Pegasus, system inwigilacji absolutnej. Jak działa narzędzie, które może każdego podsłuchać?

W tekście umieszczono linki reklamowe naszego partnera

Pegasus to program do elektronicznej inwigilacji użytkowników sprzedawany służbom rządowym z całego świata, który od paru lat regularnie pojawia się w kontekście różnorodnych, kontrowersyjnych doniesień. Kilkukrotnie mogliśmy usłyszeć o nim także w kontekście Polski. W grudniu 2021 r. agencja Associated Press podała, że ofiarami Pegasusa padł prawnik Roman Giertych oraz prokurator Ewa Wrzosek. Giertych miał być podsłuchiwany w 2019 r., z kolei na telefon Ewy Wrzosek miano włamać się w 2021 r.

W 2025 r. temat powrócił za sprawą publikowanych przez Telewizję Republikę tzw. taśm Giertycha, na których polityk KO rozmawiali z Donaldem Tuskiem o wyborach, przy czym sama rozmowa pochodziła najprawdopodobniej z 2019 r. – jak zauważa Onet, Telewizja Republika udostępniła nagrania bez podawania daty.

"Od dwóch dni pisowskie media publikują fragmenty moich rozmów nagrane od czerwca do września 2019 roku przez izraelski program Pegasus w ramach nielegalnej operacji prowadzonej przeciwko mnie przez CBA" – napisał Roman Giertych w oświadczeniu opublikowanym na X (dawniej Twitter) 14 czerwca. To dobry moment na sprawdzenie, jaka jest geneza izraelskiego systemu inwigilacji i na co konkretnie pozwala.

Czym jest Pegasus?

Jak czytamy w raporcie organizacji The Citizen Lab, Pegasus to oprogramowanie szpiegujące izraelskiej firmy NSO GROUP zajmującej się "rozwijaniem oprogramowania do zapobiegania oraz śledzenia działalności terrorystycznej i przestępczej". O istnieniu Pegasusa dowiedzieliśmy się w 2016 r., gdy za jego pośrednictwem próbowano uzyskać dostęp do smartfona znanego obrońcy praw człowieka ze Zjednoczonych Emiratów Arabskich, Ahmeda Mansoora. Mansoor miał kliknąć zainfekowany odnośnik, ale że nie była to pierwsza taka próba, to zamiast tego poinformował o sprawie The Citizen Lab, który przeprowadził elektroniczne śledztwo, w ramach którego wyszło na jaw istnienie tego programu.

Jak zarazić się Pegasusem?

Pegasus zostaje zainstalowany na urządzeniu ofiary np. poprzez kliknięcie specjalnego linku, za którego pośrednictwem dokonywany jest tzw. remote jailbreak wykorzystujący luki bezpieczeństwa w danym urządzeniu. W ten sposób Pegasus osadza się na urządzeniu ofiary bez jej wiedzy i zgody i zaczyna komunikować się ze swoim operatorem, umożliwiając mu wykonywanie różnego rodzaju czynności. Co ważne, program może być zainstalowany zarówno na urządzeniach Android, jak i Apple, co oznacza, że za jego pośrednictwem można zaatakować miliardy różnych urządzeń elektronicznych.

Co ciekawe, instrukcja obsługi Pegasusa, która swego czasu trafiła do sieci, pokazała, że program może być zainstalowany na danym urządzeniu także bez udziału jej posiadacza lub bez wiedzy operatora GSM. Dokonuje się tego poprzez wysłanie na urządzenie tzw. wiadomości push, która po cichu sama automatycznie instaluje program. Taki system dystrybucji aplikacji to jedna z głównych zalet Pegasusa, bo jeszcze bardziej zmniejsza ona ryzyko zaalarmowania osoby, która ma być inwigilowana.

Jakie są możliwości Pegasusa?

Pegasus to kompleksowe narzędzie pozwalające na totalną kontrolę nad zainfekowanym urządzeniem, z którego program potrafi przechwycić właściwie każdą zawartość. Od zdjęć i nagrań wideo, przez maile, SMS-y, listę kontaktów, aż po śledzenie lokacji, nagrywanie otoczenia smartfona w wersji audio oraz wideo, aż po podsłuchiwanie szyfrowanej transmisji dźwięku oraz odczytywanie zaszyfrowanych wiadomości z różnorodnych aplikacji na urządzeniu. Jego możliwości najlepiej prezentuje poniższy obrazek:

Patrząc na możliwości programu, nietrudno zrozumieć, dlaczego jest on wykorzystywany przez służby specjalne. Jakby tego było mało Pegasus posiada system autodestrukcji aktywowany w dwóch przypadkach: gdy klient programu na urządzeniu ofiary przez dłuższy czas nie komunikował się z serwerem Pegasusa lub gdy pojawia się duża szansa wykrycia aplikacji. W wielu przypadkach ważniejsze od dalszego zbierania danych jest bowiem uniknięcie sytuacji, w której śledzony cel dowiaduje się o tym, iż jest obserwowany.

Czy Pegasus działa też w Polsce?

Wspomniany wyżej raport The Citizen Lab zidentyfikował kilkudziesięciu operatorów (czyt. służby specjalne), którzy mieli korzystać z Pegasusa w 45 krajach. W tym gronie znalazła się także Polska, gdzie operator programu był aktywny od listopada 2017 r. The Citizen Lab wykrywało obecność Pegasusa w następujących polskich sieciach:

• Polkomtel
• Orange Polska
• T-Mobile Polska
• FIBERLINK
• PROSAT
• Vectra
• Netia

Czy to oznacza, że polscy obywatele również byli lub są inwigilowani Pegasusem? Tego tak naprawdę nie wiemy. Raport stwierdza jedynie, że w polskich sieciach były obecne telefony komórkowe zarażone tym programem. Mogły jednak znaleźć się tu w różny sposób i równie dobrze mogło tu chodzić o smartfona osoby spoza naszego kraju, np. biznesmena czy dyplomaty. Na powyższej liście nie dziwi też obecność właściwie każdego dużego polskiego operatora, bo "wystarczy, że zainfekowana osoba korzystała z internetu w PKP i już serwery DNS T-Mobile, a zatem ten operator, wskakują na listę" – zauważa przytomnie serwis Niebezpiecznik.

Dodajmy do tego fakt, iż nasz kraj mógł pojawić się na tej liście za sprawą programów VPN, należy więc traktować powyższe dane z pewną ostrożnością, o czym przestrzega też samo The Citizen Lab:

Czynniki, takie jak korzystanie z VPN-ów oraz internetu satelitarnego, mogły wpłynąć na nasze geolokacyjne wyniki. Dlatego prezentowana mapa powinna służyć raczej jako wskazówka dla dalszego śledztwa, a nie żelazny dowód na monitorowanie aktywności obywateli w danym kraju.

Z drugiej strony należy też przywołać ustalenia TVN-u, który we wrześniu 2018 r. donosił o zakupie pewnego systemu inwigilacji przez Centralne Biuro Śledcze. TVN pisał wtedy:

Nasi rozmówcy mówią, że zakupiony przez CBA system składa się nie tylko z programów informatycznych, ma też potężne, różnorodne możliwości, a w jego skład wchodzą również elementy wytwarzane przez izraelskie firmy. W skrócie mówiąc, nie jest potrzebna już współpraca z operatorami, aby móc podglądać to, co przekazywane jest siecią — mówią nasi informatorzy, odmawiając zdradzenia szczegółów.

Czyżby chodziło tu właśnie o izraelskiego Pegasusa, a operatorem, którego działalność wykryło w Polsce The Citizen Lab, było CBA? Niestety, nie możemy stwierdzić tego ze stuprocentową pewnością.

Czy mój telefon jest zainfekowany?

Odpowiedź na to pytanie interesuje was pewnie najbardziej. Owszem, jeśli kliknęliście kiedyś na smartfonie czy tablecie w jakiś link, to wasze urządzenie może być zainfekowane Pegasusem, ale najprawdopodobniej nie jest. Podkreślmy to z całą mocą: Pegasus nie jest wykorzystywany do inwigilowania przypadkowych osób lub obywateli na masową skalę. Ofiary są tu dokładnie wybierane przez służby i z tego, co wiemy, każda nowa licencja to koszt ok. 100 tys. złotych (1 licencja = 1 śledzona osoba). Śledzenie "przeciętnego Kowalskiego" byłoby zatem zwyczajnie zbyt drogie.

Samo NSO GROUP zaznacza, że jej produkty są dostępne jedynie dla służb specjalnych/wywiadowczych walczących z przestępczością oraz terroryzmem, a specjalny panel decyduje o krajach, do których trafia Pegasus. Tak, aby nie był on wykorzystywany np. w państwach łamiących prawa człowieka. Te zapewnienia nie brzmią jednak zbyt przekonująco w kontekście rewelacji, o których wspominaliśmy na początku tego materiału i wg których Pegasusa używano w celach czysto politycznych, a nie do walki z terroryzmem czy przestępczością zorganizowaną. W tym kontekście nie dziwią więc doniesienia, jakoby izraelski resort obrony miał znacząco zmniejszyć liczbę krajów, do których może być sprzedawany Pegasus. Izraelskie media donoszą, iż lista takich państw zmniejszyła się ze 102 do zaledwie 37 i co ciekawe, z tej listy miała zniknąć też Polska.

Źródło: Niebezpiecznik, Kasperksy, The Citizen Lab, NSO GROUP