Rise Project (Rumunia)
Frontstory.pl (Polska)
Investigace.cz (Czechy)
Átlátszó (Węgry)
Context.ro (Rumunia)
Bird.bg (Bułgaria)
Ilustracja: Svetlana Tourina / OCCRP
29 sierpnia 2023
Niezależne media na Węgrzech ujawniły, że autokratyczny rząd Viktora Orbana potajemnie zakupił oprogramowanie szpiegujące Pegasus, powszechnie stosowane przez władze wobec dziennikarzy, aktywistów i przeciwników politycznych. To samo oprogramowanie było szeroko wykorzystywane w Polsce do śledzenia prawników i polityków i jest tam przedmiotem zainteresowania specjalnej komisji śledczej.
Twórcy Pegasusa, izraelska NSO Group, organizują coroczne imprezy sprzedażowe w Pradze, jednak Czechy twierdzą, że nie wykorzystują tej technologii. W Rumunii i na Słowacji rządy odmawiają odpowiedzi na pytanie, czy używają oprogramowania szpiegującego, chociaż robiły to w przeszłości. W Bułgarii znajduje się siedziba firmy zajmującej się oprogramowaniem szpiegującym, tymczasem tamtejszy prokurator generalny twierdzi, że był szpiegowany.
The Organised Crime and Corruption Watch to wspólny projekt siedmiu redakcji śledczych należących do OCCRP (The Organised Crime and Corruption Reporting Project). W każdej edycji zespół bada temat przestępczości zorganizowanej lub korupcji i przedstawia najistotniejsze fakty.
Są to wspólne publikacje dziennikarzy z Investigace.cz (Czechy), Bird.bg (Bułgaria), Frontstory.pl (Polska), Rise Project (Rumunia) Centrum Śledcze im. Jána Kuciaka (Słowacja), Átlátszó (Węgry), Context Investigative Reporting Project (Rumunia).
Węgierscy dziennikarze szpiegowani przez rząd Orbana
W 2021 r., 300 węgierskich numerów telefonów zostało znalezionych w bazie danych, która wyciekła w wyniku międzynarodowego śledztwa prowadzonego przez Forbidden Stories. Wyciek ten ujawnił, że na Węgrzech używano Pegasusa – oprogramowania szpiegującego izraelskiej firmy zajmującej się cyberbezpieczeństwem. Było to pierwsze potwierdzone użycie Pegasusa w kraju UE.
Oficjalnie Pegasus jest wykorzystywany przeciwko celom podejrzanym o udział w przestępczości zorganizowanej. Dochodzenie ujawniło jednak, że na Węgrzech wykorzystywano Pegasusa również do inwigilowania osób krytycznych wobec rządu.
Na liście szpiegowanych osób znalazło się czworo węgierskich dziennikarzy, z których wszyscy pracowali dla mediów niezależnych – takich, które nie były częścią prorządowego systemu nadawców. W lipcu 2021 r. telefon fotografa Dániela Németha został zhakowany w wyniku czego zainstalowano na nim Pegasusa. Németh był współautorem nagradzanego artykułu dla portalu Atlatszo, w którym ujawniono, że Orban oraz węgierska elita rządowa korzystają z luksusowych jachtów i prywatnych odrzutowców zarejestrowanych poza granicami państwa. Ponadto w 2019 r. kilkukrotnie zhakowano Pegasusem telefon Brigitty Csikász, w tamtym czasie również dziennikarki Atlatszo.
Oprogramowanie szpiegujące na Węgrzech wykorzystano także przeciwko szeregowi osób publicznych. Prawników i polityków oraz biznesmenów, takich jak właściciel firmy medialnej Central Media Group. Celem stał się również zagraniczny student Uniwersytetu Środkowoeuropejskiego. Organizacja pozarządowa o nazwie Węgierski Związek Swobód Obywatelskich (Hungarian Civil Liberties Union, HCLU) wszczęła postępowania sądowe w imieniu kilku osób, które były celami oprogramowania szpiegującego Pegasus.
Jak podaje artykuł portalu Direkt 36, na wniosek Specjalnej Służby Bezpieczeństwa Narodowego (Nemzetbiztonsági Szakszolgálat, NBSZ) komisja bezpieczeństwa narodowego węgierskiego parlamentu głosowała nad zakupem oprogramowania szpiegującego na zamkniętym posiedzeniu. Lajos Kósa, polityk węgierskiej partii rządzącej, przyznał, że je nabyto, ale powiedział, że było stosowane zgodnie z prawem. Szczegóły pozostają nieznane, ponieważ protokoły z posiedzenia węgierskiego Komitetu Bezpieczeństwa Narodowego w tej sprawie są utajnione do 2050 roku. W raporcie wydanym przez węgierski Krajowy Urząd Ochrony Danych i Wolności Informacji (Nemzeti Adatvédelmi és Információszabadság Hatóság, NAIH) stwierdzono, że wszystkie przypadki użycia Pegasusa spełniały przesłanki prawne, a inwigilacja była konieczna ze względów bezpieczeństwa narodowego.
Węgry odmówiły współpracy ze specjalną komisją śledczą Parlamentu Europejskieg ds. wykorzystania Pegasusa i innych programów szpiegujących. Delegacja poprosiła o spotkanie z Judit Vargą, minister sprawiedliwości, ale nie otrzymała jeszcze odpowiedzi.
Oprócz Pegasusa, w zeszłym roku ujawniono, że węgierscy dyplomaci oddelegowani do krajów europejskich regularnie zbierali informacje na temat podróży niezależnych węgierskich dziennikarzy, w tym dwóch dziennikarzy portalu Atlatszo, jednocześnie aktywnie działając na rzecz ułatwienia zagranicznych wizyt osobom związanym z mediami prorządowymi.
Historie warte uwagi.
Zapisz się na nasz Newsletter
żeby żadnej nie przegapić
Władze wykorzystują Black Cube do dyskredytowania dziennikarzy
Węgrzy mają również negatywne doświadczenia z innym oprogramowaniem szpiegującym.
Bazując na raporcie Citizenlab i dokumentach Wikileaks, w 2013 roku Atlatszo doniosło, że węgierskie służby specjalne korzystają z Fin?Fishera, pakietu oprogramowania inwigilacyjnego powszechnie używanego do monitorowania przeciwników politycznych i organizacji pozarządowych. W 2015 r. dane, które wyciekły z Hacking Team – włoskiej firmy zajmującej się komercyjnym oprogramowaniem szpiegujący – pokazały, że Węgry były jej klientem od 2008 roku. Rząd w Budapeszcie zapłacił za te usługi prawie 2 miliony euro.
W latach 2017-2018 korzystający z fałszywych tożsamości agenci kontaktowali się z węgierskimi organizacjami pozarządowymi i osobami prywatnymi w celu zdyskredytowania ich podczas kampanii wyborczej w 2018 roku. W imieniu węgierskiego rządu w kampanię zaangażowana była Izraelska prywatna firma wywiadowcza Black Cube. Na posiedzeniu Komisji Bezpieczeństwa Narodowego posłowie Fideszu uniemożliwili włączenie sprawy Black Cube do porządku obrad. W ubiegłym roku Atlatszo informowało, że tajne metody wywiadowcze były wykorzystywane do kampanii oszczerstw Viktora Orbana przeciwko organizacjom pozarządowym poprzez atakowanie dziennikarzy, ekspertów i analityków politycznych, a ich elementy zbliżone były do tych wykorzystywanych przez Black Cube. Przeprowadzone w niejasnych okolicznościach wywiady były prezentowane w prorządowych gazetach jako przemówienia programowe.
Od Pegaza do Predatora
W 2017 r. polskie służby specjalne za 34 mln PLN zakupiły oprogramowanie Pegasus, a większość środków pochodziła z Funduszu Sprawiedliwości (oficjalnie mającego wspierać ofiary przestępstw), który nadzoruje minister sprawiedliwości Zbigniew Ziobro. Fakturę dla izraelskiego producenta wystawiło podległe rządowi Centralne Biuro Antykorupcyjne.
Jak podają badacze CitizenLab z Uniwersytetu Toronto, którzy monitorują globalny biznes narzędzi służących do inwigilacji, a także m.in. dziennikarze Associated Press (AP), w Polsce wśród inwigilowanych przez Pegasus osób byli prawnik Roman Giertych – jeden z największych krytyków partii rządzącej – a także Ewa Wrzosek, prokurator krytyczna wobec władzy.
Trzydzieści trzy razy hakowany był telefon Krzysztofa Brejzy – senatora opozycyjnej Koalicji Obywatelskiej, a w momencie ataku szefa sztabu wyborczego opozycyjnego kandydata na prezydenta (Który ostatecznie wybory przegrał niewielką różnicą głosów). Jak ujawnili dziennikarze Superwizjera TVN, służby uzyskały dzięki Pegasusowi dostęp do wiadomości, rozmów telefonicznych i prywatnych zdjęć tego polityka.
Z analiz CitizenLab wynikało, że na długiej liście inwigilowanych byli też ludzie, o których działalności polski rząd chciał wiedzieć jak najwięcej, czyli m.in.:
– urzędnicy patrzącej na ręce władzy Najwyższej Izby Kontroli;
– Michał Kołodziejczak, lider przeciwnej rządowi organizacji rolniczej AgroUnia;
– Adam Hofman i Mariusz Antoni Kamiński, biznesmeni świadczący usługi PR-owe ludziom i spółkom powiązanym z władzą.
W maju 2023 r. poznaliśmy zalecenia komisji PEGA w sprawie inwigilacji w Polsce. W części pokrywają się z wnioskami z raportu „Osiodłać Pegaza” z września 2019 r. autorstwa polskiej Fundacji Panoptykon, zajmującej się kwestiami prywatności. PEGA zaleca Polsce m.in. przywrócenie niezależnej kontroli nad służbami, a także systemu nadzoru parlamentarnego nad nimi, wprowadzenie w życie europejskiej dyrektywy chroniącej sygnalistów, wszczęcie śledztwa ws. użycia Pegasusa i przywrócenie pełnej niezależności sądownictwa.
Nic jednak nie wskazuje na to, by Polska skorzystała z zaleceń PEGA: rząd Zjednoczonej Prawicy konsekwentnie odmawia spotkania z europosłami zasiadającymi w komisji.
Tymczasem Polska ma negatywne doświadczenia nie tylko z Pegasusem. Według CitizenLab, jego następcą stało się oprogramowanie Predator stworzone przez firmę z Północnej Macedonii (powiązaną z ludźmi izraelskiego wywiadu), w działaniu przypominające izraelskiego poprzednika. W lipcu 2022 r. w Grecji wybuchła afera z inwigilowaniem za pomocą Predatora dziennikarzy i opozycyjnych polityków. Powołana do wyjaśnienia tej sprawy parlamentarna komisja śledcza dotarła do informacji, według których za dostarczeniem oprogramowania greckiemu rządowi stoją dwaj biznesmeni i związany z nimi biznesowo – co ujawniliśmy we FRONTSTORY.PL – polski prawnik i przedsiębiorca. To on prawdopodobnie pośredniczył w zakupie Predatora przez grecką policję (czemu sam zaprzeczał w rozmowie z dziennikarzami).
Unijny kodeks milczenia, który rozprzestrzenił się na Rumunię
W 2016 r. w Rumunii ujawniono, że główny prokurator Krajowego Departamentu Antykorupcyjnego (Direcția Națională Anticorupție, DNA) był szpiegowany przez Black Cube, firmę założoną przez byłych agentów izraelskiego Mosadu. Sprawa została opisana przez PEGA, specjalną komisję Parlamentu Europejskiego powołaną w celu zbadania wykorzystania oprogramowania szpiegującego w Unii Europejskiej.
Portal Contex.ro, jeden z lokalnych partnerów OCCRP, próbował oszacować, czy i jakiego rodzaju oprogramowanie szpiegujące zostało zakupione i wykorzystane przez rumuński rząd w ciągu ostatniej dekady. Ministerstwo Spraw Zagranicznych Rumunii odmówiło dostarczenia żądanych przez Context.ro informacji dotyczących wykorzystania oprogramowania szpiegującego przez instytucje w kraju.
To samo ministerstwo powinno było również dostarczyć informacje komisji PEGA, która złożyła podobny wniosek.
Rumunia i inne państwa UE zdecydowały się nie współpracować z komisją. Sprawozdawca komisji PEGA skrytykowała brak przejrzystości rządów UE. „Fakt, że rządy grupowo postanowiły nie odpowiadać nam i nie współpracować, jest znamienny. Nazywam to omertą. To termin używany przez włoską mafię, kiedy decydują się milczeć” – powiedziała Sophie in 't Veld portalowi Context.ro.
Wstępny raport komisji PEGA wykazał, że komercyjne oprogramowanie szpiegujące było używane we wszystkich państwach członkowskich UE: „Możemy powiedzieć z dużym stopniem pewności, że wszystkie państwa członkowskie UE zakupiły jeden lub więcej komercyjnych produktów szpiegujących”.
W 2015 roku Rise Project opublikowało dwa materiały szczegółowo opisujące powiązania Hacking Team z kilkoma rumuńskimi służbami wywiadowczymi i firmami prywatnymi. Według Rise, wewnętrzna korespondencja Hacking Team upubliczniona po dokonanym na nich ataku hakerskim wykazała, że przedstawiciele SRI, Służby Wywiadu Wojskowego (Direcția Generală de Informații a Apărării, DGIA) i departamentu Generalnego Inspektoratu Rumuńskiej Policji byli zainteresowani oprogramowaniem firmy.
„Wyprzedaż na koniec roku” w Pradze
Czeskie media poinformowały niedawno, że tamtejszy rząd zakupił Pegasusa. Również oficjalny raport Komisji Śledczej Parlamentu Europejskiego potwierdza, że Republika Czeska powinna być w posiadaniu oprogramowania do inwigilacji. Według strony internetowej E15, firma NSO Group była zainteresowana sprzedażą Pegasusa do Czech.
„Nie wiem, czy państwo czeskie kiedykolwiek zakupiło to oprogramowanie. Nigdy nie pracowałem dla NSO Group ani instytucji państwowych, które mogą kupować i używać podobnych narzędzi” – powiedział Investigace.cz doradca ds. bezpieczeństwa narodowego Tomáš Pojar. Zapytany, która instytucja w Republice Czeskiej gwarantuje, że oprogramowanie szpiegujące, takie jak Pegasus, nie zostanie użyte przeciwko dziennikarzom lub aktywistom, stwierdził, że odpowiedź jest prosta – Republika Czeska jest państwem prawa. „Z mojego punktu widzenia nie ma absolutnie żadnego powodu, aby tworzyć jakiekolwiek inne instytucje” – podsumował Pojar.
Każdego roku w Pradze odbywa się konferencja ISS World Europe poświęcona cyberprzestępczości i technologiom inwigilacyjnym. Biorą w niej udział przedstawiciele organów ścigania i wywiadu a także dostawcy narzędzi i oprogramowania. W 2021 roku konferencję sponsorowało NSO Group.
Słowackie władze milczą na temat korzystania z Pegasusa
W przeszłości media publikowały informacje o oprogramowaniu szpiegującym pozyskiwanym przez słowackie służby specjalne, ale nigdy nie zostały one oficjalnie potwierdzone.
Wedle informacji z WikiLeaks z 2014 r. Republika Słowacka miała zakupić narzędzie FinFisher od Gamma Group. Rok później za pośrednictwem WikiLeaks wyciekły wiadomości e-mail włoskiej firmy Hacking Team. Wynikało z nich, że Słowacja była zainteresowana oferowanym przez Hacking Team oprogramowaniem Galileo. Żaden z zakupów nie został oficjalnie potwierdzony.
Wykorzystanie FinFishera zostało potwierdzone w tegorocznym raporcie Parlamentu Europejskiego.
Oświadczenie słowackiego wywiadu wojskowego z 2021 r. opublikowane przez Zive.SK: „Możemy potwierdzić, że nie używamy wspomnianego systemu i nie używaliśmy go”. Tymczasem Słowacka Służba Informacyjna (Slovenská informačná služba, SIS) odmówiła komentarza na temat wykorzystania Pegasusa. Powołała się na zapis prawny, który rzekomo zabrania SIS potwierdzania lub zaprzeczania ewentualnego wdrożenia tego oprogramowania.
Bułgaria dobrym gospodarzem dla firm tworzących oprogramowanie szpiegujące
Bułgarskie służby specjalne od dawna korzystają z FinFisher i FinSpy. Próbowały również pozyskać inne oprogramowanie szpiegujące od HackingTeam, ale do transakcji nie doszło. W 2013 r. wybuchł skandal po ujawnieniu, że przechwytywacze IMSI (mobilne stacje telefonii komórkowej udające, że są stacjami zarejestrowanego operatora komórkowego. Telefon użytkownika łączy się z fałszywą stacją komórkową i jest narażony na hakowanie i monitorowanie) zakupione przez Ministerstwo Spraw Wewnętrznych za pieniądze UE były wykorzystywane do nielegalnego szpiegowania polityków. Prokuratura oskarżyła trzy osoby, ale później sprawa zniknęła z oficjalnych rejestrów.
Niedawne doniesienia wskazują, że w Bułgarii znajdowała się siedziba izraelskiej firmy Circles, dostarczającej narzędzia do hakowania sieci GSM. Circles przejął Pegasus z NSO Group. Circles obecnie prosperuje, jak wskazuje rosnąca liczba pracowników i wielomilionowe przychody zadeklarowane w rocznych raportach finansowych firmy. Wykorzystanie Pegasusa przez bułgarski rząd nie zostało oficjalnie potwierdzone, ale trwa dochodzenie prokuratorskie, a źródła potwierdzają, że Ministerstwo Spraw Wewnętrznych korzystało z tego oprogramowania. Obecny prokurator generalny Borislav Sarafov oświadczył niedawno, że był inwigilowany przez prywatny podmiot na polecenie jego rywala – i byłego prokuratora generalnego – Ivana Gesheva. Nie wyjaśniono jednak, czy wykorzystywano do tego oprogramowanie szpiegujące.
