Do telefónu vám na diaľku nainštalujú špionážny softvér a môžu čítať vaše správy, sledovať polohu, vidieť fotografie a dokonca zapnúť mikrofón a odpočúvať vás. Ako píše šéf organizácie Forbidden Stories, váš vlastný mobil sa stane vaším najväčším nepriateľom. Stačí, že sa na vás zameria niekto, kto má k dispozícii softvér Pegasus.

Vyrába ho izraelská firma NSO, ktorá ho predáva štátom po celom svete. Zámerom je, aby ho polícia a spravodajské služby mohli použiť na sledovanie zločincov a teroristov. Niekde ho však využili inak – nasadili ho proti aktivistom, politikom a novinárom.

Jedným z nich je Szabolcsy Panyi, maďarský investigatívny novinár. Jeho telefón napadli niekoľkokrát a Panyi dnes vraví, že to bolo v čase, keď pracoval na citlivých témach a krátko po tom, čo maďarskú vládu žiadal o oficiálne stanovisko.

„Orbánova vláda väčšinou ignoruje moje oficiálne žiadosti, no ukázalo sa, že si cenia moju prácu, hoci spôsob, akým dávajú najavo svoj záujem, je trochu desivý,“ povedal Panyi ironicky pre medzinárodné investigatívne centrum OCCRP.

To, že vo svojom mobile mal viac ako pol roka špionážny softvér, potvrdili aj analýzy IT odborníkov. Keď zistil, že ho sledovali, bol pobúrený. Potom si s ľuďmi z Forbidden Stories prechádzal informácie a postupne prišiel na to, prečo sa na neho mohli zamerať. V tom čase písal o Medzinárodnej investičnej banke, ktorá sa sťahovala do Budapešti.

Maďarská opozícia banku označila za Putinovho trójskeho koňa, o väzbách na ruské tajné služby verejne hovorili aj americkí senátori.

Prídu ďalšie odhalenia

Informácie o sledovaní novinárov sú výsledkom práce skupiny novinárov z viacerých svetových médií. Je medzi nimi britský denník Guardian, americký Washington Post, nemecký Die Zeit, ale aj maďarský Direkt36, v ktorom okrem Panyiho pracuje aj ďalší sledovaný novinár.

Volá sa András Szabó a to, že ho sledujú, ho veľmi prekvapilo. Szabó pre OCCRP povedal, že používal šifrovanie a bezpečné komunikačné kanály. Pri softvéri od firmy NSO mu to však nepomohlo.

„Bolo to neuveriteľné. V prvom rade som nechápal, ako som sa mohol stať terčom. Napísal som niekoľko dôležitých textov, na ktoré som hrdý, no nikdy sa mi nezdalo, že to oslabilo pozíciu ľudí, o ktorých som písal,“ povedal novinár.

Szabóov mobil hekli minimálne dvakrát a aj v jeho prípade to boli obdobia, keď písal o citlivých témach, ktoré sa týkali vlády.

Dvaja maďarskí novinári patria medzi takmer dvesto žurnalistov, ktorých telefóny si klienti spoločnosti NSO vybrali ako potenciálne ciele. V zozname je celkovo až 50-tisíc telefónnych čísel. Viac ako tisíc z nich sa novinárom podarilo spojiť s konkrétnymi ľuďmi. Ich mená bude postupne zverejňovať skupina investigatívnych novinárov, ktorá na projekte pracovala.

Podľa Guardianu sú medzi nimi aj podnikatelia, aktivisti, premiéri a prezidenti. Okrem novinárov bol v Maďarsku na zozname napríklad aj György Gémesi, opozičný starosta mesta Gödöllő.

Nie všetky mená, ktoré sú v databáze, museli byť heknuté. S istotou sa to dá povedať iba o tých, ktorí sprístupnili svoje mobily na analýzu IT odborníkom.

Urobilo to 67 ľudí zo zoznamu. V 23 telefónoch analýza odhalila úspešný útok, v 14 objavili stopy po pokuse o získanie kontroly. Pri ďalších tridsiatich cieľoch nevedeli urobiť jednoznačný záver.

Maďarská vláda v reakcii na otázky novinárov uviedla, že je demokratický štát a v každom prípade postupuje podľa platných zákonov. „Položili ste rovnaké otázky vládam USA, Británie, Nemecka alebo Francúzska? Ak áno, ako dlho im trvalo, kým odpovedali, a ako odpovedali? Pomáhala vám vaše otázky sformulovať nejaká spravodajská služba?“ reagoval úrad vlády.

Aj Saudská Arábia

NSO Group je izraelská technologická firma, ktorá vznikla v roku 2010. Jej klientmi sú vládne inštitúcie v 40 štátoch. Vo svojom oficiálnom stanovisku uviedla, že jej softvér sa má využívať proti zločincom a teroristom a predáva sa do štátov, ktoré neporušujú ľudské práva. Medzi klientov firmy však podľa Forbidden Stories patrila aj Saudská Arábia alebo Spojené arabské emiráty.

Správy, ktoré zverejnila skupina investigatívnych novinárov, podľa firmy vychádzajú z nepodložených teórií a zlých predpokladov.

NSO uviedla, že situáciu preveruje, a ak zistí, že jej softvér bol zneužitý, bude to riešiť – napríklad tak, že zruší zmluvy so svojimi klientmi.

Pegasus sa mal využiť aj na sledovanie ľudí, ktorí mali blízko k novinárovi Džamálovi Chášukdžímu. Toho v roku 2018 zabilo na saudskoarabskom konzuláte v Turecku vražedné komando. Americké tajné služby dospeli k záveru, že za vraždou je saudskoarabský režim.

Na zozname cieľov je jeho manželka Hanan Elatr, pravdepodobne ju sledovali pred vraždou. Podľa analýzy, ktorú urobili IT odborníci, dostala štyri správy s odkazom, vďaka ktorému sa jej do telefónu zrejme nainštaloval Pegasus. Správy prišli zo Spojených arabských emirátov, blízkeho spojenca Saudskej Arábie.

Už štyri dni po vražde sa Pegasus objavil aj v telefóne novinárovej snúbenice Hatice Cengiz. Chášukdží bol na konzuláte práve preto, aby si vybavil formality, ktoré potreboval na to, aby sa s ňou oženil.

Na zozname cieľov sú aj ďalšie mená spojené s týmto prípadom – napríklad turecký prokurátor, ktorý viedol vyšetrovanie vraždy.

Ako to fungovalo

Pegasus sa mohol do telefónov cieľov dostať klasickým spôsobom – phishingom. Cieľu prišiel odkaz, ktorý pôsobil neškodne a nenápadne. Keď naň klikol, na pozadí sa mu do mobilu nainštaloval špionážny softvér, ktorý útočníkovi dával kontrolu nad jeho zariadením.

Mexická novinárka Carmen Aristegui dostávala správy, ktoré pôsobili tak, akoby jej ich poslalo napríklad americké veľvyslanectvo, banka alebo mobilný operátor.

Analýzy investigatívnych novinárov a IT odborníkov ukázali, že hekeri si vďaka tomu vedeli čítať aj správy v šifrovaných aplikáciách, ako je napríklad Signal. Zvonku by sa k nim nedostali – práve preto, že sú šifrované.

„Ak niekto číta ponad vaše rameno, nezáleží na tom, aké šifrovanie používate,“ povedal pre Forbidden Stories odborník na onlinovú bezpečnosť Bruce Schneier.

Pegasus však dokázal využiť aj takzvané „zero day exploits“, čiže zraniteľnosti softvéru alebo hardvéru, o ktorých v danom momente nevedel výrobca ani používateľ. To znamená, že útočníci sa do mobilu dostali aj bez toho, aby jeho majiteľ klikol na škodlivý odkaz.

Bez ohľadu na to, ktorú z týchto dvoch metód hekeri použili, výsledkom bola kontrola nad prakticky všetkým, čo mali ciele v mobile.

„Pegasus je pravdepodobne najpokročilejší spyware, aký bol kedy vyvinutý. Je to najinvazívnejšia forma sledovania,“ povedal investigatívny novinár David Pegg z Guardianu.

Desiatky cieľov v Mexiku

Organizácia Forbidden Stories, ktorá celý investigatívny projekt koordinovala, hovorí o globálnom škandále. „Pegasus je dokonalá zbraň, ktorou sa dá zničiť konkrétny text. Invazívne sledovanie novinárov a aktivistov nie je len útokom na nich, je to aj spôsob, ako obrať milióny ľudí o nezávislé informácie,“ píše organizácia.

Platí to najmä v prípade neslobodných režimov. Telefónne čísla, ktoré novinári našli v databáze, pochádzajú zo 45 štátov sveta. Najviac ich bolo v Mexiku (15-tisíc), Spojených arabských emirátoch a Maroku (po 10-tisíc).

V Mexiku bol na zozname aj novinár Cecilio Pineda Birto, ktorého zavraždili v marci 2017. Jeho telefón sa na mieste vraždy nenašiel, preto sa dnes nedá zistiť, či mexického novinára niekedy úspešne hekli pomocou softvéru Pegasus. Celkovo je na zozname najmenej 26 novinárov z Mexika.

Desiatky novinárov boli potenciálnymi cieľmi aj v Azerbajdžane a Indii. Tam bol na zozname dokonca aj Rahúl Gándhí, opozičný politik a rival premiéra Módího.