Sędzia federalny z Kalifornii wydał NSO Group nakaz udostępnienia kodu źródłowego „wszystkich odpowiednich programów szpiegujących”, których używano we włamaniach na komunikator WhatsApp. Oznacza to nakaz udostępnienia pełnego kodu źródłowego Pegasusa, znanego do tej pory we fragmentach.
„Tango down” – ta fraza zwykle oznacza włamanie i kompromitację strony, portalu lub konta. Tym razem została użyta przez specjalistów bezpieczeństwa w odniesieniu do znanego oprogramowania szpiegowskiego tzw. snoopware Pegasus produkcji izraelskiej firmy NSO Group.
Phyllis Hamilton, sędzia federalna z Kalifornii, wydała w końcu lutego nakaz udostępnienia kodu źródłowego „wszystkich odpowiednich programów szpiegujących”, których użyto przy włamaniu na WhatsApp firmy Meta, gdzie poszkodowane zostało 1400 użytkowników a ich konta skompromitowane, co oznacza przejęcie i dokładne poznanie korespondencji z nich prowadzonej.
Oskarżenie obejmuje „wysyłanie spreparowanych danych przez Internet, które dzięki luce w VoIP aplikacji do czatowania umożliwiły uruchomienie w tle złośliwego kodu na zaatakowanych urządzeniach, co ułatwiło zdalny dostęp do rozmów telefonicznych i innych poufnych informacji zawartych na komunikatorze”. Sędzia Hamilton stwierdziła, że charakter działań poprzez złośliwy kod jest znany, ponieważ NSO Group oferowało aplikację rządom na całym świecie. W toku postępowania wymieniono jako klientów firmy także rząd polski.
Orzeczenie sędzi Hamilton dotyczy nie tylko Pegasusa, ale także „każdego innego oprogramowania szpiegowskiego NSO użytego w okresie od 29 kwietnia 2018 r. do 10 maja 2020 r.” Jest to klęska NSO Group, zreorganizowanej dwa lata temu, która walczy obecnie, by nie ujawniać do jakich działań dostarczała oprogramowanie szpiegujące klientom rządowym. Jednak nakaz sądowy nie oznacza całkowitej katastrofy: sędzia pozwoliła NSO na zatajenie listy klientów i szczegółów dotyczących architektury serwerów. Zadziałała tu argumentacja prawnika NSO Group, który stwierdził, że wobec wojny w strefie Gazy takie ujawnienie mogłoby spowodować „identyfikację źródeł i sposobu ich zdobywania, co pośrednio naraziłoby na niebezpieczeństwo osoby pracujące dla służb wywiadowczych USA”.
Cała operacja NSO przeciw użytkownikom WhatsApp była dość wyrafinowana. W okresie od stycznia 2018 r. do maja 2019 r. NSO Group utworzyła konta do przesyłania wiadomości w WhatsApp i skonfigurowała szereg serwerów proxy i serwerów pośredniczących poprzez dostawców usług w chmurze. Cała ta infrastruktura była wykorzystywana do wysyłania złośliwie spreparowanych pakietów sieciowych za pośrednictwem systemów WhatsApp do urządzeń mobilnych przy wykorzystaniu luki CVE-2019-3568.
Jak stwierdza w pozwie WhatsApp, spowodowało to przesyłanie złośliwego kodu poprzez serwery WhatsApp w celu zainfekowania 1400 urządzeń docelowych, czyli nie tylko smartfonów, ale prawdopodobnie i notebooków należących do „prawników, dziennikarzy, obrońców praw człowieka, dysydentów politycznych, dyplomatów i innych wyższych urzędników zagranicznych rządów”.
NSO Group, stojąca w obliczu podobnych roszczeń prawnych wniesionych przez Apple i Knight First Amendment Institute, przegrała niedawno odwołanie do Sądu Najwyższego USA, mające na celu potwierdzenie immunitetu wobec amerykańskiego prawodawstwa zagranicznym klientom firmy, tak by w razie wezwania nie musieli zeznawać. Z kolei firma przegrała także w styczniu przez sądem federalnym sprawę o odrzucenie podobnego do WhatsApp pozwu Apple.
Obecnie widoczna jest presja na ograniczenie sprzedaży i dystrybucji wyrafinowanego oprogramowania szpiegowskiego, pozew WhatsApp był tu przełomem. Stany Zjednoczone nałożyły sankcje na komercyjnych dostawców oprogramowania szpiegującego, takich jak NSO Group, Intellexa i Cytrox. Administracja prezydenta Bidena w 2023 roku wydała regulację w dużym stopniu ograniczającą instytucjom rządowym używanie oprogramowania szpiegowskiego – z wyjątkami dla własnych służb i agencji używających systemów monitorujących.
Wiele organizacji praw człowieka, ale także sądów federalnych w trakcie postępowania przeciw NSO Group powoływało się na przykłady Polski i Hiszpanii, gdzie po zmianie rządu prowadzone są dochodzenia w kwestii użycia oprogramowania szpiegującego Pegasus przeciwko politykom i dziennikarzom. Nie uniemożliwia to oczywiście działania firm oferujących komercyjne oprogramowanie szpiegowskie, jednak widoczna jest tendencja, że jego dystrybucję oraz aplikacje o największych możliwościach rządy chcą przeznaczyć na własny użytek i nie zezwalają na eksport.
W tych procesach linia obrony NSO Group jest prosta: firma sprzedawała oprogramowanie szpiegowskie rządom wyłącznie w celu teoretycznie zgodnego z prawem nadzoru. Jak stwierdził jej rzecznik jeszcze w 2019 roku w wypowiedzi dla serwisu branżowego The Register: „nasza technologia nie została zaprojektowana ani nie jest licencjonowana do stosowania przeciwko działaczom na rzecz praw człowieka i dziennikarzom. W ostatnich latach pomogła ocalić tysiące istnień ludzkich”.
Jak skomentował to sardonicznie serwis: „nieznane są przykłady ocalenia życia ludzkiego przez Pegasusa”, za to powołując się na ustalenia Amnesty International stwierdza, że odegrał on swoją rolę w pewnym politycznym morderstwie. Otóż, jak stwierdziło Amnesty, „członkowie rodziny saudyjskiego dziennikarza Jamala Khashoggi i on sam byli celem oprogramowania Pegasus przed i po jego morderstwie w Stambule w dniu 2 października 2018 r. przez saudyjskich agentów, pomimo wielokrotnych zaprzeczeń ze strony NSO Group”.
Donncha Ó’Cearbhaill, szef laboratorium bezpieczeństwa Amnesty International, z radością przyjął orzeczenie sądu jako krok we właściwą stronę, ale wyraził rozczarowanie, że NSO nie będzie musiało ujawniać klientów odpowiedzialnych za niezgodne z prawem atakowanie użytkowników WhatApp.
„Grupa NSO twierdzi, że sprzedaje Pegasusa wyłącznie autoryzowanym klientom rządowym. Nasze laboratorium bezpieczeństwa udokumentowało masową skalę i zakres użycia Pegasusa przeciwko obrońcom praw człowieka i dziennikarzom na całym świecie. Ważne jest, aby cele szpiegowane Pegasusem dowiedziały się kto kupił i wdrożył przeciwko nim oprogramowanie szpiegowskie, aby mogły ubiegać się o znaczące zadośćuczynienie” – powiedział The Register Ó’Cearbhaill.
Jako że z racji kompromitacji Amnesty na Ukrainie zawsze warto jej ustalenia sprawdzić, to jednak w tym przypadku miała ona rację: sprawę używania Pegasusa przeciw saudyjskiemu dysydentowi i jego rodzinie potwierdziły media izraelskie powołując się na własne poufne źródła umieszczone zapewne w wywiadzie tego kraju.
Co zrozumiałe, decyzję sędzi Hamilton przyjął z zadowoleniem sam WhatsApp, którego rzecznik w e-mailu rozesłanym do mediów nazwał orzeczenie sądu „ważnym kamieniem milowym w naszej historii walki o długoterminowy cel, jakim jest ochrona użytkowników WhatsApp przed bezprawnymi atakami”. Jak stwierdził dalej, „firmy zajmujące się oprogramowaniem szpiegowskim i inne szkodliwe podmioty muszą zrozumieć, że można je ujawnić i nie będą mogły ignorować prawa”.
Istotnie, obecnie same służby rządowe w tym polskie są przeciw komercyjnemu rozpowszechnianiu aplikacji szpiegujących.
„To beznadziejne, cała ta afera Pegasusa. Po pierwsze, kto kupował takie systemy miał chyba bielmo na oczach. Przecież wyraźnie było napisane, że efekty rozpoznania operacyjnego są przechowywane na serwerach chmurowych, a nie lokalnie, tj. można było i lokalnie, ale domyślnie było przechowywanie w chmurze. To znaczy, że te dane tak naprawdę stają się własnością NSO, czego by nie mówić o poufności i tak dalej. A NSO może się nimi podzielić na przykład z wywiadem izraelskim, ten z kolei… i tak drogą łańcuszkową stają się publiczne. Poza tym wybór celu. Jak się zaczyna na tym osadzać walkę polityczną, to przewiduje się prędzej czy później wpadkę. I komisje śledcze drugiej strony kiedy przejmie władzę. A potencjalni „Źli Chłopcy”, terror, agenci przeciwnika zostali ostrzeżeni, że u nas się robi takie rzeczy masowo, więc dobrze się zabezpieczą. To jedno. Drugie to psychoza Pegasusa. Politycy czwartego rzędu, na których nikt nie zwraca uwagi, twierdzą że ich się podsłuchuje, na rynku pojawia się masa „zabezpieczeń” od różnych dziwnych firm, w rzeczywistości backdoorów czy po prostu spyware. Nawet poważni politycy, dziennikarze i biznesmeni zaczynają tego używać i dane zaczynają nie wyciekać, ale płynąć szeroką strugą do Moskwy, Mińska i Pekinu. Żadnych zysków, same straty” – powiedział ISBiznes.pl analityk wojskowy.
