Srbské úrady používajú špionážny softvér a nástroje spoločnosti Cellebrite na hackovanie novinárov a aktivistov

TLAČOVÁ SPRÁVA AMNESTY INTERNATIONAL
16. decembra 2024

Srbské policajné a spravodajské orgány používajú pokročilý špionážny softvér spolu s forenznými produktmi pre mobilné telefóny na nezákonné sledovanie novinárov, environmentálnych aktivistiek a ďalších osôb v rámci tajnej sledovacej kampane.

Nová správa Amnesty International s názvom Digitálne väzenie“: Sledovanie a potláčanie občianskej spoločnosti v Srbsku dokumentuje, ako sa forenzné produkty izraelskej spoločnosti Cellebrite používajú na získavanie údajov z mobilných zariadení novinárov a aktivistov. Odhaľuje tiež, ako srbská polícia a Bezpečnostná informačná agentúra (Bezbednosno-informativna Agencija, BIA) tajne infikovali zariadenia jednotlivcov počas zadržania alebo policajných výsluchov a výpovedí. Do zariadení im nainštalovali špionážny systém NoviSpy vytvorený na objednávku.

„Náš výskum odhaľuje, ako srbské úrady využívajú sledovacie technológie a taktiky digitálnej represie ako nástroje širšej štátnej kontroly a represie namierenej proti občianskej spoločnosti. Upozorňuje tiež na to, že mobilné forenzné produkty Cellebrite, ktoré vo veľkom používajú policajné orgány a spravodajské služby na celom svete, môžu predstavovať obrovské riziko pre ľudí, ktorí obhajujú ľudské práva, životné prostredie a slobodu prejavu, ak sa používajú nekontrolovane a mimo prísneho zákonného rámca,“ uviedla Dinushika Dissanayake, zástupkyňa regionálneho riaditeľa Amnesty International pre Európu.

Ako sa produkty Cellebrite a NoviSpy používajú na útoky na elektronické zariadenia

Spoločnosť Cellebrite bola založená a sídli v Izraeli, ale pobočky má po celom svete. Zaoberá sa vývojom balíka produktov Cellebrite UFED pre orgány činné v trestnom konaní a vládne subjekty. Tieto nástroje umožňujú získavať údaje zo širokej škály mobilných elektronických zariadení. Týka sa to aj niektorých najnovších modelov iPhonov a zariadení s operačným systémom Android. Na získavanie údajov pritom nepotrebujú prístupový kód zariadenia.

NoviSpy je doteraz neznámy špionážny softvér určený na používanie v zariadeniach s operačným systémom Android. Hoci ide o technicky menej vyspelý softvér než vysoko invazívne komerčné špionážne softvéry ako Pegasus, po nainštalovaní poskytuje srbským orgánom rozsiahle možnosti sledovania osôb používajúcich napadnuté zariadenia.

Program NoviSpy dokáže zachytiť citlivé osobné údaje z telefónu a poskytuje možnosti na diaľkové zapnutie mikrofónu alebo kamery telefónu. Forenzné nástroje Cellebrite sa používajú na odomknutie telefónu pred infikovaním špionážnym softvérom a umožňujú aj extrakciu údajov zo zariadenia.

Amnesty International objavila kritické forenzné dôkazy, že srbské orgány používali produkty Cellebrite na infikovanie telefónov aktivistov a aktivistiek špionážnym softvérom NoviSpy. Najmenej v dvoch prípadoch použili tzv. exploity (softvér, ktorý využíva chybu alebo zraniteľnosť operačného systému) Cellebrite UFED na obídenie bezpečnostných mechanizmov zariadení so systémom Android. To následne umožnilo tajne do nich nainštalovať špionážny softvér NoviSpy. K infikovaniu telefónov došlo počas toho, ako ich používatelia absolvovali policajný výsluch alebo podávali svedeckú výpoveď.

Amnesty International tiež zistila, ako srbské orgány využili Cellebrite na zneužitie tzv. zero-day zraniteľnosti (softvérová chyba, o ktorej ich pôvodný vývojár ešte nevie a nie je k dispozícii jej oprava) v zariadeniach so systémom Android na získanie prednostného prístupu do telefónu environmentálneho aktivistu. Zraniteľnosť, ktorú sa podarilo identifikovať v spolupráci s bezpečnostnými výskumníkmi z Project Zero spoločnosti Google a Threat Analysis Group, postihla milióny zariadení so systémom Android na celom svete, ktoré používajú bežné čipové sady Qualcomm. Aktualizáciu, ktorá túto bezpečnostnú chybu opravila, zverejnili v bezpečnostnom bulletine Qualcomm Security Bulletin z októbra 2024.

Infikovanie telefónov ohrozuje novinárov a aktivistov

Vo februári 2024 polícia zatkla srbského nezávislého investigatívneho novinára Slavišu Milanova. Zadržali ho pod zámienkou vykonania skúšky, či neviedol motorové vozidlo pod vplyvom alkoholu. Slavišu na policajnej stanici vypočúvali policajti v civile, ktorí sa ho pýtali na jeho novinársku prácu. Svoj telefón s operačným systémom Android odovzdal na recepcii policajnej stanice vypnutý. Po celý čas Slavišu nikto nepožiadal o prístupový kód, ani ho nikomu sám neposkytol.

Keď mu po výsluchu pri odchode z budovy vrátili osobné veci, Slaviša si všimol, že s jeho telefónom ktosi manipuloval. Údaje, ktoré v ňom mal predtým uložené, boli vypnuté.

Požiadal preto bezpečnostné laboratórium Amnesty International, aby vykonalo forenznú analýzu jeho telefónu. Analýza odhalila, že k tajnému odomknutiu Slavišovho telefónu Xiaomi Redmi Note 10S došlo počas jeho zadržania, a to pomocou produktu UFED spoločnosti Cellebrite.

Ďalšie forenzné dôkazy ukázali, že srbské orgány následne infikovali Slavišov telefón softvérom NoviSpy.

„Naše forenzné dôkazy potvrdzujú, že špionážny softvér NoviSpy bol nainštalovaný v čase, keď Slavišovo zariadenie držala srbská polícia. Infikovanie ním bolo podmienené použitím pokročilého nástroja na odomknutie zariadenia, ako je Cellebrite UFED. Amnesty International s veľkou istotou pripisuje špionážny softvér NoviSpy [štátnej informačnej agentúre] BIA,“ uviedol Donncha Ó Cearbhaill, vedúci bezpečnostného laboratória Amnesty International.

Druhý prípad uvedený v správe sa týka environmentálneho aktivistu Nikolu Ristića. Aj v jeho prípade sa našli podobné forenzné dôkazy, že produkty Cellebrite boli použité na odomknutie jeho zariadenia s cieľom umožniť následné nainštalovanie špionážneho softvéru NoviSpy.

Ak sa v Srbsku venujete aktivizmu, softvérom NoviSpy vás môžu napadnúť počas toho, ako podávate sťažnosť štátnym orgánom

Zdá sa, že srbské orgány často využívali túto taktiku tajnej inštalácie špionážneho softvéru do osobných elektronických zariadení počas zadržania alebo vypočúvania osôb.

V ďalšom prípade infikovali špionážnym softvérom telefón osoby, ktorá sa venuje aktivizmu v organizácii Krokodil, zameranej na organizovanie aktivít na podporu dialógu a porozumenia na západnom Balkáne. Do telefónu Samsung Galaxy S24+ jej bol v októbri 2024 nainštalovaný špionážny softvér v čase, keď vypovedala pred orgánmi BIA.

Túto osobu pozvali na úrad BIA v Belehrade, aby poskytla informácie o útoku na kancelárie organizácie Krokodil, pri ktorom páchatelia po rusky vyjadrovali nesúhlas s tým, že Krokodil verejne odsúdil ruskú inváziu na Ukrajinu.

Po poskytnutí výpovede mala podozrenie, že s jej telefónom niekto manipuloval. Amnesty International uskutočnila na jej žiadosť forenzný výskum, ktorý potvrdil, že počas vypovedania jej bol do telefónu nainštalovaný program NoviSpy. Amnesty International sa tiež podarilo obnoviť a dešifrovať dáta, ktoré NoviSpy zachytil počas toho, ako napadnutá osoba používala svoj telefón. Zachytené informácie zahŕňali snímky obrazovky s e-mailovými účtami, správami odoslanými cez Signal a WhatsApp a aktivitou na sociálnych sieťach.

Amnesty International sa pred zverejnením tohto výskumu obrátila na spoločnosť Google a jej oddelenie, ktoré sa zaoberá výskumom bezpečnosti operačného systému Android. Po nahlásení, že prebieha špionážna kampaň využívajúca softvér NoviSpy v zariadeniach s Androidom, prijali opatrenia na odstránenie špionážneho softvéru z napadnutých zariadení. Spoločnosť Google tiež rozoslala upozornenia na „útok podporovaný vládou“ osobám, ktoré identifikovala ako možné terče takéhoto útoku.

Vplyv štátneho digitálneho dohľadu a represívnych taktík na srbskú občiansku spoločnosť

Aktivistov a aktivistky v Srbsku tieto digitálne útoky traumatizovali.

„Je to neuveriteľne účinný spôsob, ako úplne odradiť ľudí od komunikácie. Všetko, čo poviete, môže byť použité proti vám. Je to paralyzujúce na osobnej aj profesionálnej úrovni,“ povedal Branko*, aktivista, ktorý bol terčom špionážneho softvéru Pegasus.

Útoky viedli aj k autocenzúre.

„Všetci sme v digitálnom väzení, je to určitá forma digitálneho gulagu. Máme ilúziu slobody, ale v skutočnosti nemáme žiadnu slobodu. Má to dva dôsledky: buď sa rozhodnete pre autocenzúru, ktorá hlboko ovplyvňuje vašu schopnosť pracovať, alebo sa rozhodnete prehovoriť bez ohľadu na to, a v tom prípade musíte byť pripravení čeliť následkom,“ povedal Goran*, aktivista, ktorý bol tiež terčom špionážneho softvéru Pegasus.

Aktivista Aleksandar*, ktorého takisto napadli špionážnym softvérom Pegasus, povedal: „Vtrhli mi do súkromia, čo úplne rozbilo môj pocit osobnej bezpečnosti. Spôsobilo mi to obrovskú úzkosť… Cítil som paniku a začal som sa izolovať.“

V reakcii na tieto zistenia spoločnosť NSO Group, ktorá vyvinula softvér Pegasus, nemohla potvrdiť, či Srbsko bolo jej zákazníkom, ale uviedla, že „berie vážne svoju zodpovednosť za dodržiavanie ľudských práv a je pevne odhodlaná vyhýbať sa tomu, aby spôsobovala negatívne vplyvy na ľudské práva, prispievala k nim alebo bola s nimi priamo spojená, a dôkladne preveruje všetky dôveryhodné obvinenia zo zneužívania produktov NSO Group.“

Doplňujúce informácie

Amnesty International sa pred zverejnením tejto správy podelila o svoje zistenia so spoločnosťou Cellebrite. Tá sa k nim nevyjadrila ani nijako nereagovala.

Na otázky Amnesty International zaslané na začiatku výskumného procesu (ktorý je opísaný v úplnej správe) spoločnosť Cellebrite zareagovala krátkou odpoveďou. Uviedla v nej, že nie je sledovacou spoločnosťou a neposkytuje technológie kybernetického sledovania ani špionážny softvér.

Spoločnosť uviedla, že jej produkt je „digitálna vyšetrovacia platforma, poskytuje orgánom činným v trestnom konaní technologické vybavenie potrebné na ochranu a záchranu životov, urýchlenie spravodlivosti a zachovanie súkromia údajov“.

Dodala, že jej produkty „majú licenciu výlučne na zákonné použitie, vyžadujú si príkaz na pomoc orgánom činným v trestnom konaní, resp. súhlas s takouto pomocou pri zákonnom vyšetrovaní prípadov po spáchaní trestného činu“.

Hoci toto môže byť zamýšľané použitie produktov spoločnosti Cellebrite, výskum Amnesty International ukazuje, ako ich možno zneužiť na nasadenie špionážneho softvéru a umožniť tak rozsiahle zhromažďovanie údajov z mobilných telefónov mimo oprávneného vyšetrovania trestných činov. Takéto použitie predstavuje vážne riziko pre ľudské práva.

Amnesty International sa pred zverejnením tejto správy podelila o výsledky svojho výskumu aj so srbskou vládou, ale nedostala odpoveď.

Srbské orgány musia prestať používať vysoko invazívny špionážny softvér a poskytnúť účinnú nápravu obetiam nezákonného cieleného sledovania. Zároveň musia vyvodiť zodpovednosť voči osobám zodpovedným za porušovanie zákona a svojich záväzkov. Spoločnosť Cellebrite a ďalšie spoločnosti zaoberajúce sa digitálnou forenznou analýzou sa musia tiež náležite starať o to, aby sa ich produkty nepoužívali spôsobom, ktorý prispieva k porušovaniu ľudských práv.

Zástancovia a zástankyne slobody prejavu v Srbsku čelia v posledných rokoch čoraz nepriateľskejšiemu prostrediu. Štátne represie voči nim sa s každou vlnou protivládnych protestov stupňujú. Orgány spustili očierňujúce kampane proti mimovládnym organizáciám, médiám a novinárom, účastníctvo pokojných protestov vystavovali zatýkaniu a súdnemu prenasledovaniu.

* Mená sme zmenili v záujme ochrany citovaných osôb