Pegasus (oprogramowanie szpiegujące)

Ten artykuł dotyczy oprogramowania szpiegującego. Zobacz też: inne znaczenia.

Pegasus – oprogramowanie szpiegujące przeznaczone do instalacji na systemach iOS i Android opracowane i dystrybuowane przez izraelską firmę NSO Group.^[1]

Metoda działania

Zainfekowanie telefonu komórkowego może odbyć się za pośrednictwem jednej z trzech metod. Najczęściej zainfekowanie urządzenia zachodzi poprzez wejście w link przesłany za pośrednictwem poczty elektronicznej. Otwarcie linku rozpoczyna komunikację urządzenia z serwerem, który infekuje urządzenie. Drugi sposób, bazujący na wykorzystaniu komunikatora internetowego, nie wymaga interakcji z linkiem. Wystarcza samo jego wyświetlenie. Trzeci sposób zainfekowania telefonu wykorzystuje połączenie telefoniczne, którego odebranie nie jest konieczne do instalacji Pegasusa (wystarcza samo przesłanie sygnału)^[2]. W przypadku iOS Pegasus wykorzystywał proces jailbreakingu, jednak jak zapewnia Apple, od aktualizacji 9.3.5 iOS wykorzystywana luka w zabezpieczeniach została załatana^[3]. Po zainfekowaniu urządzenia Pegasus otrzymuje dostęp do wszystkich jego funkcji. Począwszy od lokalizacji, rejestru połączeń, zapisanych haseł, rejestrowania dźwięku (de facto umożliwiając podsłuchiwanie) kończąc na danych przesyłanych za pomocą innych aplikacji (np. Messenger)^[4].

Pierwsze wykrycia Pegasusa

Oprogramowanie po raz pierwszy zostało wykryte w 2016 r. Ahmed Mansur – aktywista działający na rzecz ochrony praw człowieka w Zjednoczonych Emiratach Arabskich – otrzymał wiadomość SMS z linkiem, który miał zawierać informacje o przetrzymywaniu i torturach w więzieniach w ZEA^[5]. Przed otwarciem linku Mansur poprosił o jego sprawdzenie organizację Citizen Lab. Śledztwo rozpoczęte przez Citizen Lab we współpracy z Lookout – prywatną firmą zajmującą się cyberbezpieczeństwem, ujawniło, że otwarcie linku spowodowałoby zainfekowanie telefonu Mansura oprogramowaniem szpiegującym oraz wskazało jako producenta izraelską firmę NSO Group^[6].

Innym skandalem zawierającym wątek Pegasusa było zabójstwo Dżamala Chaszukdżiego – saudyjskiego dziennikarza publikującego m.in. na łamach „The Washington Post”. Edward Snowden wykazał, że Chaszukdżi przez kilka miesięcy przed zamordowaniem był śledzony przy wykorzystaniu Pegasusa^[7]. Następne doniesienia informowały o wykorzystywaniu oprogramowania do inwigilacji indyjskich działaczy społecznych i prawników^[8] oraz jako narzędzie w rękach meksykańskich karteli narkotykowych^[9]. W 2018 r. Citizen Lab opublikowało raport z własnego śledztwa wykazujący obecność Pegasusa w 45 państwach^[10]. W lipcu 2021 r. padło podejrzenie, że prezydent Francji Emmanuel Macron, był podsłuchiwany przez marokańskie służby poprzez wykorzystanie oprogramowania Pegasus. Oprócz prezydenta na liście potencjalnych celów znalazł się były premier Édouard Philippe, 14 ministrów oraz ponad 50 tys. innych numerów telefonów z całego świata potencjalnie narażonych na inwigilację za pośrednictwem Pegasusa^[11]. Emmanuel Macron zapowiedział zwołanie specjalnego posiedzenia francuskiej Rady Bezpieczeństwa Narodowego w sprawie Pegasusa^[12]. Z 50 tys. narażonych numerów telefonów około tysiąc zostało powiązanych z dziennikarzami mediów takich jak „The Wall Street Journal”, „El País” i CNN. Przewodnicząca Komisji Europejskiej Ursula von der Leyen podkreśliła, że inwigilacja dziennikarzy jest niedopuszczalna i wbrew wszelkim zasadom i wartościom Unii Europejskiej^[13].

Pegasus w Polsce

Raport Citizen Lab już w 2018 r. wskazywał, że operator o nazwie roboczej ORZELBIALY rozprzestrzeniał Pegasusa, wykorzystując sieci komórkowe należące do Polkomtel, Fiberlink, Orange Polska, T-Mobile Polska, PROSAT, Vectra i Netia^[10]. Sposób działania Pegasusa nie wymaga jednak zgody operatorów telekomunikacyjnych na rozprzestrzenianie przy użyciu ich sieci^[14]. W 2018 r. Najwyższa Izba Kontroli w komunikacie prasowym wykazała, że Centralne Biuro Antykorupcyjne otrzymało 25 mln zł od Ministerstwa Sprawiedliwości ze środków pochodzących z Funduszu Sprawiedliwości^[15]. W 2019 r. dziennikarskie śledztwo reporterów programu Czarno na białym powiązało kwotę przekazaną CBA z zakupem za pośrednictwem jednej z warszawskich firm informatycznych oprogramowania do inwigilacji^[16]. Z prośbą o wyjaśnienia do sejmowej Komisji ds. Służb Specjalnych i premiera wystąpił Rzecznik Praw Obywatelskich^[17]. W odpowiedzi sekretarz Kolegium ds. Służb Specjalnych określił zarzuty RPO za bezpodstawne, nie odnosząc się do samego potencjalnego zakupu Pegasusa przez CBA^[18]. W krótkim oświadczeniu CBA zaprzeczyło kupnu „systemu masowej inwigilacji Polaków”^[19]. 16 października 2019 w sprawie kupna Pegasusa odbyło się zamknięte posiedzenie sejmowej Komisji ds. Służb Specjalnych^[20]. Komisja nie skorzystała z przysługującego jej prawa^[21] do sporządzenia komunikatu dla mediów z posiedzenia.

W 2020 r. dziennikarze „Rzeczypospolitej” ustalili, że system Pegasus był wykorzystany do zatrzymania przez CBA byłego ministra Sławomira Nowaka^[22]. Z racji pracy Nowaka w sztabie wyborczym opozycyjnego kandydata na Prezydenta RP Rafała Trzaskowskiego dziennikarze i środowiska opozycyjne zwrócili uwagę na możliwość inwigilacji sztabu Rafała Trzaskowskiego podczas kampanii wyborczej^[23]. W odpowiedzi minister koordynator Służb Specjalnych Mariusz Kamiński nie potwierdził wykorzystania Pegasusa i zaprzeczył inwigilacji sztabu opozycji^[24]. W lipcu 2021 r., w związku z aferą dotyczącą inwigilacji prezydenta Francji została opublikowana lista stron internetowych potencjalnie wykorzystywanych do rozprzestrzeniania. Wśród 1406 opublikowanych adresów dwa wskazują na polską stronę internetową e-monitoring-przesylek i e-prokuror.info^[25][26].

Sprawa kupna i wykorzystania przez CBA systemu Pegasus ożywiła w Polsce dyskusję nad wydolnością systemu kontroli i nadzoru nad służbami specjalnymi. W 2019 r. z inicjatywy Rzecznika Praw Obywatelskich zespół ekspertów złożony z przedstawicieli organizacji pozarządowych, byłych polityków i funkcjonariuszy przygotował raport Osiodłać Pegaza wskazujący na archaiczność polskiego systemu nadzoru i kontroli nad służbami, postulujący utworzenie niezależnego organu kontroli^[27][28]. Kontrowersje związane z ujawnionym przez Citizen Lab kupnem i używaniem programu Pegasus w czasie rządów Prawa i Sprawiedliwości doprowadziły do powołania 12 stycznia 2022 nadzwyczajnej komisji senackiej ds. nielegalnej inwigilacji^[29].

Według raportu końcowego komisji w Polsce Pegasusa używano w „stopniu niezwykle agresywnym”, zaś kupno i wykorzystanie Pegasusa było nielegalne i stanowiło „rażące naruszenie norm konstytucyjnych”^[30]. Komisja skierowała wnioski do prokuratury wobec osób, które związane były z nabyciem i użytkowaniem programu. Wśród nich znaleźli się m.in.: Mariusz Kamiński, Bogdan Święczkowski, Ernest Bejda, Michał Woś i Piotr Patkowski^[31].

Citizen Lab potwierdziło pięć przypadków stosowania Pegasusa w Polsce; według laboratorium oprogramowania użyto wobec Krzysztofa Brejzy, Romana Giertycha, Ewy Wrzosek (prokurator, członek stowarzyszenia Lex super omnia, krytyczka zmian w sądownictwie wprowadzonych w czasie rządów Prawa i Sprawiedliwości^[32]), Michała Kołodziejczaka i Tomasza Szwejgierta (dziennikarz i zastępca redaktora naczelnego portalu Służby specjalne, współautor książki o ministrze Mariuszu Kamińskim^[33])^[34]. Amnesty International potwierdziło, że Pegasusa użyto przeciwko Krzysztofowi Brejzie^[35] (Brejza miał być inwigilowany w czasie kampanii wyborczej przed wyborami parlamentarnymi w 2019 roku, w czasie kampanii pełnił funkcję szefa sztabu wyborczego Koalicji Obywatelskiej^[36]), a ponadto potwierdziło ślady prób zainfekowania Pegasusem na telefonach Ryszarda Brejzy (prezydent Inowrocławia i ojciec Krzysztofa Brejzy) i Magdaleny Łośko (asystentka Krzysztofa Brejzy)^[37].

17 stycznia 2024 Sejm RP powołał komisję śledczą ds. czynności operacyjno-rozpoznawczych z użyciem Pegasusa. Zakres prac komisji obejmie okres od 16 listopada 2015 do 20 listopada 2023^[38].

Od września 2021 r. NSO Group, izraelski producent Pegasusa odmawiał przedłużenia licencji subskrypcyjnej na Pegasusa^[39][40], przez co korzystanie z Pegasusa przez polskie służby stało się niemożliwe.

Przypisy

1. J. Stelmach, Pegasus - oprogramowanie inwigilacyjne w Polsce i na świecie, Komentarz ZBN UJ, nr 12 (84)/2021.
2. JakubJ. Krawczyński JakubJ., Pegasus – wszystko, co powinniście wiedzieć o systemie szpiegującym [online], Dobre Programy, 23 lipca 2020 .
3. JuliJ. Clover JuliJ., Apple Releases iOS 9.3.5 With Fix for Three Critical Vulnerabilities Exploited by Hacking Group [online], MacRumors, 25 sierpnia 2016 .
4. TomaszT. Mileszko TomaszT., Nieoficjalne: Pegasus podsłuchiwał byłego ministra Nowaka. Co wiemy o systemie inwigilacji absolutnej? [online], Komputer Świat, 23 lipca 2020 .
5. DaveD. Lee DaveD., Who are the hackers who cracked the iPhone? [online], BBC, 26 sierpnia 2016 .
6. AmitaiA. Ziv AmitaiA., Israeli Cyberattack Firm NSO Bought Back by Founders at $1b Company Value [online], Haaretz, 14 lutego 2019 .
7. RosieR. Perper RosieR., Edward Snowden: Israeli spyware was used to track and eventually kill Jamal Khashoggi [online], Business Insider, 9 grudnia 2019 .
8. SukanyaS. Shantha SukanyaS., Indian Activists, Lawyers Were ‘Targeted’ Using Israeli Spyware Pegasus [online], the Wire, 31 października 2019 .
9. ‘It’s a free-for-all’: how hi-tech spyware ends up in the hands of Mexico’s cartels [online], the Guardian, 7 listopada 2020 .
10. BillB. Marczak BillB. i inni, Hide and Seek Tracking NSO Group’s Pegasus Spyware to Operations in 45 Countries, „Citizen Lab Research Report No. 113”, University of Toronto, 18 września 2018 .brak strony (czasopismo)
11. Emmanuel Macron na liście celów inwigilacji Pegasusem – CyberDefence24 [online], cyberdefence24.pl [dostęp 2021-07-22] .
12. JordanJ. Hansen JordanJ., France: Macron held the National Security Council meeting on the Pegasus deal [online], R&R Magazine, 22 lipca 2021 [dostęp 2021-07-22]  (ang.).
13. 'It is completely unacceptable’: Europe responds to Pegasus spyware controversy [online], newseu.cgtn.com [dostęp 2021-07-22]  (ang.).
14. Jak wygląda rządowy trojan PEGASUS z którego korzysta CBA od środka? [online], Niebezpiecznik, 2 grudnia 2019 .
15. Pomoc z Funduszu Pomocy Pokrzywdzonym nie dla pokrzywdzonych [online], Najwyższa Izba Kontroli, 29 czerwca 2018 .
16. RobertR. Zieliński RobertR., System do inwigilacji za 25 milionów pochodzących z Funduszu Sprawiedliwości [online], TVN24, 3 września 2019 .
17. RPO ma wątpliwości dotyczące zakupu przez Centralne Biuro Antykorupcyjne systemu Pegasus [online], Biuro Rzecznika Praw Obywatelskich, 13 września 2019 .
18. Odpowiedź rządu na wystąpienie RPO milczy nt. Pegasusa [online], Biuro Rzecznika Praw Obywatelskich, 3 października 2019 .
19. Oświadczenie CBA [online], 4 września 2019 .
20. Komisja do Spraw Służb Specjalnych (KSS) [online], sejm.gov.pl [dostęp 2021-06-07] .
21. Uchwała Sejmu Rzeczypospolitej Polskiej z dnia 30 lipca 1992 r. Regulamin Sejmu Rzeczypospolitej Polskiej (M. P. z 2019 r., poz. 1028, z późn. zm.) art. 141 ust. 3.
22. GrażynaG. Zawadzka GrażynaG., IzabelaI. Kacprzak IzabelaI., Nowak nie był podsłuchiwany podczas kampanii wyborczej [online], Rzeczpospolita, 24 lipca 2020 .
23. Sprawa Nowaka pretekstem do inwigilacji sztabu Trzaskowskiego? Kamiński odpowiada na tezy Budki [online], Wprost, 23 lipca 2020 .
24. Trzaskowski: Rządzący mówią, że nie było inwigilowania członków sztabu. Zobaczymy [online], TVN24, 27 lipca 2020 .
25. Wyciekła lista 50 000 ofiar Pegasusa [online], NieBezpiecznik.pl [dostęp 2021-07-22] .
26. Pełna lista witryn internetowych potencjalnie wykorzystywanych do rozprzestrzeniania Pegasusa opublikowana na githubie.
27. Osiodłać Pegaza. Powołajmy niezależną instytucję do nadzoru służb specjalnych. Propozycja Rzecznika Praw Obywatelskich i grupy ekspertów [online], Biuro Rzecznika Praw Obywatelskich, 23 września 2019 .
28. Kolaszyński, „Osiodłać Pegaza” – założenia reformy kontroli nad służbami specjalnymi, Komentarz ZBN UJ, nr 10 (52)/2019.
29. https://www.senat.gov.pl/aktualnoscilista/art,14463,w-senacie-powstala-komisja-nadzwyczajna-ds-inwigilacji.html.
30. Pegasus: Oparty na ustaleniach Amnesty International raport senackiej komisji ds. inwigilacji ujawnia naruszenie praw człowieka [online], Amnesty International Polska, 15 września 2023 [dostęp 2023-10-26]  (pol.).
31. „W Polsce używano Pegasusa w stopniu niezwykle agresywnym”. Senacka komisja przyjęła raport ze swoich prac [online], TVN24, 6 września 2023 [dostęp 2023-10-26]  (pol.).
32. „Prokurator-wojowniczka” inwigilowana przez Pegasusa. Kim jest Ewa Wrzosek? [online], Onet Wiadomości, 21 grudnia 2021 [dostęp 2023-10-26]  (pol.).
33. Miał być inwigilowany. Kim jest Tomasz Szwejgiert? [online], wydarzenia.interia.pl [dostęp 2023-10-26]  (pol.).
34. k, Dyrektor Citizen Lab: Pegasus został wykorzystany do namierzania opozycji w Polsce [online], Kultura Liberalna, 7 listopada 2022 [dostęp 2023-10-26]  (pol.).
35. Amnesty International potwierdza, że przeciw Brejzie użyto Pegasusa [online], Rzeczpospolita [dostęp 2023-10-26]  (pol.).
36. AP: Krzysztof Brejza inwigilowany Pegasusem. W trakcie kampanii wyborczej, kiedy był szefem sztabu [online], TVN24, 23 grudnia 2021 [dostęp 2023-10-26]  (pol.).
37. Pegasus – Amnesty oraz dziennikarze Gazety Wyborczej i Die Zeit ujawniają kolejne przypadki bezprawnej inwigilacji w Polsce [online], Amnesty International Polska, 17 lutego 2022 [dostęp 2023-10-26]  (pol.).
38. Sejm powołał komisję śledczą ds. Pegasusa. Znamy pierwsze szczegóły. Onet.pl, 2024-01-17. [dostęp 2024-01-17].
39. MaciejM. Drzażdżewski MaciejM. (oprac.), Polska próbowała ominąć zakaz dotyczący Pegasusa? [online], Wirtualna Polska, 1 grudnia 2021 [dostęp 2024-02-21]  (pol.).
40. AlanA. Wysocki AlanA., Nieoficjalnie: PiS stracił dostęp do Pegasusa. Powód ma być bardzo prosty [online], naTemat.pl, 1 grudnia 2021 [dostęp 2024-02-21]  (pol.).

Linki zewnętrzne

• Pełna odpowiedź ministra Macieja Wąsika na pytanie Rzecznika Praw Obywatelskich o zakup Pegasusa
• Raport Citizen Lab z 2018 roku
• Raport Osiodłać Pegaza
• Strona NSO Group