Rzekomo za jego pomocą udało się schwytać bossa meksykańskiego kartelu narkotykowego „El Chapo”. Dzięki niemu śledzi się dziennikarzy, dysydentów i polityczną opozycję. Prawdopodobnie ten program kupiło też CBA.
Dziennik Gazeta Prawna
Cel właściwie nie ma szans zobaczyć skrzydlatego konia w akcji. Może jednak podejrzewać, że zaczęło się polowanie. Tak było w przypadku meksykańskiej dziennikarki Carmen Aristegui, która odkryła aferę Casa Blanca (Biały Dom) – od nazwy posiadłości wybudowanej dla byłego prezydenta Meksyku przez firmę jego znajomego. Przypadkiem realizującej też pierwszy w kraju kontrakt na budowę kolei dużej prędkości.
Któregoś dnia w 2015 r. Aristegui zaczęła otrzymywać dziwne SMS-y. W jednym ktoś prosił ją, żeby pomogła odnaleźć zaginione dziecko. Inny informował o zablokowaniu środków na karcie kredytowej. Jeszcze inny, że jest problem z jej wnioskiem o wydanie amerykańskiej wizy. Wszystkie zawierały link, w który adresatka miała kliknąć.
Aristegui wydawało się to podejrzane, dlatego tego nie uczyniła. Gdyby jednak to zrobiła, na pierwszy rzut oka nic by się nie stało: przeglądarka internetowa załadowałaby po prostu pustą stronę. Ot, kolejny błąd w sieci. Dziennikarka nawet by się nie zorientowała, że właśnie przejęto kontrolę nad jej smartfonem. Klikając link, ściągnęłaby bowiem na urządzenie Pegasusa.

Luki dnia zerowego

Program do przejęcia kontroli nad telefonem wykorzystuje luki w systemie operacyjnym, o których istnieniu nie wie nawet jego producent (0-day exploit, luki dnia zerowego). Ich wykrywaniem zajmują się za ciężkie pieniądze specjaliści od bezpieczeństwa IT, którzy chwalą się sukcesami na branżowych konferencjach. Dla nich znaleźć taką lukę to jak dla sportowca zdobyć mistrzostwo świata. Pegasus wykorzystywał nie jedną, nie dwie – ale kilka luk. To jak zgarnąć parę tytułów w ciągu jednego sezonu. Już nie mistrzostwo, ale wirtuozeria w swojej dziedzinie.
Dzięki nim program zyskiwał bez wiedzy użytkownika dostęp do wiadomości SMS, kontaktów, haseł i zapisków w kalendarzu. Pozwalał na podsłuchiwanie rozmów telefonicznych, wykonywanie w dowolnym momencie zdjęć aparatem, filmów i zrzutów z ekranu, uruchamianie mikrofonu celem nasłuchu otoczenia. Właściciele Pegasusa nie musieli się też martwić o to, czy ich cel szyfruje swoją korespondencję, bo i tak widzieli ją przed i po zakodowaniu – bo szyfrowana jest sama transmisja, ale każdy może podejrzeć ekran telefonu, kiedy piszemy tajną wiadomość.
Zresztą wiadomości z linkiem to już przeszłość; producent Pegasusa, izraelska NSO Group, chwali się, że dzięki najnowszej wersji oprogramowania w ogóle nie trzeba się głowić, jaka wiadomość skłoni cel do kliknięcia. Do zainfekowania telefonu wystarczy np. nieodebrane połączenie w komunikatorze internetowym Whatsapp (o istnieniu tej luki świat dowiedział się dopiero w maju tego roku; została już potraktowana odpowiednią łatką). Rozwiązanie to firma zachwala swoim klientom jako „zero-click technology”.

Uzbrojone zbiry

To udogodnienie nie istniało jeszcze w 2015 r., kiedy tajemnicze wiadomości otrzymywała Carmen Aristegui – i wiele innych postaci w Meksyku, z którymi ówcześnie rządzącym było nie po drodze. „Mój ojciec zmarł o świcie, jesteśmy zdruzgotani. Załączam informacje o stypie, mam nadzieję, że się zjawisz” – takiego SMS-a dostał Juan Pardinas, dyrektor generalny Meksykańskiego Instytutu Konkurencyjności – organizacji pozarządowej zaangażowanej w walkę z korupcją w kraju.
Pardinas opowiedział dziennikowi „The New York Times”, że zignorował wiadomość. W związku z czym pojawiły się następne, tak jak w przypadku Aristegui, utrzymane o coraz bardziej alarmistycznym tonie. Jedna udawała link do materiału telewizyjnego: „Korupcja w Meksykańskim Instytucie Konkurencyjności!”. Inna wskazywała, jakoby Pardinas został przyłapany na romansie – a telewizja miała wypuścić o tym materiał. Ponieważ działacz opierał się kolejnym przynętom, w końcu otrzymał kolejnego SMS-a: „Słuchaj, przed twoim domem stoi ciężarówka z dwoma uzbrojonymi gośćmi. Popatrz – zrobiłem im zdjęcie – i bądź ostrożny”. Ponieważ Pardinasa nie było wówczas w domu, natychmiast zadzwonił do żony. Ta wyjrzała przez okno; w okolicy nie była zaparkowana żadna ciężarówka.
Wiadomości z linkami otrzymywali również inni: Carlos Loret de Mola, prezenter wiadomości w stacji Televisa znany z posiadania licznych „głębokich gardeł” w meksykańskiej administracji; Mario Patrón, szef Centrum Praw Człowieka im. Miguela Agustína Pro Juáreza, jednej z czołowych organizacji pozarządowych tropiących nieprawidłowości w Meksyku; a także dwoje prawników współpracujących z centrum, w tym Amerykanka Stephanie Brewer oraz Santiago Aguirre, reprezentujący rodziny 43 uczniów porwanych i zamordowanych w 2014 r. (sprawa, w której mogły maczać palce policja lub wojsko).
Obecność Pegasusa na telefonach tych, którzy kliknęli w link z SMS-a (m.in. Mario Patróna) potwierdziło Citizens Lab – interdyscyplinarna jednostka Uniwersytetu w Toronto działająca na styku cyberbezpieczeństwa i praw obywatelskich. To dzięki pracownikom tej instytucji świat w ogóle dowiedział się o istnieniu skrzydlatego konia.

Izraelska rewolucja

Kiedy Carmen Aristegui otrzymała pierwszą wiadomość w 2015 r., nikt jeszcze nie słyszał o Pegasusie, zaś luki dnia zerowego uważano za coś, co spotyka się na konferencjach poświęconych bezpieczeństwu IT. Panowało przekonanie, że jeśli ktoś je wykorzystuje w działalności operacyjnej, to wyłącznie organizacje o przepastnym budżecie. Takie, które stać na to, by zatrudnić najlepszych specjalistów – jak amerykańską Agencję Bezpieczeństwa Krajowego, NSA.
Jedną z podstawowych zasad bezpieczeństwa IT jest absolutny zakaz klikania w linki zawarte w wiadomościach niewiadomego pochodzenia. Doskonale zdawał sobie z tego sprawę Ahmed Mansur, obrońca praw człowieka ze Zjednoczonych Emiratów Arabskich, który w 2016 r. otrzymał podejrzaną wiadomość, która sugerowała, że ktoś chce mu przekazać informacje dotyczące tortur w więzieniach na terenie ZEA. Oczywiście trzeba było kliknąć w link, który Mansur przezornie wysłał do Citizens Lab.
Jakież było zdziwienie pracowników laboratorium (wspartych przez speców z firmy zajmującej się cyberbezpieczeństwem), kiedy – w kontrolowanych warunkach – po kliknięciu linku skonstatowali, że ściąga on na telefon oprogramowanie zawierające trzy luki dnia zerowego. Dotychczas znalezienie jednej zawsze było wydarzeniem. Tutaj były aż trzy, nieznane nigdy wcześniej. „Do włamania się na iPhone’a potrzebne są luki, których znalezienie wymaga dużych kompetencji technicznych. Takie luki są bardzo rzadkie, a więc ich odkrycie jest bardzo drogie” – napisali specjaliści z Citizens Lab w 2016 r.
W świecie mobilnego bezpieczeństwa Pegasus to była rewolucja. Nagle okazało się, że nie tylko bezcennych luk umożliwiających przejęcie kontroli nad telefonem jest więcej, niż podejrzewano. Stało się również jasne, że ich poszukiwanie nie jest już domeną wyłącznie takich organizacji jak amerykańska NSA czy brytyjska GCHQ – że może je kupić każdy.
I faktycznie od 2016 r., kiedy Citizens Lab zaczęło śledzić Pegasusa, doliczyło się śladów jego użycia w 45 krajach. Organizacja we wrześniu ubiegłego roku spekulowała, że oprogramowanie jest w ręku 36 państw (Polska również znalazła się na liście domniemanych klientów), w tym takich, które mają fatalną opinię, jeśli idzie o prawa człowieka (Bahrajn, Kazachstan, Meksyk, Maroko, Arabia Saudyjska, ZEA). Liczba chętnych na skrzydlatego konia świadczy o jeszcze jednym – że jest to doskonały biznes.

Miliony dolarów

I faktycznie, jak podał w tym roku „Financial Times”, powołując się na rozmowy z uczestnikami prezentacji dla potencjalnych inwestorów, NSO Group w 2018 r. zarobiło 251 mln dol., z czego 128 mln na czysto (a do tego ma 80 mln dol. na koncie). To znaczący wzrost w stosunku do 2014 r., kiedy firma sprzedała usługi za 109 mln dol.
Różne źródła różnie szacują koszt Pegasusa. Druga wersja oprogramowania – jeszcze bez „zero-click technology”, wykorzystana w przypadku Carmen Aristegui – miała według „FT” kosztować rząd Meksyku w 2014 r. 32 mln dol. (południowi sąsiedzi USA otrzymali nie tylko Pegasusa, ale też zestaw dodatkowych usług, dzięki którym wiadomości ze złośliwymi linkami miały być bardziej przekonujące). Z kolei pod koniec 2017 r. „NYT” donosił, że łącznie od 2011 r. (czyli przez sześć lat) władze w Mexico City zostawiły w NSO Group 77 mln dol. W innym artykule nowojorski dziennik donosił, że Saudyjczycy zapłacili firmie 55 mln dol. W ramach tej kwoty zakupili możliwość jednoczesnego śledzenia 150 osób.
Wiele wskazuje na to, że Pegasus jest sprzedawany jak nowoczesne oprogramowanie, gdzie oprócz podstawowego produktu osobno płaci się jeszcze za funkcjonalności, bez których ten jest mało użyteczny. W 2016 r. „NYT” pisał, że sama instalacja oprogramowania kosztuje pół miliona dolarów. Do tego dochodzi „abonament” za śledzenie wybranej ilości celów: 650 tys. dol. za 10 osób używających iOS (iPhone); tyle samo za Androida; pół miliona za 5 komórek Blackberry i 300 tys. za 5 komórek z Symbianem. Później koszty w przeliczeniu na jeden cel spadają. Klienci mogą dokupić śledzenie 10 osób za 150 tys. dol., 20 za ćwierć miliona, 50 za pół miliona, a 100 za 800 tys. dol. Te wydatki ponosi się jednorazowo; dodatkowo klient uiszcza roczną opłatę w wysokości 17 proc. wartości wszystkich usług.
NSO Group podchodzi do marketingu swoich produktów poważnie. Z materiałów reklamowych można się podobno dowiedzieć, że za te pieniądze klienci otrzymują „nielimitowany dostęp do telefonu komórkowego celu”. W jego ramach klient może „zdalnie i potajemnie zbierać informacje o swoim celu – jego związkach, miejscu pobytu, połączeniach telefonicznych, zajęciach i planach – o każdej porze i w każdym miejscu”, a co więcej „bez jakichkolwiek śladów”.
Firma też bardzo poważnie podchodzi do tego, żeby Pegasus był na czasie (w końcu jak tylko luka dnia zerowego zostanie upubliczniona, producent oprogramowania natychmiast zaczyna pracować nad łatką). Za nowsze wersje NSO Group zdaje się sobie liczyć ekstra – ale klienci też oczekują zapewnień, że program jest cały czas skuteczny. „NYT” opisał, jak o takie potwierdzenie poprosił rząd ZEA. Po czterech dniach przedstawiciele firmy przesłali e-mail, który miał dwa załączniki – były to rozmowy telefoniczne Abdulaziza Alkhamisa, redaktora naczelnego wydawanej po arabsku gazety z Londynu, krytycznej wobec rządów Zatoki Perskiej.

Już tak nie żartuje

W rozmowach handlowych na pewno od czasu do czasu uczestniczą założyciele firmy – przedsiębiorcy Omri Lavie i Szalew Hulio. W 2008 r. postanowili skomercjalizować oprogramowanie, nad którym pracowali specjaliści związani wcześniej z Jednostką Wywiadu nr 8200 – izraelskim odpowiednikiem amerykańskiej NSA. Celem było stworzenie programu, który pozwoliłby na zdalne przejęcie kontroli nad telefonem komórkowym. Nazwano go Pegasus i, jak podaje „NYT”, prace nad pierwszą wersją zakończyły się w 2011 r.
Jednym z pierwszych klientów NSO Group został Meksyk – kraj, który stał się przykładem na to, że produkty firmy wykorzystywane są w więcej niż wątpliwy sposób. Kiedy więc wokół firmy zaczęło się robić nieprzyjemnie po doniesieniach, że jej oprogramowanie służy do śledzenie aktywistów, dziennikarzy i pracowników organizacji pozarządowych, ta zdecydowała się opowiedzieć historię o tym, jak to przyczyniła się od zatrzymania Joaquína Guzmána, bossa kartelu narkotykowego znanego jako „El Chapo”.
Izraelski dziennikarz Ronen Bergman powtórzył nawet historię o tym, jak rzekomo do firmy miał osobiście zadzwonić pod koniec 2011 r. prezydent kraju Felipe Calderón. „Nie mógłbym prosić o lepszy prezent na święta. To, co nam daliście – wreszcie możemy pokonać kartele” – miał powiedzieć meksykański przywódca. O dobre imię firmy walczył na antenie amerykańskiej telewizji osobiście Hulio, mówiąc w programie „60 minut”, że Pegasus służy wyłącznie do tego, aby świat stał się bezpiecznym miejscem oraz że firma bardzo dokładnie sprawdza klientów. A nawet jeśli zdarzą się nadużycia, to posiada możliwość zdalnego wyłącznie oprogramowania (coś, w co eksperci ds. bezpieczeństwa wątpią).
I chociaż działalność spółki jest okryta tajemnicą, to założyciele nie szukają tak bardzo cienia. Omri Lavie ma konto na LinkedInie (gdzie ma 5 tys. kontaktów) oraz na Twitterze, gdzie przedstawia się jako „mąż, ojciec, przedsiębiorca działający w obszarze technologii oraz inwestor”. We wpisach można przeczytać m.in., że jego „4-letnia córka uwielbia Guns’n’Roses. Moja praca jako rodzica jest skończona” oraz „ktoś mi powiedział dzisiaj: albo jesteś wielki, albo nic nieważny. Kocham to. A wy?”.
Założyciele spółki w 2013 r. udzielili wywiadu dziennikowi „Financial Times”. Lavie tłumaczył, że przez wzgląd na naturę swoich klientów nie może podać praktycznie żadnych detali dotyczących tego, jak wyglądają rozmowy z nimi, jakich są narodowości ani podać żądnych szczegółów, które mogłyby zdradzić nawet najmniejszą informacje o nich. „Nie chciałbym stracić głowy” – zażartował wówczas Lavie.
Dzisiaj ten żart brzmi zupełnie inaczej. Pegasus mógł być bowiem wykorzystany do szpiegowania saudyjskiego dysydenta Dżamala Chaszukdżiego – zwabionego, zabitego i poćwiartowanego w konsulacie Arabii Saudyjskiej w Stambule w październiku zeszłego roku.