Ukupno 80 izvjestitelja koji su radili na projektu Pegasus morali su skrivati svoje mobitele kako ne bi kompromitirali šestomjesečnu istragu koja je razotkrila masovno digitalno špijuniranje koje je provodilo 11 vlada svijeta.
Ovo otkriće pojavilo se tokom intervjua s Laurentom Richardom i Sandrine Rigaud – osnivačicom i odgovornom urednicom Forbidden Storiesa koji je uz sve mjere opreza vodio projekat razotkrivanja špijunskog softvera Pegasus koji je izradila NSO izraelska kompanija.
– Po prvi put u cyber nadzoru novinari su mogli pokazati pravo lice žrtava i pokazati zlouporabu špijunskog softvera – kazao je Richard.
Zahvaljujući saradnji 16 novinskih organizacija, projekt Pegasus otkrio je da su hiljade aktivista, opozicionara i drugih građana, od Indije do Mađarske – uključujući 180 novinara – odabrani kao vladine mete špijunskog softvera koji može upasti u pametni telefon.
Kasnija forenzička analiza uzorka iPhonea ovih meta od strane tehničkog partnera projekta, Amnesty International Security Laba, otkrila je dokaze da je 85 posto uređaja bilo zaraženo ili napadnuto od Pegasus sistema.
Učinak otkrića već je toliki da pokrenuto nekoliko parlamentarnih zahtjeva za istrage, organizirani su javni protesti, pozivi na regulaciju i u septembru poziv na globalnu zabranu sistema Pegasus u Evropskom parlamentu.
Pegasus je otkriven kao digitalno oružje koje se široko koristi za napad na demokratiju i ušutkavanje novinara. Grupa NSO osporila je te nalaze i dalje tvrdi da se njezin softver koristi samo za pomoć vladama u borbi protiv kriminala i terorizma.
Richard je rekao da stalno prisutna prijetnja nadzorom predstavljala posebne izazove za istragu za novinare, ali i za žrtve koje su morali obavijestiti, uključujući političare, djelatnike civilnog društva i kolege novinare.
Na primjer, tim je upotrijebio niz “kreativnih načina” da stupi u kontakt s onima za koje vjeruje da su hakirani, uključujući kontaktiranje putem prijatelja – budući da direktni telefonski pozivi i druga digitalna komunikacija mogu biti nadzirani – ali i lični susret sa žrtvama.
Istraživački novinari morali su sakriti svoje mobitele u “veliki crni, zatvoreni kovčeg” tokom sastanaka, a pokušali su uvjeriti neke žrtve da na siguran način podijele sadržaj svojih telefona.
– Ova je istraga od početka je bila izuzetno robusna. Uz pomoć Amnesty International Security Laba, uspjeli smo prikupiti tragove špijunskog softvera Pegasus na mnogim uređajima – kaže Richard.
Žrtve hakiranja bili su novinari poput Siddhartha Varadarajana, suosnivača indijske kuće The Wire, članove porodice ubijenog saudijskog novinara Jamala Khashoggija i 14 šefova država, uključujući francuskog predsjednika Emmanuela Macrona.
Potaknuti curenjem podataka od oko 50.000 telefonskih brojeva koji su navodno predstavljali potencijalne hakerske ciljeve, istraga je prošla kroz četiri faze: provjera činjenica u bazi podataka i identifikacija ciljeva; razgovori sa žrtvama na popisu; forenzičku analizu telefona i istragu NSO Grupe i njenih 11 državnih klijenata, s naknadnim pozivima na njihov odgovor.
– U prvoj fazi pokušali smo staviti osobe uz brojeve koje smo imali, paralelno s provjerom činjenica o podacima. Koristili smo vlastite knjige kontakata, popise kontakata drugih novinara i podatke otvorenog koda kako bismo provjerili što je više moguće brojeva – objašnjava Rigaud.
Kaže da su novinari pogledali i kontekst infekcija – posebno, na kojim su pričama novinari radili i s kim su razgovarali u vrijeme hakiranja, a istraga je zapravo počela upravo s tim dugim popisom telefonskih brojeva – bez imena i malo konteksta.
Tim ne može otkriti nikakve detalje o izvorima curenja iz sigurnosnih i pravnih razloga. Zapravo, zbog ozbiljnog kontraobavještajnog rizika, Rigaud je rekla da ne može ni otkriti tačno kada je istraga započela, iz straha da bi vladini špijuni mogli iskoristiti vremenski okvir za traženje izvora.
No, projekt je ipak započeo tako što je tim Forbidden Storiesa proveo mjesece provjeravajući procurjele podatke prije nego što se obratio 16 partnera novinskih organizacija i pokrenuo konzorcij.
– Bilo je mnogo partnera kojima bismo mogli vjerovati. Tim iz snova sa specifičnim vještinama i na određenim teritorijima. Duh saradničkog novinarstva doista je nova paradigma – umjesto da budete vuk samotnjak, morate svakodnevno dijeliti sve što naučite, jer ako to ne učinite, to neće uspjeti – kaže Richard.
Novinari nisu mogli jednostavno nazvati brojeve kako bi pronašli vlasnike telefona, iz nekoliko razloga – jedan je bio zato što su sumnjali da se uređaji nadziru, a drugi, napominje Rigaud, bio je to što su neki telefonski brojevi mogli biti legitimne terorističke ili kriminalne mete.
Umjesto toga, Rigaud kaže da je tim počeo poređenjem popisa s telefonskim brojevima za nekoliko prethodno poznatih meta Pegasusa i izvještaja Citizen Laba, kao i drugih nadzornih tijela civilnog društva.
– Uporedili smo ih s poznatim slučajevima, s javnim izvještajima o žrtvama WhatsAppa ono što smo vidjeli u javnoj domeni odgovaralo je novim informacijama. Morali smo biti vrlo kreativni u načinima na koje smo upozoravali žrtve ovih napada. U nekim slučajevima čak smo odlučili ne kontaktirati ljude ako nije postojao siguran način – objašnjava ona.
Zatim su pokušali, navodi, uvjeriti neke žrtve da podijele sadržaj svojih telefona na siguran način. U gotovo svim slučajevima, kada je osoba imala iPhone i nije promijenila telefon od napada, analiza Amnestyja potvrdila je da je došlo do infekcije ili tragova pokušaja infekcije.
– Amnestyjev sigurnosni laboratorij doista je fantastičan – prvi put u historiji izgradili su alat koji može pronaći tragove infekcije softverom na vašem uređaju i podijelili ga – kaže Richard.
Ovih 16 medijskih partnera projekta uključivali su The Guardian, The Wire i Projekt izvještavanja o organiziranom kriminalu i korupciji (OCCRP) koji je upozorio na alarmantnu sveprisutnost prijetnje Pegasusom riječima: “Koristeći Pegasus, korumpirani i problematični režimi širom svijeta mogu dobiti pristup ličnim podacima o gotovo svima o kojima to žele.
– Projekt Pegasus bio je posebno izazovan zbog prirode softvera o kojem smo izvještavali, pa je svaki telefon učinio vašim neprijateljem – kaže Drew Sullivan, suosnivač OCCRP-a.
Sullivan kaže da su Forbidden Stories i Amnesty International “učinili dobar posao u stvaranju jednostavnog sistema u teškom okruženju”. No upozorio je da će za rješavanje prijetnji poput Pegasusa u budućnosti biti potrebni bolji alati i saradnički sistemi.
– Pridruživanje projektima drugih ljudi znači korištenje njihovih alata, što može biti neugodno ako mislite da su vaši bolji. Proći će neko vrijeme prije nego što zaista budemo imali sve alate koji su nam potrebni za obavljanje ovog posla kako treba – napominje on.
Iako je Rigaud rekla da istraga infekcija u 11 zemalja ne može direktno pokazati da li je to “vrh ledenog brijega” Pegasusa širom svijeta, ipak je ponudila ovu otrežnjujuću misao: “Izvijestili smo o 11 zemalja, ali NSO je javno izjavio da ima 60 kupaca u 40 zemalja”.