Nejnovější zjištění ukazují, že novináři v Indii stále častěji čelí hrozbě nezákonného sledování jen proto, že dělají svou práci. Mnoho z nich se navíc stalo obětí různých represí, bylo uvězněno na základě drakonických zákonů nebo se čelilo obtěžování a zastrašování.
Forenzní vyšetřování Bezpečnostní laboratoře Amnesty International potvrdilo, že Siddharth Varadarajan, zakládající redaktor periodika The Wire, a Anand Mangnale, redaktor jihoasijské redakce projektu The Organised Crime and Corruption Report Project (OCCRP), byli mezi novináři, kteří se v poslední době stali terčem špionážního softwaru Pegasus, který pronikl do jejich telefonů iPhone.
Jedná se o vysoce invazivní spyware, vyvinutý izraelskou sledovací společností NSO Group. Odhalení jeho nasazení proti indickým novinářům navíc přichází uprostřed bezprecedentního zásahu tamních úřadů proti svobodě pokojného projevu a shromažďování, který má krom novinářů fatální dopad i na občanské organizace či aktivisty.
„Navzdory opakovaným odhalením stále nebyla vyvozena jakákoliv odpovědnost za používání špionážního softwaru Pegasus v Indii, což jen prohlubuje pocit beztrestnosti v souvislosti s tamním porušováním lidských práv.“
– Donncha Ó Cearbhaill, vedoucí Bezpečnostní laboratoře Amnesty International.
Instalace bez kliknutí
Bezpečnostní laboratoř Amnesty International poprvé zaznamenala náznaky obnovení používání spywaru Pegasus vůči jednotlivcům v Indii během pravidelného technického monitorování v červnu 2023, tedy několik měsíců poté, co tamní média informovala o tom, že indická vláda usiluje o pořízení nového komerčního spywarového systému.
V říjnu 2023 vydala společnost Apple nové celosvětové oznámení o hrozbách pro uživatele iPhonů, kteří se mohli stát terčem „státem sponzorovaných útočníků“. Tato oznámení údajně obdrželo více než 20 novinářů a opozičních politiků v Indii.
Bezpečnostní laboratoř Amnesty International proto provedla forenzní analýzu telefonů osob z celého světa, které tyto oznámení obdržely, včetně zmíněného Siddhartha Varadarajana a Ananda Mangnaleho. Na zařízeních obou indických novinářů našla stopy po činnosti spywaru Pegasus.
Bezpečnostní laboratoř dále získala ze zařízení Ananda Mangnaleho důkazy o tzv. „zero-click exploit” – metodě, která umožňuje instalaci spywaru do zařízení, aniž by byla nutná jakákoli akce uživatele, například kliknutí na odkaz. Do Mangnaleho telefonu se spyware touto cestou dostal 23. srpna 2023 prostřednictvím iMessage. V telefonu byl nainstalován systém iOS 16.6, což byla v té době nejnovější dostupná verze.
Bezpečnostní laboratoř Amnesty také identifikovala e-mailovou adresu ovládanou útočníkem, která byla použita v rámci útoku Pegasus na Mangnaleho zařízení. Zjištěné vzorky odpovídají zero-click explotu BLASTPASS skupiny NSO, který byl odhalen v září 2021 a který společnost Apple ošetřila v systému iOS 16.6.1 (CVE-2023-41064).
K pokusu o napadení telefonu Ananda Mangnaleho došlo v době, kdy pracoval na článku o údajné manipulaci s akciemi velkého nadnárodního konglomerátu v Indii.
Podrobnější technická analýza zneužití a doprovodné forenzní důkazy jsou k dispozici zde.
Historie zneužívání spywaru
Amnesty International již dříve zdokumentovala, jak byla elektronická zařízení Siddhartha Varadarajana v roce 2018 napadena a infikována spywarem Pegasus. Tato elektronika byla později forenzně analyzována technickou komisí zřízenou indickým Nejvyšším soudem v roce 2021 v návaznosti na odhalení projektu Pegasus.
V roce 2022 komise ukončila vyšetřování, ale Nejvyšší soud závěry její zprávy nezveřejnil. Soud však konstatoval, že indické úřady s technickou komisí „nespolupracovaly“.
Siddharth Varadarajan byl 16. října 2023 napaden spywarem Pegasus znovu. V jeho telefonu byla identifikována stejná e-mailová adresa útočníka, která byla použita při útoku tohoto spywaru i na Ananda Mangnaleho. To potvrzuje, že oba novináři byli cílem stejného útočníka.
Nic naštěstí nenasvědčuje tomu, že by útok spywaru byl alespoň v jednom z případů úspěšný.
„Zaměřit se na novináře pouze kvůli tomu, že vykonávají svou práci, znamená nezákonný útok na jejich soukromí a porušuje jejich právo na svobodu projevu. Všechny státy, včetně Indie, mají povinnost chránit lidská práva tím, že budou své občany chránit před nezákonným sledováním,“ komentoval zjištění o spywaru Donncha Ó Cearbhaill
Reportéři deníku The Washington Post se obrátili na společnost NSO Group s žádostí o reakci na tato nejnovější zjištění.
Ta v reakci uvedla následující: „Společnost NSO se sice nemůže vyjadřovat ke konkrétním zákazníkům, ale znovu zdůrazňujeme, že všichni jsou prověřenými bezpečnostními a zpravodajskými agenturami, které si naše technologie licencují výhradně za účelem boje proti terorismu a závažné trestné činnosti. Zásady a smlouvy společnosti obsahují mechanismy, které zamezují cílení na novináře, právníky a obhájce lidských práv nebo politické disidenty, kteří nejsou zapojeni do teroru nebo závažných trestných činů. Společnost nemá žádný přehled o cílech ani o shromážděných zpravodajských informacích.“
Skupina NSO tvrdí, že své výrobky prodává pouze vládním zpravodajským službám a orgánům činným v trestním řízení. Indické úřady do dnešního dne neposkytly žádnou jasnou a transparentní informaci o tom, zda si špionážní software Pegasus pořídily nebo jej používaly.
„Amnesty International vyzývá všechny země, včetně Indie, aby zakázaly používání a vývoz vysoce invazivního spywaru, jehož funkčnost nelze nezávisle kontrolovat ani omezit.“
– Donncha Ó Cearbhaill.
Amnesty rovněž vyzývá k okamžitému zveřejnění závěrů zprávy technické komise Nejvyššího soudu Indie o používání programu Pegasus v zemi. Indická vláda by také měla provést okamžité, nezávislé, transparentní a nestranné vyšetřování všech případů cíleného sledování, včetně těchto nejnovějších odhalení.
V zájmu zajištění transparentnosti by indické úřady měly rovněž zveřejnit informace o všech předchozích, současných nebo budoucích smlouvách se soukromými sledovacími společnostmi, včetně smlouvy se společností NSO Group.
V říjnu 2022 OCCRP na základě analýzy komerčních obchodních databází informovala, že hlavní indická domácí zpravodajská agentura dostala v dubnu 2017 od společnosti NSO Group zásilku hardwaru odpovídající popisu zařízení používaného k provozování systému Pegasus. K prvním útokům na systém Pegasus, které Amnesty International v Indii identifikovala, došlo počátkem července 2017.
V roce 2020 Amnesty International odhalila, jak byli obránci lidských práv v Indii terčem koordinované operace využívající komerční špionážní software.
V roce 2021 pak organizace zjistila, že v Indii bylo pomocí spywaru Pegasus od společnosti NSO Group napadeno mnoho aktivistů či novinářů.
