To prawdopodobnie CBA kupiło platformę podsłuchową Pegasus

Wiele wskazuje na to, że to Centralne Biuro Antykorupcyjne jest użytkownikiem bardzo skutecznego systemu podsłuchowego pozwalającego przejąć kontrolę nad prawie dowolnym smartfonem. Poniżej wyjaśniamy, dlaczego tak sądzimy.

Kilka dni temu opisaliśmy badanie wskazujące, że na terenie Polski znajduje się co najmniej kilka osób, których smartfony zarażone są prawdopodobnie najskuteczniejszym koniem trojańskim dostępnym na rynku, zwanym Pegasus. Dzisiaj TVN24 opisał zakup systemu podsłuchowego przez CBA – i w naszej ocenie daty oraz kwoty wskazują, że chodziło właśnie o Pegasusa.

Podsłuch idealny

Przypomnimy – Pegasus to platforma, która pozwala podsłuchać smartfona i wszystko, co na nim się znajduje. Umożliwia nie tylko podsłuchiwanie połączeń głosowych czy wiadomości SMS i zbieranie lokalizacji (tak jak „zwykłe” podsłuchy zakładane przez operatorów telekomunikacyjnych na zlecenie służb), ale także podsłuchiwanie komunikatorów takich jak WhatsApp, Signal czy Messenger, zbieranie zdjęć użytkownika czy pobieranie głosu i obrazu z mikrofonu i kamery użytkownika. Koń trojański na telefony jest wysyłany zdalnie – czasem wymaga to kliknięcia w link, czasem otrzymania wiadomości, a czasem może być całkowicie niewidoczne dla użytkownika. Co więcej, Pegasus jest nadzwyczaj trudny do wykrycia – gdy tylko widzi, że ktoś go obserwuje, to natychmiast usuwa się z urządzenia. Idealne narzędzie do monitorowania przestępców.

TVN24 opisuje fakturę, która znalazła się w dokumentacji analizowanej przez Najwyższą Izbę Kontroli, badającej zasadność finansowania CBA z Funduszu Pomocy Poszkodowanym i Pomocy Postpenitencjarnej. Nie wnikamy w same mechanizmy finansowania – z naszego punktu widzenia ciekawsza jest kwota i opis faktury oraz termin zakupu systemu. Według TVN24 na fakturze opisanej jako „zakup środków techniki specjalnej służących do wykrywania i zapobiegania przestępczości” znalazły się następujące pozycje:

przedpłata – 13,6 mln zł,

odbiór sprzętu i programu – 11,64 mln zł,

testy funkcjonalności – 5 mln zł,

szkolenia – 3,4 mln zł.

Wygląda zatem na to, że sam system kosztował nieco ponad 25 mln zł, a ponad 8 mln zł kosztowało jego wdrożenie. Fakturę wystawiła „młoda polska firma informatyczna”, która miała odpowiadać za spolszczenie, wdrożenie i szkolenia. To popularny model handlu tego rodzaju systemami – zagraniczny dostawca znajduje lokalnego partnera, który ułatwia sprzedaż i zapewnia późniejszą obsługę w lokalnym języku. Lokalne firmy często prowadzone są przez osoby powiązane ze służbami danego kraju.

Kto kupił Pegasusa i dlaczego sądzimy, że właśnie CBA

Mamy co najmniej cztery argumenty wskazujące, że system kupiony przez CBA był właśnie opisywanym przez nas Pegasusem.

Po pierwsze, kwota 25 mln zł jest zadziwiająco zbieżna z wyceną, którą znamy z prywatnych źródeł – podobną kwotę ma kosztować paczka 10 licencji na podsłuchy w Pegasusie wraz z możliwością zdalnego zarażania najnowszych modeli telefonów. Po drugie, w tej historii występują ciekawe zbieżności czasowe. TVN24 donosi, że 25 mln zł dotacji do CBA trafiło 29 września 2017 roku. Z drugiej strony badacze z Citizen Lab wskazują, że infekcje w Polsce zaczęli obserwować w listopadzie 2017. Po trzecie, to właśnie CBA jako jedyne spośród wielu zainteresowanych polskich służb kilka lat temu kupiło RCS – analogiczne oprogramowanie od firmy Hacking Team, umożliwiające infekowanie komputerów wybranych osób. Po czwarte, inne służby, jak np. ABW, z definicji nie ufają w tym obszarze produktom pochodzenia zagranicznego. To bardzo rozsądne podejście – nigdy nie da się do końca sprawdzić, czy wykradane informacje trafiają do tego, do kogo miały trafić i w przypadku działań ABW ryzyko ujawnienia tajemnicy państwowej jest zbyt duże. Z kolei służby walczące z przestepstwami kryminalnymi nie mają takich ograniczeń. Policji jednak na takie zakupy nie stać, a CBA ze względu na dobre poparcie polityczne może odpowiedni budżet „zorganizować”.

Oczywiście oficjalnie nigdy nie poznamy prawdy – chyba że ktoś zhakuje NSO, producenta Pegasusa, i pokaże faktury zakupowe i e-maile od klientów, tak jak było to w przypadku Hacking Teamu.

Jeżeli macie informacje mogące pomóc rozwiać mgłę tajemnicy w tej i podobnych sprawach, tutaj znajdziecie nasz klucz PGP. E-maila proponujemy wysłać z komputera i łącza, których nie można z Wami powiązać. Tak na wszelki wypadek…