Szele Tamás: Pegasus a Baltikumban

Ha a tegnapi írás rövid volt, a mai bizony hosszú lesz, előre szólok – viszont exkluzív, ugyanis magyarul először a Zónán jelenik meg. El is kell magyaráznom, mielőtt belevágok, hogy miről van szó: tulajdonképpen arról, hogy a Pegasus kémprogram használatával a korábbi botrány után sem hagytak fel a különböző kormányok, máig vígan alkalmazzák.

Csak mostanság többnyire emigráns, ellenzéki orosz és belarusz újságírók ellen. Igen, néhány esetben a magyar kormány is a független sajtó munkatársainak megfigyelésére használta ezt az eszközt, de nálunk például érdekes módon aránytalanul több volt a kormányközeli megfigyelt: tudósok, hivatalnokok, üzletemberek és közepes szintű kormányhivatalnokok. Mivel pedig a Pegasust, mint szolgáltatást csakis állami szolgálatoknak értékesítik, éspedig csakis Izrael állam vagy az Egyesült Államok és az ő szövetségeseik számára, világos, hogy a jelenlegi megfigyelések mögött nem állhat Oroszország, illetve állhat, de csak akkor, ha egy, a kritériumoknak megfelelő ország segíti és kémkedik helyette.

Nem kertelek, kimondom nyíltan: jelen világpolitikai helyzetben ez könnyen lehet Magyarország is. Nem állítom, hogy így is van, de egyáltalán nem volna lehetetlen, hogy Budapest és Moszkva örök és megbonthatatlan barátságát erősíti egy ilyen szál is. Ami jobban összeköt, mint a kézibilincs.

De térjünk a tárgyra, éspedig az ügyben érintett Meduza jelentése alapján: mi történt?

2023 szeptemberében vált ismertté, hogy ismeretlenek feltelepítették a Pegasus kémprogramot a Meduza főszerkesztőjének, Galina Tyimcsenkónak a telefonjára (ezt az Access Now és a Citizen Lab szakértői, valamint Nikolai Kvantaliani független digitális biztonsági szakértő fedezte fel). Ezek a kutatók azóta több tucat másik oroszul beszélő újságíró és aktivista – Európában élő orosz, belarusz, lett és izraeli állampolgárok – készülékét tesztelték, és megállapították, hogy közülük legalább hetet szintén megtámadtak. A hét új Pegazus-áldozat közül három Rigában él. Ők a következők:

Maria Epifanova – a Novaja Gazeta Europa főigazgatója és a Novaja Gazeta Baltia igazgatója;
Evgenijs Pavlovs – a Novaja Gazeta Baltija volt tudósítója, a „Baltija” című műsor volt producere és riportere;
és Eugene Erlich, a „Baltija” című műsor korábbi főszerkesztője.

Mindannyian felfigyeltek az Apple figyelmeztetéseire egy esetleges hackertámadásról, miután kiderült, hogy Galina Tyimcsenko telefonját feltörték. Ugyanakkor felmerült a gyanú, hogy az ő készülékeiket is megtámadták a Pegasus segítségével, így az újságírók felvették a kapcsolatot az Access Now-val.

A kémprogram segítségével a hackerek teljes hozzáférést kaphatnak a telefonok tartalmához, beleértve az otthoni címet, a találkozók időpontját, a fényképeket, sőt a titkosított üzenetküldőkben folytatott levelezést is.

A program az NSO Group nevű cég munkája, amelyet az izraeli titkosszolgálatok nyugalmazott tisztjei alapítottak. A cég azt állítja, hogy a Pegasust kizárólag kormányzati ügyfeleknek értékesíti világszerte – vagyis elsősorban nemzetbiztonsági és hírszerzési szolgálatoknak.

A fejlesztők szerint a programot terroristák utáni kémkedésre tervezték, de a kormányok világszerte használták már független újságírók és ellenzéki aktivisták ellen – és gyakran letartóztatták vagy meg is ölték őket. Az Egyesült Arab Emírségek és Thaiföld aktivistáit például bebörtönözték, miután okostelefonjaikat megfertőzték. A mexikói független riportert, Cecilio Pineda Birtót egy ismeretlen támadó lőtte le, alig néhány héttel azután, hogy a helyi hatóságok úgy döntöttek, hogy a program segítségével nyomon követik őt. A szaúdi titkosszolgálatok által 2018-ban meggyilkolt és feldarabolt Dzsamál Khashoggi újságíró telefonját pedig az NSO szoftverje segítségével hackelték meg.

Az Access Now és a Citizen Lab megállapításai szerint Ehrlich iPhone-ját valóban megfertőzték 2022. november 28-án vagy 29-én. Az újságíró ezekben a napokban Ausztriában tartózkodott feleségével. „Innsbruckba mentünk síelni – meséli Ehrlich. – Reggel nyolckor indultunk – és délután ötkor tértünk vissza a hegyről. A telefonunk végig nálunk volt. Nem voltak gyanús beszélgetéseink: egy müncheni ukránnal meg egy Zürichben élő Google-alkalmazottal beszéltünk és egy moszkvaival, aki közvetlenül a háború kitörése után hagyta el Oroszországot” (a Pegasus üzemeltetőinek azonban nincs szükségük fizikai hozzáférésre a készülékhez – az okostelefon megfertőzéséhez csak a telefonszámot kell ismerniük).

Nagyjából ugyanezekben az időpontokban, 2022 novemberének végén ismeretlenek megtámadták Jevgenyij Pavlov okostelefonját, majd hat hónappal később – 2023. április 24-én – ismét megtették ugyanezt. Az Access Now és a Citizen Lab nem tudta kideríteni, hogy ezek a kísérletek mennyire voltak sikeresek (nem sokkal az első után az újságíró frissítette az összes készülékét, ami megsemmisíthette a Pegasus elemzéséhez szükséges digitális nyomokat). Pavlov mindkét támadás idején Lettországban tartózkodott.

Maria Epifanova telefonját már jóval korábban – 2020. augusztus 18-án – törték fel (az Access Now jelentése hangsúlyozza, hogy ez a legkorábbi ismert támadás „az orosz civil társadalom képviselője” ellen). Akkoriban Epifanova szintén Lettországban tartózkodott. Az újságírónő azonban mindössze három nappal később Vilniusba utazott, hogy részt vegyen Szvetlana Tyihanovszkaja fehérorosz ellenzéki vezető sajtótájékoztatóján. Elméletileg a hackelés szervezői távolról bekapcsolhatták volna a kamerát és a mikrofont Epifanova utazása alatt – de hogy ezt megtették-e, nem tudni.

Egy negyedik újságíró, akinek a telefonja szintén megfertőződött, arra kérte a kutatókat, hogy ne fedjék fel a nevét. Az ő készülékét 2023. június 15-én hackelték meg Vilniusban – az újságíró nem sokkal az Ukrajna elleni orosz támadás után költözött oda. A fertőzést követő napon az újságíró Rigába utazott, hogy részt vegyen a Balti Médiafejlesztési Központ, a Deutsche Welle Akadémia és a Fenntarthatósági Alapítvány rendezvényén. Az eseményen több tucat, a háború miatt emigrált orosz vett részt. „A készüléket azért fertőzhették meg, hogy lehallgatásra használják” – találgatja Natalia Krapiva, az Access Now szóvivője (aki interjút készített a támadás áldozatával).

A Pegasus további három áldozata belarusz állampolgár.

Egy Vilniusban élő belarusz aktivista (neve elhallgatását kérte) telefonját 2021. március 25. körül fertőzték meg. Ezen a napon a diaszpóra éppen az első nemzetállam, a Belarusz Népköztársaság függetlensége kikiáltásának évfordulóját ünnepelte.

Két további, a Pegazus által érintett belarusz állampolgár Varsóban él. Egyikük – Andrej Szannikov volt elnökjelölt – készülékét 2021. szeptember 7-e körül hackelték meg (hogy miért éppen aznap támadták meg, nem tudni).

Natalia Radina – belarusz újságíró, a „Charter’97” című honlap főszerkesztője – okostelefonját háromszor fertőzték meg kémprogrammal: 2022. december 2-án és 7-én, valamint 2023. január 16-án. Az első támadásra közvetlenül a Szabad Oroszország Fórum által Vilniusban szervezett háborúellenes konferencia után került sor. Radina részt vett rajta – és a fertőzés idején még Litvániában tartózkodhatott.

Radina nyilatkozott a Meduzának:

„Ez a magánélet, a levelezés és a telefonbeszélgetések titkosságának megsértése. Korábban a telefonomat Belaruszban hallgatták le illegálisan, ahol politikai okokból üldöztek, a KGB perbe fogott és be is börtönzött.

Tudom, hogy évek óta teljesen legális újságírói tevékenységem már csak a belarusz és orosz különleges szolgálatok számára lehet érdekes. És csak attól tartok, hogy a Pegasus-támadás jelenlegi üzemeltetői, bárkik is legyenek azok, esetleg együttműködnek a KGB-vel vagy az FSZB-vel ebben az ügyben.”

Legalább egy operátor közös legalább három lettországi, litvániai és lengyelországi támadásban.

Mint az Access Now és a Citizen Lab kiderítette, az ismeretlenek ugyanazokat az Apple ID-ket használták orosz és belarusz újságírók megfertőzésére. Ezeket kifejezetten erre a támadásra hozták létre (az e-mailek, amelyekhez a fiókok kapcsolódtak, digitális ujjlenyomatot hagytak az eszközökön):

A hackerek ugyanazt az e-mailt használták arra, hogy behatoljanak a lettországi Jevgenyij Pavlov és az ausztriai Eugene Ehrlich készülékeibe (2022. november 28-29.).

Egy másik e-mailt már arra használtak, hogy ismét megtámadják Pavlovot Lettországban, valamint megfertőztek egy orosz újságírót Litvániában és Natalia Radinát Litvániában vagy Lengyelországban (ezek a hackelések 2023 januárja és júniusa között történtek).

Ez arra utal, hogy e támadássorozatok mindegyikének hátterében ugyanaz a kémprogram-üzemeltető áll. „Úgy gondoljuk, hogy különböző kormányok nem támadhatnak embereket ugyanarról az e-mailről” – magyarázzák a szakértők – „De nem zárjuk ki, hogy ugyanaz az üzemeltető hozhatott létre két e-mail címet amelyekről mindkét támadássorozat zajlott”.

Ez azt jelenti – érvel Krapiva –, hogy „egy és ugyanaz az operátor áll legalább három lett, litván és lengyel célpont meghackelése mögött. És később vagy ugyanaz az operátor, vagy valaki más egyszerre fertőzte meg a lettországi és az ausztriai célpontokat”. Az ilyen terjedés nem példa nélküli eset, pontosít a szakértő. A Pegasust használó Szaúd-Arábia és Marokkó például különböző országokban található célpontokat fertőz meg. Az NSO Group kémprogramjának ügyfelei közé tartozó államok „különböző típusú licenceket” vásárolnak ettől a cégtől, magyarázzák az Access Now szakértői: egyesek csak a saját országukon belüli támadásokra vásárolnak jogot, míg mások „külön engedélyt” kapnak a saját határaikon túli fertőzésekre.

Eugene Ehrlichnek megvan a saját verziója arról, hogy az ő és Pavlov eszközei miért kelthették fel egyszerre az egyik Pegasus-üzemeltető érdeklődését: mindkét újságíró a Baltia című műsornál dolgozott. Ők készítették a „Hét” című műsort a „Jelenidő” televíziós csatorna számára. Az újságírók 2022 novemberében megtámadott SIM-kártyáit pedig Erlich észt Mediaframe nevű cége számára vásárolták, amelyet kifejezetten a tévéműsor készítésére jegyeztetett be.

„Talán úgy döntöttek, hogy a biztonság kedvéért egyszerre fertőzik meg a cégünk összes telefonját” – találgatja Erlich a Meduzával folytatott beszélgetésben. – Az egész régióról készítettünk mi műsort: Litvániáról, Lettországról, Észtországról. És mi voltunk a „Jelenidő” kizárólagos képviselői a balti államokban. Műsorunk egynegyede szorosan kapcsolódott az orosz fenyegetéshez: anyagokat készítettünk a NATO és az orosz erők korrelációjáról, interjúkat készítettünk katonai szakértőkkel és a lettországi orosz nagykövettel.

Pavlov egyetért ezzel a verzióval: „Ez az egyetlen magyarázat. Nem látok más okot, mert lett újságíróként nem foglalkozom oknyomozással, és a fő munkahelyem egy regionális lap, a ‘Million’ Daugavpilsben”.

Pavlovs és Ehrlich is együttműködött a Novaja Gazeta Baltijával, amelyet a harmadik Lettországban élő Pegazus-áldozat, Maria Epifanova vezet. Ő hangsúlyozta:

„Kiadványunk természetesen a munkatársai elleni támadásként értékeli ezt a helyzetet. Gyakran van a telefonomon munkahelyi levelezés, fontos információkat tárolok ott, amelyek néha nemcsak engem, hanem kollégáimat, munkatársaimat és interjúalanyaimat is érintik. A Pegasus egy olyan program, amelyet nem hétköznapi hackerek, hanem állami hírszerző ügynökségek használnak; senkinek semmilyen célja vagy érdeke nem indokolhatja a magánélet megsértését. Ez még kevésbé teszi egyszerűvé és biztonságossá az amúgy is nehéz és bizonytalan munkánkat.”

Pavel Butorin, a „Jelenidő” csatorna igazgatója távollétében is egyetért vele: „Nagyon aggódunk a Pegasus kémprogram újságírók elleni célzott használata miatt, és továbbra is szigorúan betartjuk a megfelelő biztonsági protokollokat, hogy biztosítsuk munkatársaink védelmét.”

2023 szeptembere óta, amikor az Access Now közzétette a Galina Tyimcsenko iPhone-jának feltöréséről szóló jelentését, a szervezet részletesen tanulmányozta mind a hét, száműzetésben élő újságírók és aktivisták megfertőzésére irányuló kísérletet. És minél jobban bővül a minta, annál komolyabbá válik a szakértők gyanúja a balti államok esetleges részvételéről a támadások megszervezésében.

„Az összes áldozat vagy a balti államokban él, vagy oda utazott, mint a belarusz kolléga, de többük munkája mindenképpen a balti régióra irányul” – állítja Krapiva – „Sokan közülük nem is olyan régen költöztek Európába Oroszországból vagy Fehéroroszországból. Érthető, hogy a helyi biztonsági szolgálatokban gyanút keltettek, mivel potenciális kémeknek gondolhatták őket.”

Az Access Now és a Citizen Lab által vizsgált fertőzések Lettországban, Litvániában, Lengyelországban és Ausztriában történtek. A rögzített támadások idején azonban csak Lettországban használták (és a szakértők szerint még mindig használják) a Pegasust.

„A varsói fertőzések 2022-ben és 2023-ban történtek, míg Lengyelországnak csak 2021-ig volt hozzáférése a Pegasushoz: amikor a sajtó írt az ország kémprogram-használatáról, és kitört a botrány, az NSO Group felmondta velük a szerződést. Ráadásul a lengyel kormány már mindent beismert, és dolgozik a hibák orvoslásán” – magyarázza Natalia Krapiva.

Ausztria, Litvánia, Oroszország és Fehéroroszország szintén nem használja a Pegasust – pontosít a szakértő a Citizen Lab adataira hivatkozva, amely a program infrastruktúráját tanulmányozza világszerte.

Lettország azonban még soha nem támadott meg külföldön eszközt, állítják a Citizen Lab szakértői. Krapiva szerint azonban a litvániai, lengyelországi és ausztriai fertőzések magyarázhatják Lettország „együttműködését Észtországgal” (utóbbi 2019-ben vásárolta meg a Pegasus jogait, és a Citizen Lab kutatói rögzítették, hogy „egyszerre több uniós országban… egyszerre több célpontot is megfertőzött”).

Észtország Európa-szerte folytat operatív tevékenységet, és az ország Lettországgal is szorosan együttműködik a biztonság, valamint Oroszország és Belarusz elleni küzdelem terén, amelyek közös fenyegetést jelentenek a balti államok számára.

A Pegasus kutatói számára érdekes Litvánia is. „Ennek az országnak a területén is történtek támadások” – mondja Krapiva – „És annak ellenére, hogy Litvánia nem felhasználója ennek a kémprogramnak, érdekes lenne tudni, hogy Lettország és Litvánia együttműködik-e az információbiztonság terén – illetve, hogy Vilnius tudott-e a közelgő fertőzésekről.”

* * *

Kellemetlen, hogy „az ember alsóneműjét valaki – még ha szűk körben, titkos irodákban folytatott megbeszéléseken is – átöblíti” – mondja Eugene Ehrlich a Meduzának. Leszögezi:

„De ők tényleg félnek Oroszországtól. És nem haragszom a hatóságokra, ha valóban ők voltak. A lett biztonsági erők sok pénzt kapnak az orosz fenyegetés elleni harcra, és elvárják tőlük, hogy eredményeket érjenek el. Aztán megjelenik az országban néhány orosz újságíró, és azt mondják, hogy ellenzik a Krím annektálását. De tényleg azok? Meg kell nézni, hogy nem kémek-e.”

Maria Epifanova hozzáteszi, hogy tervezi, miszerint a lett Állambiztonsági Szolgálathoz fordul: „Amikor a telefonomat feltörték, Lettország területén tartózkodtam, ez az állandó lakhelyem. Ha a lett hatóságoknak semmi közük ehhez a hackeléshez, akkor legalább az érdekelhetné őket, hogy mit művelnek más országok különleges szolgálatai a területükön.”

Evgenijs Pavlovs viszont elismeri, hogy még mindig „teljesen értetlenül áll”:

„Én magam egyáltalán nem tűnök olyan célpontnak, amire ennyi pénzt és ennyi erőfeszítést kellene fordítani. Még ha tudnám is, hogy a telefonomat egész idő alatt lehallgatták, akkor is ugyanúgy élnék, mint eddig anélkül, hogy korlátoznám magam, ahogy mondják, mert nincs mit rejtegetnem.”

Chaim Gelfand, az NSO Group megfelelőségért felelős alelnöke a következő válaszolt adta a Meduza kérdéseire az oroszul beszélő aktivisták és újságírók elleni támadásokkal kapcsolatban:

„Nem adunk ki információkat konkrét ügyfelekről, de hangsúlyozni szeretnénk, hogy az NSO csak Izraelnek és az Egyesült Államokkal szövetséges országoknak ad el szolgáltatást.

Azonnal felülvizsgáljuk a kérésben szereplő információkat, és ha szükséges, vizsgálatot indítunk… Az NSO számos vizsgálata az ügyfelekkel való együttműködés felfüggesztését, egyes esetekben pedig megszüntetését eredményezte.

Az NSO Group elkötelezett a kiszolgáltatott személyek és közösségek, köztük az újságírók védelme mellett. Az újságírói igazolvány azonban nem nyújt védettséget a jogszabályi ellenőrzés ellen. Dokumentáltak olyan eseteket, amikor sajtóigazolvánnyal rendelkező személyek bűncselekményekben, terrortámadásokban vettek részt, és hírszerző ügynökségeknek dolgoztak.”

Gelfand azonban nem hozott konkrét példákat ilyen helyzetekre – és azt sem magyarázta meg, hogy mi köze lehet ezeknek az oroszul beszélő újságírók elleni támadásokhoz.

Ha Gelfand nem is mond példát, én tudok egyet: 2001. szeptember 9-én Ahmad Sah Maszúdot, a legendás afganisztáni gerillaparancsnokot egy belga forgatócsoportnak álcázott tunéziai öngyilkos merénylő-alakulat ölte meg: a kamerába rejtették a bombát. Azonban így, hamarjában én sem tudok több példát felhozni, az újságírás ugyanis olyan szakma, aminek a művelői felismerik egymást, álcának alkalmatlan, akkor már nevezze magát a kém inkább üzletembernek vagy valami hasonlónak. De előfordult, valóban, olyan is, hogy ügynökségek beszerveztek valódi sajtómunkásokat is – mindenesetre nem ez a jellemző a szakmára.

Azonban lássuk azt a kérdést, amit már mindenki feltett magában: ki hallgatja le az emigráns, ellenzéki orosz újságírókat?

Összesen két lehetőség van.

  1. A balti államok teszik, szoros együttműködésben, orosz kémektől tartva, és elsődlegesen talán nem is az újságírók tevékenysége érdekli őket – az úgyis megjelenik nyilvánosan – hanem az emigrációban szerveződő orosz ellenzéket térképezik fel, akik szoros kapcsolatban állnak az orosz ellenzéki sajtóval.
  2. Az Oroszországi Föderáció áll a háttérben, egy „baráti állam” valamelyik szolgálatát használva proxyként. Ha ez az igazság, az maga lesz a világbotrány a „bérkémkedő” állam számára.

Ne tessenek megfejtéseket beküldeni, jelenleg nem ismerjük a megoldást. Mindenesetre annyi biztos, hogy a Pegasus újra szárnyal, rendületlenül. És míg igénybe veszik ezt a szolgáltatást, szárnyalni is fog.

Lelőhetné már valaki azt a repülő lovat.

 

Szele Tamás

Oszd meg másokkal is!

Ajánlott olvasnivaló:

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük