Сербська поліція і спецслужби використовують сучасні програми-шпигуни, а також продукти для експертизи мобільних телефонів для незаконного стеження за журналістами, екологічними активістами та іншими особами в рамках кампанії таємного спостереження, йдеться в новому звіті Amnesty International.
Звіт «Цифрова в’язниця: Стеження і придушення громадянського суспільства в Сербії» документує, як мобільні криміналістичні продукти ізраїльської компанії Cellebrite використовуються для вилучення даних з мобільних пристроїв, що належать журналістам і активістам. У ньому також показано, як сербська поліція та Агентство безпечної інформації (Bezbedonosno-informativna Agencija – BIA) використовували розроблену на замовлення систему шпигунського програмного забезпечення для Android NoviSpy для таємного зараження пристроїв людей під час затримань або поліцейських допитів.
«Наше розслідування показує, як сербська влада використовує технології стеження і тактику цифрових репресій як інструменти ширшого державного контролю і репресій, спрямованих проти громадянського суспільства», – заявила Дінушіка Діссанаяке, заступниця регіонального директора Amnesty International в Європі.
«Він також висвітлює, як мобільні криміналістичні продукти Cellebrite, які широко використовуються поліцією та спецслужбами по всьому світу, можуть становити величезний ризик для тих, хто відстоює права людини, навколишнє середовище та свободу слова, коли вони використовуються поза суворим правовим контролем та наглядом».
Як Cellebrite і NoviSpy використовуються для націлювання на пристрої
Cellebrite, фірма, заснована в Ізраїлі, але з офісами по всьому світу, розробляє набір продуктів Cellebrite UFED для правоохоронних органів та урядових установ. Він дозволяє вилучати дані з широкого спектру мобільних пристроїв, включаючи найновіші моделі Android та iPhone, навіть без доступу до пароля пристрою.
Хоча NoviSpy є менш технічно досконалим, ніж високоінвазивні комерційні шпигунські програми, такі як Pegasus, раніше невідоме шпигунське програмне забезпечення для Android, все ж надає сербській владі широкі можливості для спостереження після його встановлення на пристрої жертви.
NoviSpy може перехоплювати конфіденційні персональні дані з телефону-мішені та віддалено вмикати мікрофон або камеру телефону, а криміналістичні інструменти Cellebrite використовуються для розблокування телефону до зараження шпигунським програмним забезпеченням, а також для вилучення даних на пристрої.
Важливо, що Amnesty International виявила судово-медичні докази того, як сербська влада використовувала продукти Cellebrite для інфікування телефонів активістів шпигунським програмним забезпеченням NoviSpy. Щонайменше у двох випадках експлойти Cellebrite UFED (програмне забезпечення, яке використовує баг або вразливість) використовувалися для обходу механізмів захисту пристроїв Android, що дозволило владі таємно встановити шпигунське програмне забезпечення NoviSpy під час поліцейських допитів.
Amnesty International також виявила, як сербська влада використовувала Cellebrite для використання вразливості «нульового дня» (вразливість, про яку не знає розробник програмного забезпечення і для якої не існує програмного виправлення) в пристроях Android, щоб отримати привілейований доступ до телефону екологічного активіста. Вразливість, виявлена у співпраці з дослідниками безпеки з Google Project Zero та Threat Analysis Group, вплинула на мільйони пристроїв Android по всьому світу, які використовують популярні чіпсети Qualcomm. Оновлення, що виправляє проблему безпеки, було випущено в бюлетені безпеки Qualcomm за жовтень 2024 року.
Злом телефонів Cellebrite та зараження шпигунським програмним забезпеченням загрожує журналістам та активістам
У лютому 2024 року сербський незалежний журналіст-розслідувач Славіша Міланов був заарештований і затриманий поліцією під приводом проведення тесту на водіння в стані алкогольного сп’яніння. Під час затримання Славішу допитували співробітники в цивільному про його журналістську діяльність. Телефон Славіші на платформі Android був вимкнений, коли він передав його міліції, і жодного разу його не попросили назвати код доступу до нього, і він не надав його.
Після звільнення Славіша помітив, що його телефон, який він залишив у приймальні поліцейського відділку під час допиту, виявився зламаним, а його телефонні дані були вимкнені.
Він звернувся до Лабораторії безпеки Amnesty International з проханням провести криміналістичний аналіз його телефону – Xiaomi Redmi Note 10S. Аналіз показав, що для таємного розблокування телефону Славіші під час його затримання використовувався продукт UFED компанії Cellebrite.
Додаткові судово-медичні докази показали, що NoviSpy був використаний сербською владою для зараження телефону Славіші. У другому випадку, описаному в звіті, що стосується екологічного активіста Ніколи Рістіча, були знайдені аналогічні судові докази того, що продукти Cellebrite використовувалися для розблокування пристрою, щоб уможливити подальше зараження NoviSpy.
«Наші судові докази доводять, що шпигунське програмне забезпечення NoviSpy було встановлено, коли сербська поліція володіла пристроєм Славіші, а зараження залежало від використання сучасного інструменту, такого як Cellebrite UFED, здатного розблокувати пристрій. Amnesty International з великою часткою впевненості пов’язує шпигунське програмне забезпечення NoviSpy з BIA», – заявила Доннча О Сербхайл, керівник Лабораторії безпеки Amnesty International.
Активісти, інфіковані NoviSpy під час подання скарг до поліції або BIA
Тактика таємного встановлення шпигунського програмного забезпечення на пристрої людей під час затримання або допитів, схоже, широко використовується владою.
В іншому випадку активісту організації «Крокодил», що сприяє діалогу та примиренню на Західних Балканах, під час співбесіди з працівниками ОВР у жовтні 2024 року заразили шпигунським програмним забезпеченням телефон Samsung Galaxy S24+.
Активіста запросили до офісу BIA в Белграді, щоб надати інформацію про напад на їхній офіс російськомовних людей, нібито на знак протесту проти публічного засудження «Крокодилом» вторгнення Росії в Україну.
Після інтерв’ю активісти запідозрили, що їхній телефон був зламаний. На прохання активіста Amnesty International провела криміналістичну експертизу, яка встановила, що під час інтерв’ю в БКІ на його телефон було встановлено програму NoviSpy. Amnesty International також змогла відновити і розшифрувати дані спостереження, захоплені NoviSpy під час користування телефоном активіста, які включали скріншоти електронної пошти, повідомлень Signal і WhatsApp, а також активності в соціальних мережах.
Amnesty International повідомила про кампанію шпигунського програмного забезпечення NoviSpy дослідникам безпеки Android і Google ще до публікації, які вжили заходів для видалення шпигунського програмного забезпечення з уражених пристроїв Android. Компанія Google також розіслала попередження про «атаку, що підтримується урядом» особам, які, на їхню думку, можуть бути можливими цілями цієї кампанії.
Вплив державного цифрового стеження і тактики репресій на сербське громадянське суспільство
Сербські активісти залишилися травмованими через цілеспрямовані напади.
«Це неймовірно ефективний спосіб повністю унеможливити спілкування між людьми. Все, що ви скажете, може бути використано проти вас, що паралізує як на особистому, так і на професійному рівні», – сказав Бранко*, активіст, який став мішенню для шпигунського програмного забезпечення Pegasus.
Переслідування також призвело до самоцензури.
«Ми всі перебуваємо у формі цифрової в’язниці, цифрового ГУЛАГу. У нас є ілюзія свободи, але насправді у нас немає ніякої свободи. Це має два наслідки: ви або обираєте самоцензуру, що серйозно впливає на вашу здатність виконувати роботу, або ви обираєте висловлюватися, незважаючи ні на що, і в цьому випадку ви повинні бути готові до наслідків», – сказав Горан*, активіст, який також став мішенню для шпигунського програмного забезпечення Pegasus.
Активіст Олександр*, який також став мішенню для шпигунського програмного забезпечення Pegasus, сказав: «У моє приватне життя втрутилися, і це повністю зруйнувало моє відчуття особистої безпеки. Це викликало величезне занепокоєння… Я відчув паніку і став досить ізольованим».
У відповідь на ці висновки компанія NSO Group, яка розробила Pegasus, не змогла підтвердити, чи була Сербія її замовником, але заявила, що «серйозно ставиться до своєї відповідальності за дотримання прав людини і рішуче налаштована уникати спричинення, сприяння або прямого зв’язку з негативним впливом на права людини, а також ретельно перевіряти всі достовірні звинувачення у зловживанні продуктами NSO Group».
У відповідь на наші висновки компанія Cellebrite заявила: «Наші програмні рішення для цифрових розслідувань не встановлюють шкідливе програмне забезпечення і не здійснюють спостереження в режимі реального часу, що відповідає шпигунському програмному забезпеченню або будь-якому іншому виду наступальної кіберактивності.
«Ми вдячні Amnesty International за те, що вона звернула увагу на ймовірне зловживання нашими технологіями. Ми серйозно ставимося до всіх звинувачень у потенційному зловживанні клієнтами нашими технологіями у спосіб, що суперечить як явним, так і неявним умовам, викладеним у нашій угоді з кінцевим користувачем.
«Ми розслідуємо твердження, викладені в цьому звіті. Якщо вони підтвердяться, ми готові застосувати відповідні санкції, включно з припиненням відносин Cellebrite з будь-якими відповідними установами».
У відповідь на запити Amnesty International, надіслані на початку процесу дослідження, Cellebrite заявила, що її продукція «ліцензована виключно для законного використання, вимагає ордеру або згоди на допомогу правоохоронним органам у проведенні санкціонованих законом розслідувань після скоєння злочину».
Хоча це може бути цільовим використанням, дослідження Amnesty International демонструє, як продукти Cellebrite можуть бути використані не за призначенням для розгортання шпигунського програмного забезпечення та широкого збору даних з мобільних телефонів поза межами виправданих кримінальних розслідувань, що становить серйозні ризики для прав людини.
Amnesty International поділилася результатами цього дослідження з сербським урядом ще до публікації, але не отримала відповіді.
Сербська влада повинна припинити використання високоінвазивного шпигунського програмного забезпечення, надати ефективні засоби правового захисту жертвам незаконного цілеспрямованого стеження та притягнути винних у порушеннях до відповідальності. Cellebrite та інші компанії, що займаються цифровою криміналістикою, також повинні провести належну перевірку, щоб гарантувати, що їхні продукти не використовуються у спосіб, який сприяє порушенню прав людини.
Протягом останніх років державні репресії та вороже середовище для захисників свободи слова в Сербії посилювалися з кожною хвилею антиурядових протестів. Влада проводить постійні наклепницькі кампанії проти НУО, ЗМІ та журналістів, а також піддає арештам і судовому переслідуванню тих, хто бере участь у мирних протестах. /amnesty.org/