WhatsApp wygrywa sprawę sądową w głośnej sprawie dotyczącej inwigilacji: wśród ofiar są światowi przywódcy, zamordowani dziennikarze i aktywiści

Izraelska firma NSO Group została uznana przez sąd za winną wykorzystania luk w komunikatorze WhatsApp do zainstalowania oprogramowania szpiegującego Pegasus. Pozew przeciwko NSO Group został wygrany przez Meta Corporation, która jest właścicielem WhatsApp. Prawie 10 lat temu Pegasus był zamieszany w głośny międzynarodowy skandal dotyczący inwigilacji ludzi za pośrednictwem ich gadżetów. Monitorowani byli nie tylko zwykli obywatele - ofiarami oprogramowania szpiegującego byli prezydenci, wysocy rangą urzędnicy, zamordowani dziennikarze i działacze społeczeństwa obywatelskiego na całym świecie. Jednak od samego początku misją Pegasusa była walka z przestępczością.

W tym artykule przyjrzymy się szczegółom pozwu przeciwko NSO Group, zagłębimy się w historię Pegasusa i stanowisko twórców oprogramowania w sprawie masowej inwigilacji, a także powiemy, kto był monitorowany przez złośliwe oprogramowanie.

Meta vs NSO Group: szczegóły procesu sądowego

Proces WhatsApp przeciwko NSO trwał ponad 5 lat. WhatsApp złożył pozew przeciwko NSO w 2019 roku, oskarżając firmę o nieautoryzowany dostęp do serwerów WhatsApp w celu zainstalowania złośliwego oprogramowania Pegasus na urządzeniach mobilnych ofiar. W wyniku włamania prawie 1500 osób było monitorowanych przez Pegasus.

NSO argumentował, że Pegasus pomaga organom ścigania i agencjom wywiadowczym zwalczać przestępczość i chronić bezpieczeństwo narodowe, a jego technologia została zaprojektowana w celu zatrzymywania terrorystów i przestępców. Dyrektor generalny WhatsApp, Will Cathcart, nie zgodził się z tym, pisząc po złożeniu pozwu w 2019 roku:

"Dzisiaj WhatsApp zajmuje stanowisko przeciwko niebezpiecznemu wykorzystaniu oprogramowania szpiegującego. NSO Group twierdzi, że odpowiedzialnie służy rządom, ale odkryliśmy, że w maju ubiegłego roku celem ataków było ponad 100 obrońców praw człowieka i dziennikarzy. To nadużycie musi się skończyć".

W dniu 20 grudnia 2024 r. amerykański sąd okręgowy w Kalifornii orzekł, że izraelska NSO Group naruszyła amerykańską federalną ustawę o oszustwach komputerowych i nadużyciach oraz naruszyła warunki korzystania z usługi WhatsApp. Sąd uznał NSO za odpowiedzialną za hakowanie i naruszenie umowy. Sąd nakazał również oskarżonej stronie wypłatę odszkodowania, ale jego wysokość zostanie ustalona osobno w marcu 2025 roku.

W swojej decyzji sąd stwierdził, że NSO Group systematycznie odmawiała udostępnienia WhatsApp kodu źródłowego swojego oprogramowania szpiegującego. Zamiast tego NSO Group zaproponowała dostarczenie kodu obywatelowi Izraela w Izraelu do wglądu, co sąd uznał za niepraktyczne.

Dyrektor generalny WhatsApp, Will Cathcart, nazwał decyzję sądu zwycięstwem w obronie prywatności, podkreślając, że firmy zajmujące się oprogramowaniem szpiegującym nie będą mogły ukrywać się za immunitetem prawnym i muszą zostać pociągnięte do odpowiedzialności za swoje działania.

"Ta decyzja to ogromne zwycięstwo dla prywatności. Poświęciliśmy pięć lat na przedstawienie naszej sprawy, ponieważ mocno wierzymy, że firmy zajmujące się oprogramowaniem szpiegującym nie będą w stanie ukryć się za immunitetem ani uniknąć odpowiedzialności za swoje nielegalne działania. Firmy zajmujące się inwigilacją muszą wiedzieć, że nielegalne szpiegowanie nie będzie tolerowane. Jesteśmy dumni, że udało nam się przeciwstawić NSO i jesteśmy wdzięczni wielu organizacjom, które wsparły tę sprawę. WhatsApp nigdy nie przestanie pracować nad ochroną prywatnej komunikacji ludzi".

Eksperci ds. cyberbezpieczeństwa również z zadowoleniem przyjęli decyzję sądu. John Scott-Railton, starszy badacz w Citizen Lab, kanadyjskiej organizacji zajmującej się monitorowaniem Internetu, nazwał tę decyzję przełomowym orzeczeniem o “ogromnych konsekwencjach dla branży oprogramowania szpiegującego”. Citizen Lab po raz pierwszy odkryło oprogramowanie szpiegujące Pegasus firmy NSO w 2016 roku.

"Cała branża ukrywała się za twierdzeniem, że to, co ich klienci robią z ich narzędziami hakerskimi, nie jest ich odpowiedzialnością. Dzisiejsze orzeczenie jasno pokazuje, że NSO Group jest w rzeczywistości odpowiedzialna za złamanie wielu przepisów".

Sprawa ta stała się ważnym sygnałem dla całej branży o potrzebie przestrzegania prawa i poszanowania prawa do prywatności. Ponadto decyzja sądu może stanowić istotny precedens prawny dla innych firm zaangażowanych w inwigilację.

Co wiemy o NSO Group i jej złośliwym oprogramowaniu Pegasus?

NSO Group to izraelska firma z siedzibą w Herzliya w Izraelu, działająca w sektorze IT od 2010 roku. Pegasus został prawdopodobnie stworzony w 2011 roku i jest głównym produktem firmy.

Jest to oprogramowanie szpiegujące przeznaczone do potajemnej i zdalnej instalacji na urządzeniach z systemami iOS i Android, które umożliwia monitorowanie raz zainstalowanych gadżetów. Po zainstalowaniu aplikacja może odczytywać wszystkie informacje o właścicielu urządzenia: rozmowy, wiadomości, zdjęcia, geolokalizację, dostęp do kamery i mikrofonu, wszystkie informacje z aplikacji itp. Może nawet nagrywać audio i wideo w czasie rzeczywistym.



Strona internetowa NSO Group stwierdza: „Pracujemy, aby ratować życie i tworzyć lepszy, bezpieczniejszy świat”. Mówi się również, że NSO Group pomaga swoim klientom „sprostać wyzwaniom związanym z szyfrowaniem”.

Podczas gdy NSO Group twierdzi, że Pegasus został pomyślany jako produkt do walki z przestępczością i terroryzmem, rządy, które kupiły oprogramowanie, używały go do szpiegowania dziennikarzy, przeciwników politycznych, obrońców praw człowieka i prawników.

Prawdopodobnie Pegasus został pierwotnie opracowany dla izraelskich służb bezpieczeństwa w celu zwalczania ataków terrorystycznych i intruzów. Na efekty nie trzeba było długo czekać: liczba ataków terrorystycznych w Izraelu znacznie spadła po tym, jak izraelskie służby bezpieczeństwa uzyskały dostęp do oprogramowania.  W 2011 r. premier Izraela Benjamin Netanjahu zatwierdził sprzedaż oprogramowania na rynki zagraniczne. Pegasus działał jako dźwignia po stronie Izraela w różnych negocjacjach. Tylko za zgodą izraelskiego Ministerstwa Obrony oprogramowanie mogło być sprzedawane konkretnym klientom.

W wywiadzie współzałożyciel i dyrektor generalny NSO Group, Shalev Julio, powiedział, że w 2009 roku on i inny współzałożyciel, Omri Lavi, zostali poproszeni o pomoc przez europejską agencję wywiadowczą. W tym czasie Shalev i Omri stworzyli firmę, która pomagała operatorom komórkowym zdalnie rozwiązywać problemy z telefonami klientów. I to prawdopodobnie od tego okresu powinniśmy prześledzić początek historii oprogramowania szpiegującego.

Unikalność Pegasusa wygenerowała wysoki popyt

NSO Group było w stanie zaoferować swoim klientom unikalne opcje. W końcu, wraz z rozwojem technologii i wymogów prywatności, coraz więcej komunikatorów i aplikacji komunikacyjnych zaczęło wykorzystywać szyfrowanie end-to-end do ochrony wiadomości podczas ich transmisji między urządzeniami.

Trend ten przyspieszył szczególnie po wycieku Edwarda Snowdena w 2013 roku, który ujawnił, że amerykańskie agencje wywiadowcze prowadzą masową inwigilację ludzi. Aplikacje z szyfrowaniem end-to-end zaczęły pojawiać się niemal wszędzie. Hakowanie samych urządzeń stało się więc niemal jedynym sposobem na zdalne monitorowanie i przechwytywanie komunikacji.

Dokument NSO Group szczegółowo opisujący funkcje systemu Pegasus, który przypadkowo wyciekł, stwierdzał, że "szyfrowanie ... i inne metody ukrywania komunikacji nie są już istotne, gdy na urządzeniu zainstalowany jest agent".

Jak ujawniono Pegasusa, metody instalacji, hakowanie WhatsApp

Przez długi czas głównym sposobem na zainstalowanie Pegasusa na czyimś gadżecie był phishing i socjotechnika. Użytkownicy byli nakłaniani do kliknięcia w złośliwy link. Zastosowane manipulacje były bardzo wyrafinowane - komuś zaproponowano obejrzenie kompromitujących zdjęć, kogoś poproszono o odnalezienie zaginionej córki itp.

Exploit Pegasus iOS został odkryty zaledwie kilka lat po premierze produktu, w sierpniu 2016 roku. W wykryciu pomogła wiedza ofiary na temat cyberbezpieczeństwa i phishingu. W tym czasie emiracki działacz na rzecz praw człowieka Ahmed Mansour otrzymał wiadomość tekstową obiecującą dostarczenie informacji na temat tortur w więzieniach ZEA za pośrednictwem linku phishingowego. Działacz na rzecz praw człowieka wysłał link do Citizen Lab Uniwersytetu w Toronto, które we współpracy z Lookout przeprowadziło dochodzenie i odkryło, że gdyby Mansour kliknął w link, jego telefon zostałby zhakowany i zainstalowano by na nim złośliwe oprogramowanie.

Badacze odkryli, że złośliwe oprogramowanie może jailbreakować iPhone'a po otwarciu złośliwego adresu URL. Zauważyli również odniesienia do NSO Group i Pegasus w kodzie. Prawdopodobnie program był używany przez lata, zanim został odkryty.

Lookout

"Uważamy, że to oprogramowanie szpiegujące było aktywne przez znaczny okres czasu w oparciu o pewne wskaźniki w kodzie. Kod wykazuje oznaki tabeli dopasowania jądra, która istnieje od czasu iOS 7 (wydanego w 2013 r. - red.)".

 

Następnie Pegasus był w stanie infiltrować gadżety ofiar bez użycia phishingu, nawet bez jakiejkolwiek interakcji użytkownika - za pośrednictwem popularnego komunikatora WhatsApp. Proste połączenie w komunikatorze z urządzeniem ofiary mogło zainstalować oprogramowanie szpiegujące. Ofiara nie musiała nawet odbierać połączenia. W tym czasie, w 2018 roku, liczba użytkowników WhatsApp osiągnęła 1,3 miliarda, co stanowiło ogromną bazę do inwigilacji.

Administracja Joe Bidena umieściła NSO Group na czarnej liście dopiero w 2021 roku i zakazała amerykańskim agencjom rządowym kupowania jej produktów. Lista podmiotów to lista ograniczeń handlowych opublikowana przez Biuro Przemysłu i Bezpieczeństwa (BIS) Departamentu Handlu Stanów Zjednoczonych. Podmioty znajdujące się na liście podlegają amerykańskim wymogom licencyjnym w zakresie eksportu lub transferu niektórych produktów, takich jak niektóre amerykańskie technologie. Jednak osoby fizyczne lub firmy prywatne w USA nie mają zakazu nabywania towarów od firm znajdujących się na liście.

Stanowisko NSO Group: czy wiedzieli o masowej inwigilacji?

Współzałożyciel i dyrektor generalny NSO Group, Shalev Julio, w różnych wywiadach po ujawnieniu masowej inwigilacji w 2016 roku twierdził, że dyskusje i rozmowy wokół działań firmy byłyby inne, gdyby mógł ujawnić publicznie osiągnięcia swojego oprogramowania.

"Mogę powiedzieć z całą skromnością, że tysiące ludzi w Europie zawdzięczają życie setkom pracowników naszej firmy" - powiedział Shalev Julio izraelskiemu portalowi Ynetnews w 2019 roku.

Zapytany przez niemiecką gazetę Die Zeit, współzałożyciel NSO Group zauważył, że to od klientów kupujących oprogramowanie firmy zależy, kto jest celem lub ofiarą inwigilacji. I choć przyznał, że dane wywiadowcze mogą być moralnie dwuznaczne, "to jest to, czego potrzebujesz, aby złapać złych facetów".

"Gdybym wiedział, że prawa człowieka były naruszane w dramatyczny sposób przez naszą firmę, odszedłbym. Nie sądziłem, że firma narusza prawa człowieka. Założyliśmy NSO, aby pomóc organom ścigania i agencjom wywiadowczym".

W kontekście pozwu sądowego NSO Group opublikowała w 2021 r. "raport dotyczący przejrzystości i odpowiedzialności", twierdząc, że firma odrzuciła możliwości sprzedaży o wartości ponad 300 milionów dolarów, w tym w wyniku procesów należytej staranności w zakresie praw człowieka.

Kto był monitorowany przez Pegasus

Do 2018 r. Citizen Lab udokumentował, że oprogramowanie NSO Group może być potencjalnie wykorzystywane w 45 krajach. Najnowszy raport przejrzystości NSO Group wskazuje, że firma ma 60 klientów na całym świecie. Monitorowano obrońców praw człowieka, polityków, aktywistów, prawników, dziennikarzy - w sumie ponad 50 000 numerów telefonów.



Oczywiście program był również wykorzystywany do śledzenia i neutralizowania przestępców i terrorystów. Na przykład w 2011 r. Meksyk wykorzystał oprogramowanie do złapania narkotykowego lorda El Chapo. Kraje europejskie używały Pegasusa do zapobiegania atakom terrorystycznym, handlowi ludźmi i zwalczaniu przestępczości zorganizowanej.

[blockquote_with_author position="Raport NSO Group"]"Naszym celem jest pomoc rządom w ochronie obywateli i ratowaniu życia. Nasze zaawansowane produkty poszukiwawczo-ratownicze pomagają służbom ratowniczym szybko identyfikować i lokalizować zaginione osoby i pomogły uratować życie w wielu katastrofalnych sytuacjach, w tym w zawaleniu się tamy w Brazylii w 2019 r., trzęsieniu ziemi w Nepalu w 2015 r., trzęsieniu ziemi w Meksyku w 2017 r. i zawaleniu się parkingu w Tel Awiwie w 2016 r. Nasze narzędzia do analizy danych pomagają organom ścigania analizować dane i identyfikować wzorce, które pozwalają władzom szybko zidentyfikować podejrzanych".[/blockquote_with_author]

na 2021 rok:

Jednak rządy wykorzystały Pegasusa również do zachowania i konsolidacji swojej władzy oraz do śledzenia przeciwników politycznych, dziennikarzy i aktywistów. Meksyk, który był prawdopodobnie pierwszym krajem, który nabył Pegasusa, wykorzystał go przeciwko dziennikarzom i działaczom na rzecz praw człowieka, a nawet dietetykom i politykom. Zjednoczone Emiraty Arabskie włamywały się do telefonów aktywistów, zbierały brudy i więziły ich. W Arabii Saudyjskiej Pegasus był używany do szantażowania aktywistek. Oprogramowanie NSO Group zostało wykorzystane przeciwko pracownikowi międzynarodowej organizacji praw człowieka Amnesty International, który zajmował się prawami człowieka w Arabii Saudyjskiej. Były prezydent Panamy Ricardo Martinelli został oskarżony o używanie Pegasusa do nielegalnego podsłuchiwania i inwigilowania swoich przeciwników politycznych.

Jednym z najgłośniejszych wydarzeń związanych z Pegasusem jest zabójstwo dziennikarza i pisarza Jamala Khashoggiego z Arabii Saudyjskiej w październiku 2018 roku. Wiadomo, że władze saudyjskie włamały się do telefonu Khashoggiego i zwabiły go do ambasady w Stambule, gdzie zabiły dziennikarza.



W 2023 r. Hanan Elatr Khashoggi, wdowa po zamordowanym saudyjskim dziennikarzu Jamalu Khashoggim, złożyła pozew przeciwko NSO Group, twierdząc, że instalując oprogramowanie szpiegujące Pegasus na jej telefonie, firma zmusiła ją do zaprzestania pracy w obawie o bezpieczeństwo jej rodziny.  Elatr Khashoggi pracowała jako stewardesa i została zatrzymana na lotnisku w Dubaju w kwietniu 2018 r., gdzie zawiązano jej oczy, skuto kajdankami i zabrano do celi przesłuchań, gdzie przez kilka godzin przesłuchiwano ją w sprawie Jamala Khashoggiego. Śledczy ustalili, że podczas przesłuchania na jej urządzeniu prawdopodobnie zainstalowano oprogramowanie szpiegujące. Kilka miesięcy później jej mąż został zabity.

Według dochodzenia przeprowadzonego przez Forbidden Stories i Amnesty International, Pegasus miał ponad 50 000 numerów telefonów na swojej liście obserwacyjnej. Według doniesień medialnych, wśród ofiar potencjalnej inwigilacji mogą znaleźć się tak znane osobistości życia politycznego i publicznego jak prezydent Francji Emmanuel Macron (na wszelki wypadek zmienił swój numer telefonu), były prezydent Iraku Barham Salih, prezydent RPA Cyril Ramaphosa, premier Pakistanu Imran Khan, premier Egiptu Mustafa Madbouli, premier Maroka Saad Eddin El-Othmani i król Maroka Mohammed VI.

A także byli szefowie rządów: premier Jemenu Ahmed Obeid bin Dagr, premier Libanu Saad Hariri, premier Ugandy Ruhakana Rugunda, premier Francji Edouard Philippe, premier Kazachstanu Bakytzhan Sagintayev, premier Algierii Noureddine Bedoui, premier Belgii Charles Michel. Znane osoby publiczne: Meksykańska reporterka Cecilia Pineda Birto, zamordowana w 2017 roku; bliski przyjaciel Khashoggiego, Wadah Khanfar, były dyrektor generalny katarskiej sieci Al Jazeera; Rula Khalaf, redaktor Financial Times; lider indyjskiej opozycji Rahul Gandhi; Fatima Movlamli, azerska aktywistka, której intymne zdjęcia wyciekły do sieci w 2019 r.; Paranjoy Guha Thakurta, dziennikarz; Swat Chaturvedi, indyjski dziennikarz śledczy, który w 2016 r. opublikował demaskację dezinformacji internetowej partii rządzącej.

Ogólnie wiadomo, że Pegasus był wykorzystywany do szpiegowania ludzi w Afganistanie, Azerbejdżanie, Bahrajnie, Bhutanie, Chinach, Kongo, Egipcie, na Węgrzech, w Indiach, Iranie, Kazachstanie, Kuwejcie, Mali, Meksyku, Nepalu, Katarze, Rwandzie, Arabii Saudyjskiej, Togo, Turcji, Zjednoczonych Emiratach Arabskich, Wielkiej Brytanii i Stanach Zjednoczonych. Wiadomo, że oprogramowanie szpiegujące Pegasus było używane z dużym prawdopodobieństwem przez Azerbejdżan, Zjednoczone Emiraty Arabskie, Indie, Kazachstan, Meksyk, Bahrajn, Maroko, Arabię Saudyjską, Węgry i Rwandę.