Policija i Tužilaštvo za visokotehnološki kriminal (VTK) nemaju informacije o navodnom pokušaju instalacije špijunskog softvera na telefone predstavnika civilnog društva u Srbiji, saopštio je tužilac Branko Stamenković za Radio Slobodna Evropa (RSE).
Ovo je prva reakcija Tužilaštva, nedelju dana nakon što je nevladina organizacija SHARE, a čije su nalaze potvrdile i tri međunarodne organizacije koje se bave pitanjima ljudskih prava, objavila da su dva predstavnika civilnog društva iz Beograda bili mete "neuspelog državno sponzorisanog sajber napada".
Pojašnjeno je da su im na telefone marke Apple krajem oktobra stigle notifikacije o pokušaju napada.
Identitet predstavnika civilnog sektora nije objavljen na, kako je rečeno, njihov zahtev i iz bezbednosnih razloga.
U Tužilaštvu kažu da se istraga ne može sprovoditi dok se slučaj ne prijavi i ne prilože dokazi.
"Bez osnovnih podataka o kome se radi i koji inicijalni dokazi ukazuju na to što se tvrdi, nemoguće je voditi delotvornu istragu u bilo kom predmetu. Bez saradnje oštećenih mi nismo u mogućnosti da postupamo", dodao je tužilac Branko Stamenković.
Šta se zna o ovim slučajevima?
"Vaš telefon je možda meta državno sponzorisanog napada", poruka je koju su dva predstavnika civilnog društva u Beogradu primila 30. oktobra i koja je izazvala sumnju da nešto nije u redu.
Da su telefoni bili pod napadom špijunskog softvera tvrde i u međunarodnim organizacijama – Amnesty International, Access Now i Citizen Lab.
Kako su naveli u saopštenju 28. novembra, forenzičku analizu sprovodili su odvojeno, ali su se nalazi poklopili.
"Vidimo da su napadi bili vrlo slični vremenski, otprilike jedan minut razlike između napada. Dve odvojene osobe, dva odvojena Ajfona (iPhone)", rekla je za RSE Natalia Krapiva iz organizacije Access Now, pojašnjavajući nalaze.
O kom je konkretno špijunskom softveru reč, nisu uspeli da utvrde.
"Mi nismo bili u mogućnosti da napad pripišemo određenoj vrsti špijunskog softvera, ali napad izgleda prilično konzistentno sa špijunskim softverom 'Pegasus', na osnovu forenzičkih artefakata koje smo otkrili na telefonima", izjavio je za RSE Bill Marczak iz organizacije Citizen Lab.
Špijunski softver "Pegasus", kompanije NSO, u svetu prate optužbe da se koristi za hakovanje pametnih telefona novinara, zvaničnika i aktivista za ljudska prava.
Bill Marczak je rekao i da, prema istraživanju Citizen Lab-a, Srbija koristi "Pegasus" od decembra 2021.
Iako ističe da "nema dokumenta ili bilo čega sličnog" koji ukazuju da je Vlada Srbije kupila Pegasus, navodi drugu vrstu "posrednih dokaza" za to.
'Osim posrednih dokaza', digitalna forenzička analiza nije našla direktnu vezu između Vlade Srbije i pokušaja hakerskog napada na telefone predstavnika civilnog društva -kaže Bill Marczak iz organizacije Citizen Lab.
NSO grupa, kako dodaje, ne prodaje ovu vrstu softvera pojedincima, već nosioci licence moraju biti državne institucije.
Marczak dalje pojašnjava da je njegova organizacija istraživala lokacije servera sa kojih se upravlja hakerskim softverima.
"Možemo videti gde su operateri koji imaju Pegasus na osnovu lokacija servera", kaže Marczak, i dodaje da su jedan server ranije "povezali sa Srbijom".
Marczak zaključuje da "osim posrednih dokaza", digitalna forenzička analiza nije našla direktnu vezu između Vlade Srbije i pokušaja hakerskog napada na telefone predstavnika civilnog društva.
Ti predstavnici civilnog društva su u saopštenju međunarodnih forenzičkih organizacija opisani kao "otvoreni kritičari vlasti u Srbiji", uz upozorenje da država ima "istoriju u primeni špijunskih softvera i drugih alata za digitalni nadzor".
Vlada Srbije i Bezbednosno-informativna agencija (BIA) nisu odgovorili na pitanja Radija Slobodna Evropa (RSE) da li je država nabavljala špijunske softvere i da li je umešana u pokušaj hakerskog napada.
Tužilaštvo za visokotehnološki kriminal je u odgovoru za RSE navelo da u njihovoj i policijskoj evidenciji ne postoje slučajevi koji se dovode u vezu sa špijunskim softverom "Pegasus".
Da li je BIA kupovala špijunske softvere?
"Iako ne imenujemo ko stoji iza pokušaja napada i koji je špijunski softver upotrebljen u avgustu 2023, ukazujemo da je Aleksandar Vulin bio na čelu BIA u to vreme", ističe u saopštenju organizacija koje su analizirale napad.
Vulin je od jula 2023. pod sankcijama Sjedinjenih Američkih Država, zbog navodne korupcije i umešanosti u trgovinu drogom, kao i zbog veza sa Rusijom.
Podneo je ostavku na mesto šefa BIA u novembru 2023. godine.
Međunarodne organizacije su podsetile na ranija istraživanja, prema kojima je Bezbednosno-informativna agencija kupovala softvere za digitalni nadzor u proteklih deset godina.
Softver FinFisher je, kako kažu, u upotrebi u BIA od 2014. godine.
"FinFisher je softver koji se koristi za hakovanje računara ili telefona. Na osnovu lokacija servera, mogli smo da identifikujemo koje vlade upravljaju FinFisher-om. Pronašli smo dokaze da je BIA upravljala tim špijunskim softverom", izjavio je za RSE Bill Marczak iz organizacije Citizen Lab.
Dodaje i da je, prema istraživanjima, BIA identifikovana i kao kupac softvera kompanije "Circles".
Prošle godine, Citizen Lab i Google-ova grupa za analizu pretnji identifikovali su Vladu Srbije kao verovatnog operatera špijunskog softvera Predator.
"To je isto alat za špijunažu, ali umesto da hakuje sam telefon, fokusira se na prikupljanje ili presretanje podataka direktno od telefonskih kompanija. Tako da bi mogli da prate lokacije ili presreću telefonske pozive ili SMS-ove koji nisu šifrovani", objašnjava Marczak.
BIA je, prema tvrdnjama Access Now i Amnesty International, 2012. godine dobila probnu verziju još jednog špijunskog softvera - firme Hacking Team.
"Prošle godine, Citizen Lab i Google-ova grupa za analizu pretnji identifikovali su Vladu Srbije kao verovatnog operatera špijunskog softvera Predator", naveli su.
Da li je napad u Srbiji uspeo?
Istraživači naglašavaju da je u slučaju dva telefona iz Srbije teško utvrditi da li je napad bio uspešan – odnosno, da li su iz telefona preuzeti bilo kakvi podaci.
"To bi znali samo napadač, ili kompanija koja je prodala špijunski softver. A mi, kao forenzički analitičari, donekle smo ograničeni u tome šta možemo da uočimo u telefonima, jer špijunski softver pokušava da izbegne da ostavi otiske, tragove za sobom", pojašnjava Bill Marczak.
Istraživanje je, kako navodi, pokazalo da je napadač u telefone "ušao" preko aplikacije HomeKit koju imaju svi napredniji Apple telefoni.
"To je neka vrsta aplikacije za kontrolu pametnih uređaja u kući. Čak i ako vi kao korisnik iPhone-a niste ušli u tu aplikaciju, podesili bilo šta, koristili je, ona je i dalje instalirana u vašem telefonu i radi", dodaje Marzak.
Prema njegovim rečima, bezbednosne greške u toj aplikaciji su iskorišćene za pokušaj napada.
Kompanija Apple nije odgovorila na pitanja RSE u vezi sa hakerskim napadima.
'Znak za zabrinutost'
Na pitanje da li će Zaštitnik građana istraživati tvrdnje o špijunskom napadu na telefone predstavnika civilnog društva, iz te nezavisne institucije je za RSE odgovoreno da se trenutno time ne bave.
Zaštitnik građana je, po zakonu, nadležan da ispituje slučajeve kršenja prava građana i da kontroliše organe uprave.
Do objavljivanja teksta odgovori u vezi sa napadima nisu stigli iz Kancelarije Poverenika za zaštitu podataka o ličnosti.
Tamo gde smo uočili špijunski softver Pegasus, uočili smo i probleme sa vladavinom prava, demokratijom, ljudskim pravima -navodi Natalia Krapiva iz iz organizacije Access Now.
Natalia Krapiva iz organizacije Access Now smatra da je prisustvo špijunskih softvera u Srbiji "znak za zabrinutost".
"Tamo gde smo uočili špijunski softver Pegasus, uočili smo i probleme sa vladavinom prava, demokratijom, ljudskim pravima", pojašnjava ona.
Ukazuje da je upotreba špijunskih softvera međunarodni problem i da su se mnoge države uključile kako bi se pronašla pravna rešenja.
"Pozivamo države da ne posluju sa ovim kompanijama, da ne koriste njihovu tehnologiju, da budu transparentne koju vrstu tehnologije koriste i kakve dozvole daju za izvoz špijunskih softvera", rekla je Krapiva.
Kao primer pominje se Rusija i analiza međunarodnih forenzičkih organizacija koja je utvrdila da su Putinovi kritičari koji žive u Evropskoj uniji bili meta hakerskih napada uz pomoć softvera "Pegasus".
Kritičari ruskog predsednika Vladimira Putina utočište u zemljama EU traže pogotovo nakon ruske invazije na Ukrajinu, koja je otpočela u februaru 2022.
Vlasti u Srbiji odbijaju da uvedu sankcije Rusiji zbog invazije i održavaju bliske veze sa ruskim zvaničnicima.
A Srbija se ranije našla u fokusu "špijunske afere", povezane sa ruskim vlastima.
Ruski opozicionar Vladimir Kara-Murza optužio je krajem 2021. tadašnjeg šefa BIA Aleksandra Vulina da je odneo u Moskvu snimke sastanka ruskih opozicionara u Beogradu, nakon čega je jedan od njih uhapšen u Rusiji.
Vulin je demantovao te tvrdnje i najavio tužbu protiv Kara-Murze, ali nije poznato da li je pokrenut sudski postupak.
Kara-Murza je u aprilu u Rusiji osuđen na 25 godina zatvora zbog "veleizdaje", širenja "lažnih informacija" o ruskoj vojsci i nezakonit rad za neku "nepoželjnu" organizaciju.
Zašto vlade kupuju špijunske softvere?
Bill Marczak iz organizacije Citizen Lab ukazuje da nabavka špijunskih softvera nije nelegalna.
"Ovi alati, kao što su Pegasus i druge vrste špijunskih softvera, često se prodaju državama kako bi pratile kriminalce, teroriste i slične grupe. Ali, nije nužno iznenađenje da vlade koje nabavljaju ove alate mogu da ih zloupotrebe u nekom trenutku", ističe on.
Smatra da je neophodno da državne institucije koje koriste "moćne hakerske instrumente" budu pod nadzorom parlamenta ili drugih tela.
"Da imaju informacije koji se alati koriste, u kojim slučajevima, da vrše nadzor i pozovu na odgovornost ako te alate neko zloupotrebljava", pojašnjava.
Špijunski napadi sve ozbiljnija pretnja
Od Salvadora do Meksika, od Indije do Jermenije, od Mađarske do Maroka, od Tajlanda do Ruande – međunarodni istraživači ukazuju na široku listu zemalja u kojima su organizacije civilnog društva, aktivisti za zaštitu ljudskih prava i novinari bili na meti invazivnih špijunskih softvera.
Access Now i Amnesty International u saopštenju podsećaju i da u tim slučajevima špijuniranja gotovo da nije bilo pravnih posledica.
"Sve veći dokazi o štetnosti te industrije i njenih invazivnih tehnologija podstakli su vlade širom sveta da preduzmu akciju", dodaje se.
NSO grupa koja je razvila "Pegasus" je od 2021. pod sankcijama Sjedinjenih Država uz ocenu da hakerski softveri predstavljaju rizik po bezbednost.
NSO grupa koja je razvila "Pegasus" je od 2021. pod sankcijama Sjedinjenih Država uz ocenu da hakerski softveri predstavljaju rizik po bezbednost.
Pozive na zabranu špijunskih softvera upućivali su i regulatori EU.
Jedanaest zemalja, uključujući Australiju, Kanadu, Kostariku, Dansku, Francusku, obavezalo se na međunarodnu kako bi se suzbilo širenje upotrebe špijunskih softvera.
Međutim, ta inicijativa tek treba da rezultira konkretnim merama.
"Uprkos rastućim dokazima i određenim akcijama vlada, daleko smo od postizanja globalnog okvira za regulisanje upotrebe tehnologija digitalnog nadzora", naglašavaju Access Now i Amnesty International.
Pored moratorijuma na kupovinu i upotrebu tehnologija digitalnih nadzora i stroge primene međunarodnih akata za zaštitu ljudskih prava, oni su pozvali i na zabranu te tehnologije u slučajevima gde je dokazano da je do kršenja ljudskih prava došlo.
Koliko su u Srbiji bezbedni podaci?
Nacionalni centar za prevenciju bezbednosnih rizika (CERT) je u izveštaju za 2022. godinu naveo da je u Srbiji zabeleženo 10,8 miliona incidenata u informaciono-komunikacionim sistemima Srbije.
Od toga je bilo blizu 7,7 miliona neovlašćenog prikupljanja podataka.
Takođe je prijavljeno 54.780 pokušaja instaliranja zlonamernog softvera u okviru informaciono-komunikacionih sistema.
Podsetimo, krajem 2021. godine kompanija Meta, koja je vlasnik društvene mreže Fejsbuk (Facebook) je razotkrila u svom izveštaju više plaćeničkih firmi za špijuniranje korisnika, novinara i političara, a među državama navode se i Srbija i Severna Makedonija.
Kako je pisao RSE, konkretna imena klijenata koji su iznajmljivali usluge ovih kompanija, niti njihovih meta, nisu objavljena u izveštaju, a državne institucije nisu odgovorile da li istražuju te navode.
