Tridesetog oktobra ove godine, dvojica direktora organizacija civilnog društva u Srbiji primili su neobičnu poruku na svom telefonu. Naime, kompanija Epl, čije uređaje poseduju, poslala im je upozorenje preko Epl ID-a, to jest njihovog personalnog naloga. Poruka je glasila: “Epl veruje da ste meta državno sponzorisanih napadača koji iz daljine pokušavaju da kompromituju telefon povezan sa ovim nalogom.” Dalje, “napadači su vas vrlo verovatno izabrali zbog toga ko ste i šta radite”. I na kraju, “u slučaju da je vaš uređaj kompromitovan, napadači će možda biti u mogućnosti da pristupe vašim osetljivim podacima, komunikacijama, pa čak i kameri i mikrofonu”.
Ubrzo zatim usledila je još jedna upozoravajuća poruka, ovog puta poslata preko SMS-a. Uz pomoć Fondacije SHARE verifikovano je da je poruka Epla autentična, odnosno da je zaista poslata iz ove kompanije.
Jedini način da se utvrdi šta se zapravo desilo, odnosno da li je i koji špijunski softver pokušao, ili uspeo, da se infiltrira na telefone jeste da se radi digitalna forenzika podataka sa uređaja. Kako domaće organizacije nemaju kapacitete za otkrivanje sofisticiranih spajvera, za koje se pretpostavlja da su u pitanju, SHARE fondacija se obratila međunarodnim organizacijama Amnesty International i Access Now.
SUMNJA NA NAJGORE
Prva pomisao nakon otkrivanja napada bila je da su korišćeni špijunski softveri Pegaz ili Predator.
Nalazi do kojih su došle obe ekspertske organizacije pokazuju da je u inicijalnoj fazi napad pokušan preko ranjivosti PWNYOURHOME, koja se vezuje za kontroverzni špijunski softver Pegaz. Odnosno, poznato je da je upravo taj softver godinama koristio ovu ranjivost kako bi se infiltrirao u targetirani uređaj. U međuvremenu je kompanija Epl razvila bezbednosnu zaštitu koja bi trebalo tu ranjivost da otkloni.
Međutim, kanadska interdisciplinarna laboratorija za Informaciono komunikacione tehnologije pri Univerzitetu u Torontu, “Citizen Lab”, otkrila je u aprilu ove godine da je Pegaz i tokom 2022. godine koristio ranjivost PWNYOURHOME za infiltraciju. U pitanju je bila verzija iOS 16 operativnog sistema, dok je za verziju iOS 15 eksploatisao ranjivost FINDMYPWN. Trenutno se koristi iOS 17.
Kako se sve odigralo? Upozoravajuća poruka stigla je 30. oktobra. Međutim, napad je registrovan 16. avgusta. Zašto je kompaniji Epl trebalo dva i po meseca da reaguje? Stručnjak za digitalnu bezbednost sa kojim je “Vreme” razgovaralo, a koji je želeo da ostane anoniman, kaže da postoji mogućnost da je ova kompanija radila neku dublju analizu pre nego što je obavestila dva direktora civilnog društva.
Kako “Vreme” saznaje, napad na oba uređaja dogodio se istog dana, u razmaku od nekoliko sati, a za sada su s njim povezana dva Epl ID naloga iz inostranstva. Za jedan od njih vezana je adresa elektronske pošte napravljena preko Proton maila (što automatski znači mu je vrlo teško ući u trag). Za oba imena korišćena u kreiranju naloga se veruje da su izmišljena. Prema informacijama “Vremena”, problem leži u tome što Epl, pozivajući se na zaštitu privatnosti svojih korisnika, odbija da dostavi više informacija o spornim nalozima.
I dalje je u postupku proces identifikacije da li je sa napadnutim uređajima ostvaren kontakt putem poziva ili SMS poruke, koji su bili maliciozni. Da bi se ovo utvrdilo, neophodna je saradnja mobilnih operatera, odnosno telekomunikacijskih kompanija, koje neretko imaju izrazito komplikovane procedure o zaštiti privatnosti, čime otežavaju istragu.
BOG ŠPIJUNSKOG SVETA
Suštinska razlika između Pegaza i ostalih spajvera, uključujući i makedonski Predator, jeste što on koristi “zero-click” (nultu) eksploataciju, odnosno ranjivosti samog uređaja i njegovog operativnog sistema. Kod ostalih špijunskih softvera neophodno je da žrtva prvo bude “upecana”, odnosno preuzme neku zaraženu datoteku ili otvori maliciozni link. Eksploataciji postojeće ranjivosti koju Pegaz napada prethodi neka vrsta kontakta napadača i mete. Na početku je korišćen poziv preko društvene mreže Votsap. Sada se koristi običan poziv ili SMS poruka. Stručnjak za digitalnu bezbednost sa kojim je “Vreme” razgovaralo smatra da je vrlo moguće da Pegaz može iskoristiti i pozive preko nekih drugih aplikacija, poput Zooma, kako bi ostvario kontakt sa uređajem.
Pegaz je razvila izraelska kompanija NSO-grupa 2011. godine. Prvobitno se i on infiltrirao u uređaje putem fišinga (pecanja). Inicijalno je razvijen za iOS operativne sisteme, da bi tek naknadno bio razvijen i za Androide.
Svaki telefon ima ograničenja po pitanju softvera koji korisnik na njemu može instalirati. Međutim, u slučaju Pegaza, napadač prodire u jezgro operativnog sistema, gde preuzima privilegovani administratorski pristup, koji mu omogućava da zaobiđe bezbednosne restrikcije uređaja i infiltrira maliciozni softver u telefon. Kod Android telefona on preuzima takozvani “root” pristup, dok je kod Epl telefona u pitanju “jailbreaking” proces. Samim tim, razlika u eksploataciji ova dva operativna sistema leži u načinu preuzimanja privilegovanog pristupa i napadnutim ranjivostima. Kada se nađe na uređaju, Pegaz je neprimetan, dok, sa druge strane, ima pristup gotovo svim podacima na telefonu – porukama, elektronskoj pošti, fotografijama, lokaciji uređaja, kontaktima, pa i nekim društvenim mrežama (uglavnom Votsapu). Takođe, Pegaz može aktivirati i kameru, ili mikrofon, te na taj način snimati i prisluškivati okolinu uređaja. Kada obavi posao, praktično nestane sa telefona.
Da bi se ustanovila kompromitacija nekog uređaja Pegazom, neophodno je koristiti MVT detektor, softver koji je razvila organizacija Amnesty International. Ovaj detektor skenira rezervne kopije podataka na uređaju i traži malobrojne tragove koje Pegaz ostavlja za sobom. Jedino se na ovaj način sa sigurnošću može utvrditi prisustvo ovog spajvera.
POD POKROVITELJSTVOM DRŽAVE
Elem, ako digitalna forenzika još uvek nije završena, kako se zna da su u pitanju državno sponzorisani napadi? Dovoljno je voditi se zdravorazumskom logikom i zaključiti da drugog odgovora ne može biti. Razloga je više. Prvo, ovaj spajver je izrazito skup: vrednost se meri u stotinama hiljada evra, sudeći po izveštajima “Njujork tajmsa” iz 2016. godine. Cena varira od operativnog sistema uređaja koji treba biti napadnut. Tada se kretala oko 650 hiljada dolara za deset iOS i Android telefona, 500 hiljada za Blekberi uređaje, dok je najjeftinija opcija bila za telefone koji imaju Simbija operativni sistem (prvobitna verzija touch–screen uređaja).
Iako je ovaj izveštaj star preko sedam godina, malo je verovatno da je cena drastično opala, s obzirom da je postojanje Pegaza otkriveno, a operativni sistemi razvili kakvu-takvu zaštitu. Sada NSO grupa mora uložiti dodatna sredstva kako bi prevazišla prepreke, pronašla nove ranjivosti i unapredila softver.
Drugi razlog se direktno naslanja na prvi. Kada uzmemo u obzir cenu ovog softvera, jasno je da iza njegovog korišćenja može stajati samo ozbiljan motiv, a ko bi imao bolji za pokušaj špijunaže predstavnika civilnog društva od države, odnosno određenih političkih centara moći. Dalje, treba navesti činjenicu da se u Srbiji trenutno bliže izbori, da je društvenopolitička situacija prilično napeta, te da bi određenim strukturama vlasti svakako odgovaralo da zadru u privatnost organizacija koje ih kritikuju.
Takođe, ranija istraživanja napada Pegazom pokazala su da su na listi meta bili mahom novinari, kritičari vlasti, opozicioni političari, disidenti i aktivisti. U svakom slučaju, ispostavilo se da su iza svih napada bile državne strukture. Kako su predstavnici NSO grupe, koja je razvila ovaj softver, i izjavili 2021. godine, licenca se izdaje “samo zvaničnim vlastima”, ali “za borbu protiv terorizma”. Prva tvrdnja je tačna, dok je druga pravno ograđivanje od odgovornosti ove prilično kontroverzne kompanije, što se uostalom i može videti na osnovu liste ljudi u čijim telefonima je detektovan Pegaz.
Ipak, državno sponzorisani tehnički napad ne mora se nužno odnositi na državne strukture u kojima se odigrao. U isti mogu biti upletene bezbednosne strukture neke druge zemlje, ili pak napad može biti izveden u međusobnoj saradnji više struktura. U svakom slučaju, otkriti naručioca napada izrazito je teško, tako da je malo verovatno da će se forenzika koja se trenutno radi uopšte približiti ovim odgovorima.
Prema pisanjima Blumberga sa kraja prošlog meseca, izraelska vlada koristila je Pegaz u Pojasu Gaze, navodno kako bi pronašla lokacije na kojima se nalaze taoci koje je Hamas zarobio. Međutim, postavlja se pitanje da li korišćenje ovog spajvera u trenutnoj konfliktnoj zoni zapravo predstavlja neku vrstu masovnog nadzora nad Palestincima. Američki portal Axios pisao je pre dve nedelje, pozivajući se na svoje izvore, da NSO grupa na ovaj način pokušava da popravi svoj ugled u svetu, kao i da aktivno lobira u SAD kako bi bila uklonjena sa crne liste organizacija. Drugim rečima, kako bi se vratila na američko tržište, a licence za Pegaz postale dostupne za nabavku tamošnjim pravosudnim i obaveštajnim agencijama. Sa druge strane, u poslednjih nekoliko meseci, kompanija Epl obavestila je više ruskih novinara da je na njihovim telefonima takođe detektovan pokušaj napada Pegazom.
Ovaj softver je do sada identifikovan na preko pedeset hiljada uređaja širom sveta.
STRAH OD NEPOZNATOG
Napad na predstavnike civilnog društva pokazatelj je da se Srbija svrstala na listu zemalja u kojima se Pegaz koristi za gušenje slobodne misli. Da ne bude zabune, ne radi se tu samo o autoritarnim državama; tragovi ovog spajvera uveliko su pronađeni u razvijenim evropskim demokratijama. Tendencija da se prisluškuje, prati i nadzire jeste boljka mahom svih režima i potrebe za opstankom na vlasti. Jedina je razlika u granici koju su centri moći spremni da pređu, a upravo Pegaz, kao najintruzivniji špijunski softver, predstavlja poslednju crvenu liniju.
Da li je napad na ove dve organizacije bio jedini? Za sada nema dokaza da su još neki telefoni zaraženi ili tragova o pokušaju infiltriranja. Međutim, ne koriste sve potencijalne mete u Srbiji isključivo uređaje sa iOS operativnim sistemom. Iako neke kompanije čiji su telefoni bazirani na Android operativnom sistemu, poput Samsunga, tvrde da su ispravile ranjivosti koje Pegaz napada, Epl se pokazao najdelotvorniji.
Međutim, ekspert za digitalnu bezbednost objašnjava da treba uzeti u obzir i verziju iOS koja se koristi. Kako kaže, u slučaju da je napad pokušan i na druge uređaje, koji su možda imali stariju verziju, ili nisu redovno ažurirali operativni sistem, postoji velika mogućnost da ne bi dobili nikakve upozoravajuće poruke.
Treba imati u vidu da su oni koji razvijaju zaštitu uvek jedan korak iza onih koji je eksploatišu. Drugim rečima, Pegaz će s vremena na vreme pronaći način da se infiltrira u uređaj bilo kog proizvođača, dok će ranjivost koju je eksploatisao biti ispravljena tek u nekom narednom ažuriranju operativnog sistema.
Ako digitalna forenzika na telefonima direktora civilnog društva pronađe ikakve tragove Pegaza, neće biti nikakve sumnje – spajver je uspešno eksploatisao ranjivosti; nije u pitanju bio pokušaj napada, već uspešan napad.
Teško je poverovati da je napad pokušan na samo ova dva uređaja gde je detektovan. Bez upadanja u paranoju špijuniranja, svojstvenu samoj pomisli na ovaj spajver, treba ostaviti određenu dozu sumnje da je Pegaz negde ipak uspeo da prodre, ostane nevidljiv i radi svoj posao.