Vlade ob omembah vohunjenja praviloma zatrdijo, da tisti, ki niso naredili ničesar narobe, ne rabijo biti v skrbeh. Kako obsežno zna biti razumevanje »narobe«, pa prikazuje novo razkritje francoske nevladne novinarske organizacije Forbidden Stories, Amnesty International in še 17 svetovnih medijskih hiš, ki so ga poimenovali projekt pegaz. Forbidden Stories in Amnesty International sta se namreč dokopala do seznama okoli 50 tisoč telefonskih številk domnevnih tarč vohunjenja z izredno sofisticirano vohunsko programsko opremo pegasus (po slovensko pegaz), ki jo je izdelalo izraelsko podjetje NSO Group.
Čeprav naj bi bil pegaz namenjen izključno vohunjenju za kriminalci in teroristi, so se na seznamu potencialnih tarč znašle telefonske številke več kot 180 novinarjev, urednikov in uradnikov medijev, kot so New York Times, Associated Press, Reuters, CNN, Financial Times, The Economist, France 24... Ob njih še številni odvetniki, aktivisti za človekove pravice in disidenti. Med tarčami so se znašli tudi do vlade kritični madžarski novinarji, lastnik do vlade kritičnega portala 24.hu Zoltán Varga, več odvetnikov, sin nekdanjega Orbanovega zaveznika Lajosa Simicske, ki je danes Orbanov sovražnik, in opozicijski politik. Na seznamu domnevnih tarč se je znašel celo študent univerze CEU, ki jo je ustanovil pri Orbanu osovraženi George Soros.
Poleg njih na seznamu najdemo še uglednega londonskega odvetnika Rodneyja Dixona, ki je prevzel številne najbolj razvpite primere kršitve človekovih pravic, in Hatice Cengiz, sicer zaročenko umorjenega novinarja Džamala Hašokdžija.
Janša na sestanku s predstavniki NSO
Prisotnost telefonskih številk na seznamu ne potrjuje, da je bila oseba zagotovo tarča vohunjenja s pegazom, saj je treba to potrditi s pregledom same naprave. Na napravah vključenih na seznam, ki so jih forenziki pri Amnesty International dobili v pregled, pa so ugotovili okužbo v polovici primerov. Od leta 2016 so telefonske številke na seznam vnašali režimi vsaj desetih držav, ki so stranke NSO. Poleg Madžarske še Azerbajdžan, Bahrajn, Kazahstan, Mehika, Maroko, Ruanda, Savdska Arabija, Indija in Združeni arabski Emirati. Na seznamu je bilo okoli 1000 evropskih telefonskih številk, od tega več kot 300 madžarskih. Največ številk, več kot 15.000, pa je na seznam prispevala Mehika. Podjetje NSO ima po nekaterih podatkih okoli 45 strank, povprečno pa naj bi posamezna stranka letno naročila napad na okoli 112 tarč. Podjetje programsko opremo prodaja izključno organom pregona, obveščevalnim službam in vojskam držav. Zagotavljajo, da pred sklenitvijo posla preverijo vsako stranko glede spoštovanja človekovih pravic. Predsednica evropske komisije Ursula von der Leyen pravi, da je treba navedbe v zvezi s pegazom še potrditi, če se izkažejo za resnične, pa so razkrite prakse povsem nesprejemljive.
Portal Oštro je spomladi poročal, da je bil lani ob obisku Izraela na sestanku s predstavniki podjetja NSO tudi slovenski premier Janez Janša, a sestanek naj ne bi privedel do nakupa orodja.
Kako deluje pegaz?
Nekoč je za okužbo s pegazom morala tarča klikniti na okuženo povezavo v elektronski pošti ali sporočilu. Danes je za okužbo že dovolj, če tarča zgolj prejme telefonski klic. Nanj se ni treba niti javiti. Zlonamerna koda naprave namreč okuži s pomočjo ranljivosti v programski opremi mobilnikov, ki še niso znane in zato še niso bile odpravljene. Leta 2019 je Whatsapp razkril, da so njihovo ranljivost pri NSO izkoristili za okužbo več kot 1400 mobilnikov, podobno ranljivost je NSO izkoriščal tudi pri Applovi aplikaciji imessage. Kljub rednemu odpravljanju napak, ostaja dovolj lukenj, da so bile zadnje potrjene okužbe izvedene ta mesec.
Po okužbi naprave ima pegaz dostop do vseh podatkov na njej in celo večji nadzor nad njo kot uporabnik. Naročniku okužbe lahko pošilja vsebino SMS sporočil, kontakte, zgodovino klicev, koledar, elektronsko pošto, zgodovino brskanja po spletu, zasebne in intimne fotografije, lahko snema pogovore prek mikrofona in snema videoposnetke prek kamere. S pomočjo GPS lahko tudi nadzira, kje se uporabnik nahaja in kje je bil. Potencialno tudi, s kom se je srečeval. Gre za verjetno najbolj sofisticiran primerek vohunske programske opreme, ki jo je izdelalo kakšno zasebno podjetje.
Podivjan trg vohunjenja
NSO sicer zanika, da bi njihove stranke zlorabljale pegaza in zagotavlja, da bo še naprej preiskovalo vse verodostojne trditve o zlorabah ter temu primerno tudi ukrepalo. Zanikalo je tudi možnost, da bi seznam 50.000 številk lahko bil seznam vladnih tarč za nadzor s pegazom.
Nevarnost zasebnih podjetij, ki prodajajo vohunsko opremo vladam, je že pred dvema letoma izpostavil posebni poročevalec ZN David Kaye, ki je pozval k zaustavitvi prodaje takšne vohunske opreme. Opozoril je na podivjan trg, ki je brez kakršnega koli pravega nadzora in za relativno nizko ceno omogoča dostop do izredno sofisticiranih vohunskih zmogljivosti tudi državam, ki so znane po zlorabah človekovih pravic, napadih na novinarje in disidente. Njegovih opozoril niso upoštevali.
Trg z vohunsko programsko opremo se je sicer razbohotil po razkritjih ameriškega žvižgača Edwarda Snowdna, ko se je močno razširila uporaba storitev za šifrirano komuniciranje, vohunjenje pa je postalo težje.
