Oprogramowanie szpiegujące izraelskiej firmy NSO Group znów mocno namieszało w krajowej polityce. Natomiast nadal nie potwierdzono, czy zostało udostępnione polskich służbom.

Wczoraj koło poselskie Polska 2050 złożyło wniosek do NIK o kontrolę w sprawie wykorzystania Pegasusa. Póki co chyba najważniejszym śladem kojarzonym z zakupem słynnego już na świecie narzędzia jest faktura na 33,4 mln zł, wykryta przez NIK podczas kontroli CBA w 2018 r.

Faktura została wystawiona w 2017 r. przez biuro antykorupcyjne jednej z polskich firm informatycznych. Nadal nie potwierdzono, jakiego konkretnie zakupu dotyczy. Służby milczą na ten temat. Zapłata obejmuje m.in. sprzęt i oprogramowanie (ponad 11 mln zł), testy (5 mln zł) i szkolenia (ok. 3 mln zł). Spora jest kwota przedpłaty. Fakturę wystawiono na „zakup środków techniki specjalnej służących do wykrywania i zapobiegania przestępczości”.

Stanisław Żaryn, rzecznik ministra koordynatora służb specjalnych, także nie informuje, czy nasze służby są klientem NSO. Jak stwierdził ostatnio, z uwagi na ograniczenia prawne nie może powiedzieć, jakie metody pracy operacyjnej są stosowane.

Zarówno Żaryn, jak i minister Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa, zapewniają, że służby działają zgodnie z prawem, a wdrożenie tzw. metod kontroli operacyjnej, jak inwigilacja, wymaga uzyskania zgody sądu.

Kanadyjska organizacja Citizenlab informowała natomiast kilka miesięcy temu, że odkryła podejrzane, jak to określa, infekcje Pegasusem w ponad 40 krajach, w tym w Polsce.

NSO: nie zajmujemy się obsługą Pegasusa

Także NSO Group odnosząc się do ostatnich doniesień z Polski, nie podaje, czy Pegasus został udostępniony polskim agentom. Zarzuty, iż w naszym kraju może wykorzystywany niewłaściwie, rzecznik firmy skomentował tak, iż jeśli demokratyczny kraj wykorzystuje narzędzie zgodnie z odpowiednim procesem i użyje Pegasusa w ramach śledztwa wobec osoby podejrzanej, to „nie zostanie to w żaden sposób uznane za niewłaściwe użycie takich narzędzi”.

Rzecznik NSO zapewnia również, że firma jest dostawcą oprogramowania. Nie zajmuje się obsługą Pegasusa, nie jest informowana, kto jest celem i jakie dane są gromadzone.

Jak wykryć Pegasusa

Pegasus może szpiegować zarówno telefony z Androidem, jak i iOS (a możliwe, że nadal także z Symbianem i OS Blackberry) – podsłuchuje, podgląda poprzez kamerę, czyta SMS-y, udostępnia zapisane dane itp. Ślad tego malware’u jest według ekspertów łatwiejszy do wykrycia w systemie Apple’a.

Producent iPhone’ów pozwał zresztą NSO w związku z włamaniami do systemu iOS, a władze USA wciągnęły izraelską firmę na czarną listę, za udostępnianie Pegasusa krajom, gdzie wykorzystywany jest nie do walki z przestępcami, lecz z opozycją i ludźmi, którzy nie podobają się władzy. Apple oznajmił, też, że będzie wysyłał ostrzeżenie na iPhone’y, co do których podejrzewa inwigilację przez Pegasusa.

Amnesty International udostępniła narzędzie MVT (Mobile Veryfication Toolkit) na iOS i Androida, które ma umożliwić wykrycie, czy smartfon został zainfekowany. W tym celu trzeba przeskanować kopię zapasową telefonu.

4 miesiące na wdrożenie systemu

Jak podaje niebezpiecznik.pl, użycie Pegasusa nie wymaga współpracy z operatorem telekomunikacyjnym, więc służby nie muszą go informować. Wdrożenie systemu (instalacja, testy, szkolenie) trwa ok. 4 miesiące.

Infekcja może nastąpić poprzez wysłanie wiadomości push (co pozwala wniknąć do telefonu bez działania i wiedzy użytkownika), jak też z linka (np. w SMS-ie). W obu wypadkach wystarczy znać numer telefonu ofiary. Inne opcje to ręczna instalacja (trzeba mieć w ręku telefon ofiary), jak i infekcja wykorzystująca przejęcie ruchu z telefonu ofiary.

Jak ustalił niebezpiecznik.pl (opierając się na danych dotyczących Pegasusa z 2016 r.) szpiegowski malware rozpoznaje sprzęt ofiary po stringu User-Agent. Tym samym jego zmiana paraliżuje atak – twierdzą eksperci.

Software może też samego siebie usunąć z urządzenia – według NSO – choć nowe informacje wskazują, że nie zawsze jest to skuteczne.

Jak ocenia niebezpiecznik.pl, jest mało prawdopodobne, że Pegasusa używają polskie służby wywiadowcze, takie jak Agencja Wywiadu, ABW, Służba Kontrwywiadu Wojskowego, ponieważ w tego rodzaju gotowym oprogramowaniu w operacje według ekspertów ma wgląd producent – firma z innego państwa. Z pewnością jednak także te służby korzystają z jakichś narzędzi inwigilacji.