Kolejne ustalenia zespołów analizujących używanie technologii szpiegowskich poszerzają krąg zamieszanych w to firm – także europejskich.
Obok producentów Pegasusa (NSO) i Predatora (Cytrox) – najsłynniejszych narzędzi do nielegalnej inwigilacji użytkowników telefonów komórkowych – pojawiły się dwa podmioty z Włoch: RCS Lab i Tykelab. Według zajmującej się cyberbezpieczeństwem firmy Lookout Threat Lab prawdopodobnie stoją one za oprogramowaniem Pustelnik (Hermit).
Pustelnik - kolejne oprogramowanie szpiegujące
Ostatnio wykorzystały go władze Kazachstanu – w kwietniu br., cztery miesiące po brutalnym stłumieniu protestów antyrządowych. Wcześniej władze włoskie mogły nadużyć go w operacji antykorupcyjnej.
RCS Lab działa w tej samej branży co twórca Pegasusa – podkreślają analitycy z Lookout Threat Lab. Takie firmy twierdzą, że sprzedają oprogramowanie tylko do legalnego wykorzystania. „W rzeczywistości te narzędzia są często nadużywane pod przykrywką bezpieczeństwa narodowego do szpiegowania biznesmenów, obrońców praw człowieka, dziennikarzy, naukowców i urzędników państwowych” – uważają specjaliści z Look out Threat Lab.
RCS Lab w odpowiedzi na nasze pytania stwierdza, że podstawowym przedmiotem działalności firmy jest „projektowanie, produkcja i wdrażanie platform oprogramowania do legalnego przechwytywania, wywiadu śledczego i analizy danych”. Produkty i usługi „są dostarczane organom ścigania w celu zapobiegania” i prowadzenia dochodzeń w sprawie „poważnych przestępstw, jak akty terroryzmu, handel narkotykami, przestępczość zorganizowana, znęcanie się nad dziećmi, korupcja, itp.”. RCS Lab zapewnia, że rozwija swoje technologie i eksportuje je „zgodnie z odpowiednimi przepisami i regulacjami”.
Do którego kraju trafił Pustelnik?
Do ilu rządów na świecie już trafiły? „Ze względu na wiążące umowy o zachowaniu poufności RCS Lab nie może ujawniać żadnych szczegółów dotyczących swoich klientów” – brzmi odpowiedź firmy. Nie podaje też, jaka część jej przychodów pochodzi z tego źródła.
Według portalu Report Aziende.it spółka RCS z Mediolanu – zarejestrowana w czerwcu 2011 r. – w 2020 r. miała 35,4 mln euro przychodów. Rok wcześniej było to 32,5 mln euro, a w 2018 r. – 28,3 mln euro.
RCS Lab zaznacza, że „sprzedaż lub wdrożenie produktów odbywa się wyłącznie po otrzymaniu oficjalnego zezwolenia” władz danego kraju. „Produkty dostarczane klientom są instalowane w ich obiektach, a personel RCS Lab w żadnym wypadku nie może prowadzić działań operacyjnych wspierających klienta ani mieć dostępu do przetwarzanych danych” – wyjaśnia.
Firma podkreśla, że Grupa Cy4gate, której jest członkiem, „potępia wszelkie formy łamania praw człowieka”.
Tykelab z Rzymu podaje niedziałający adres e-mail, a na pytania przesłane przez formularz kontaktowy nie odpowiada. Lookout Threat Lab podejrzewa, że działa jako firma przykrywka. Według ReportAziende.it ta założona w 2010 r. spółka jest o wiele mniejsza od RCS Lab. Jej ubiegłoroczne obroty wyniosły niespełna 1,9 mln euro, rok wcześniej 1,8 mln euro, zaś w 2019 r. – prawie 3,4 mln euro. Zarejestrowana działalność to produkcja oprogramowania. Na stronie internetowej firma chwali się m.in. 20-letnim doświadczeniem „w projektowaniu, wdrażaniu i utrzymywaniu rozwiązań” dla sektora telekomunikacyjnego oraz fachowością w dziedzinie aplikacji mobilnych. To brzmi niewinnie, ale analitycy z Lookout Threat Lab znaleźli dowody łączące Tykelab z Pustelnikiem i RCS Lab – wskazują na to adresy IP używane przez Pustelnika.
Dokumenty opublikowane w WikiLeaks już w 2015 r. świadczą, że RCS Lab w 2012 r. dystrybuował oprogramowanie szpiegujące innego włoskiego dostawcy, HackingTeam. Korespondencja między firmami dotyczy współpracy RCS Lab z agencjami wojskowymi i wywiadowczymi m.in. w Wietnamie, Birmie i Turkmenistanie –stanowiącymi reżimy autorytarne.
Nagrywanie rozmów na Skype, odszyfrowanie e-maili
Jedną z pierwszych dużych europejskich firm, z których produktów korzystały różne rządy, był włoski Hacking Team założony w 2003 r. Spółka miała siedzibę w Mediolanie i sprzedawała rządom, organom ścigania i korporacjom oprogramowanie pozwalające m.in. na odszyfrowanie zaszyfrowanych wiadomości e-mail, nagrywanie rozmów prowadzonych przez Skype’a czy zdalną aktywację mikrofonów i kamer na docelowych komputerach. Po oskarżeniach, w wyniku wycieku informacji w 2015 r., o sprzedawanie oprogramowania państwom takim, jak: Bahrajn, Sudan, Wenezuela i Arabia Saudyjska włoski rząd ograniczył licencję przyznaną HackingTeam na Europę.
Jedną z częstych strategii firm produkujących oprogramowanie szpiegowskie jest tworzenie sieci hackerów poza jedną, stałą siedzibą, gdzie spółka jest rejestrowana. Mówił o tym w niedawnej rozmowie z DGP John Scott-Railton, starszy analityk kanadyjskiego Citizen Lab. Tak działa producent Predatora – drugiego największego narzędzia do inwigilacji w UE – Cytrox będący częścią międzynarodowej sieci hackerów Intellexa. Ta ostatnia nie odpowiedziała dwukrotnie na nasze pytania o dokładne powiązania między producentem Predatora a ich działalnością. Tropy Predatora prowadzą zarówno do Macedonii Północnej, Grecji, jak i Węgier, gdzie była rejestrowana działalność Cytrox. Oddział w Macedonii Północnej rzekomo został zamknięty cztery lata temu, jednak jeszcze w ubiegłym roku spółka poszukiwała tam programistów.
Izraelska NSO Group nie ukrywa już, że oprogramowanie szpiegowskie trafiło na różne rynki, w tym europejski. W samym tylko 2020 r. firma miała 243 mln dol. przychodów. Rzecznik NSO w odpowiedzi na pytanie DGP o dystrybucję Pegasusa na terenie UE odparł, że grupa sprzedaje swoje produkty na podstawie licencji i regulacji do agencji wywiadowczych i organów ścigania, a są one używane wyłącznie na mocy nakazów sądowych i lokalnych przepisów. Spółka zapewnia, że oprogramowanie pomogło klientom „uratować tysiące istnień ludzkich w ciągu ostatnich kilku lat”.
Komisja Europejska na pytanie DGP o działalność spółek technologicznych produkujących na terenie UE oprogramowanie szpiegowskie odparła, że to państwa członkowskie powinny wyjaśniać kwestię zakupu i działalności na ich terytorium firm produkujących oprogramowanie. Problem w tym, że rządy – jak węgierski czy grecki – występują tu w podwójnej roli: klienta, który oprogramowanie kupił lub miał kupić, i zarządców organów kontroli, które mogłyby te zakupy i działalność spółek prześwietlić.