Valódi hírszerzési szenzációval indult a mai nap, ugyanis olyan megfigyelési ügy robbant ki Rigában, amelyre még nem volt példa: A Meduza orosz ellenzéki lap kiadója, Galina Timcsenko telefonján felfedezték a Pegasus nyomait. Ez azért különlegesség, mert mindezidáig az orosz gumitalpúak egyáltalán nem használták ezt az eszközt.
Most sem biztos, hogy közvetlenül ők alkalmazták, de ha más országok hírszerzése volt, akkor tán még nagyobb a baj: ez ugyanis azt jelentheti, hogy a kétségtelenül és következetesen Putyin-ellenes Meduza nem számíthat egyes uniós tagállamok valódi támogatására. A helyzet persze nem biztos, hogy ennyire rossz: nem zárható ki az sem, hogy Kazahsztán vagy Azerbajdzsán szolgálatai tettek szívességet a Lubjanka térnek. De lássuk, mi történt – az érintett fél, vagyis a Meduza előadásában.
Június 23-án Galina Timcsenkót, a Meduza kiadóját és társalapítóját arra kérték, hogy sürgősen jöjjön be a médiavállalat rigai irodájába. A hívás a technikai részlegről érkezett: Alekszej, a részleg vezetője szokatlanul szigorúan fogalmazott – de nem magyarázta meg, hogy mi a baj. „Egyszerűen olyan hangon beszélt, hogy parancsnak fogtam fel” – emlékszik vissza Timcsenko. – Egyértelmű volt: valami nincs rendben".
Munkába menet Timcsenko megpróbált visszaemlékezni, hogy mindenhol erős jelszavakat használt-e, és hogy rákattintott-e gyanús linkekre. „Azt hittem, hogy valami rosszat tettem” – írja le akkori érzéseit a Meduza kiadója. Alekszej Galinával közvetlenül az iroda küszöbén találkozott, és némán rámutatott a táskájára, amelyben a számítógépe és a telefonja volt. „Még nem mondhatok semmit” – mondta. – „Még ellenőrizzük". Ezután az egyik műszaki igazgató elvette Timcsenkótól a macBookot és az iPhone-t.
Az Apple-től kapott SMS-re, amelyet előző nap kapott, nem emlékezett, bár abban az állt, hogy a telefonját „kormánypárti hackerek” támadhatták meg (azt nem pontosították, hogy melyik kormányról van szó). Miután továbbította a furcsa üzenetet a műszaki osztályra, Timcsenko „megnyugodott”, és nem gondolt többet rá; már hozzászokott az ilyen szörnyű figyelmeztetésekhez. Oroszország évek óta próbálja feltörni vagy tönkretenni a Meduza infrastruktúráját: DDoS-ről, adathalászatról és közvetlen blokkolásról van szó.
Hogy milyen hackerek támadhatták meg Timcsenkót, az Apple nem fejtette ki közleményében. Hogy ezt megértse, Alekszej felvette a kapcsolatot az Access Now internetes jogvédőivel, akik az ilyen hackelések áldozatainak segítenek, és a Citizen Lab kiberbiztonsági kutatóival. Mindkét szervezet újságírókat és aktivistákat véd világszerte: a Citizen Lab kémkedéssel kapcsolatos eseteket vizsgál, az Access Now pedig a digitális biztonsági gyakorlat javításában segít (konkrétan az Access Now volt az, aki szorgalmazta, hogy az oroszok elvileg hozzáférhessenek az internethez; a háború kezdete után bevezetett nemzetközi szankciók kivétel nélkül minden orosz állampolgár elszigetelését eredményezhették volna).
A szakértők ellenőrizték a Timcsenko készülékeiről származó adatmentéseket. Az Access Now és a Citizen Lab munkatársainak szlengjében az ilyen diagnosztikát „gyors Covid-tesztnek” nevezik. Az eredmények nagyon gyorsan megérkeztek. Kiderült, hogy 2023. február 10-én a Meduza kiadó okostelefonja megfertőződött a Pegasus kémprogrammal, amely hozzáférést biztosít a hackerek számára annak az iPhone-nak a hangjához, kamerájához és memóriájához, amelybe a SIM-kártyát behelyezték. Így ismeretlenek hozzáférhettek a telefon teljes tartalmához, beleértve az otthoni címet, a találkozók időpontjait, a fényképeket, sőt a titkosított üzenetküldőben folytatott levelezést is: A Pegasus lehetővé teszi, hogy az üzeneteket közvetlenül a képernyőről olvassa el, miközben azok íródnak – vagy egyszerűen leszívja az egyes üzeneteket, képeket vagy e-maileket.
A Pegasus program az NSO Group nevű, izraeli hírszerzők által alapított cég fejlesztése. A cég kizárólag kormányzati ügyfeleknek értékesíti szoftverét világszerte – vagyis elsősorban biztonsági és hírszerző ügynökségeknek.
A fejlesztők szerint a Pegasust terroristák utáni kémkedésre tervezték, de a kormányok világszerte használják a programot független újságírók és ellenzéki aktivisták ellen, gyakran letartóztatva vagy akár meg is öletve őket. Az Egyesült Arab Emírségekben és Thaiföldön élő aktivistákat például bebörtönözték, miután okostelefonjaik megfertőződtek. A mexikói független riportert, Cecilio Pineda Birtót egy ismeretlen támadó lőtte le, alig néhány héttel azután, hogy a helyi hatóságok úgy döntöttek, hogy a program segítségével követik nyomon. Dzsamál Khashoggi újságíró feleségének telefonját, akit 2018-ban a szaúdi titkosszolgálatok megöltek és feldaraboltak, az NSO szoftver segítségével hackelték meg.
Hogy mennyibe kerül egyetlen készülék feltörése, azt még a Pegasus kutatói sem tudják. Általában a programhoz való hozzáférésért a kormányok több tízmillió dollárt fizetnek az NSO Groupnak – mondja John Scott-Railton, a Citizen Lab vezető kutatója. Minden ilyen szerződés több „egyidejű fertőzést” tartalmaz, pontosítja Natalia Krapiva, az Access Now szakértője: „Egy ügyfélállam például 20 fertőzést tartalmazó csomagot vásárolhat – ez azt jelenti, hogy 20 ember állhat egyszerre megfigyelés alatt”.
A Meduza vezetősége a fertőzés ismertté válása után azonnal bezárkózott Timcsenko irodájába egy sürgős megbeszélésre. Ivan Kolpakov főszerkesztő (éppen utazott, és videohíváson keresztül kapcsolták) láthatóan zavarodott volt, és hangosan sorolta, mi minden szivároghatott ki a hackelés következtében: vállalati jelszavak és levelezés, bankszámlaegyenlegek, a Meduza alkalmazottainak nevei. És ami a legveszélyesebb, azoknak a listája, akikkel a kiadvány Oroszországon belül együttműködik.
„Mindannyian meg voltunk rémülve” – emlékszik vissza Alekszej a Meduza vezetőinek a Pegasus-helyzetnek szentelt megbeszélésére, amelyre ugyanazon a napon, június 23-án került sor. – „De úgy tettünk, mintha nem lennénk.”
Világossá vált, hogy egyszerűen lehetetlen felmérni a lehetséges kockázatokat, emlékszik vissza Kolpakov: "Mindent megkaptak. Mindent, amit akartak".
A találkozó résztvevőinek visszaemlékezései szerint csak a Meduza műszaki igazgatója tűnt kifelé nyugodtnak. Ő maga azonban másképp emlékszik ezekre a percekre: „Bedugott füllel ültem, és próbáltam egy ellenőrző listát írni Galina számára: új jelszó, új készülék, új Apple ID, új SIM-kártya”. Timcsenko ezzel szemben „megpróbált viccelődni”, mondja Alekszej – de egy ponton elsírta magát:
Ivan feltette Galinának a legkellemetlenebb kérdéseket: „Milyen dokumentumokkal dolgoztál az iPhone-odról? Mindenhol telepítettél kétfaktoros védelmet?”. „A hackelés miatt úgy éreztem magam, mintha lecsupaszítottak volna nyílt téren, mintha a zsebemben turkáltak volna, mintha mocskos lettem volna – kezet akartam mosni! És akkor a társam és legjobb barátom kihallgatott, mintha én ültettem volna fel mindenkit. Borzasztóan megsértődtem... De ha én lettem volna az ő helyében, én is ugyanezt követeltem volna. Iván csak rettenetesen ideges volt.” – emlékszik vissza Galina.
Szinte lehetetlen ellensúlyozni a Pegazus telepítését. A speciális szolgálatok sikeresen feltörnek egy kütyüt, ha a telefonon legalább egy olyan alkalmazás van, amely sebezhető ezzel a kémprogrammal szemben (nagyon nehéz kiszámítani a kockázatokat: néha még a maga az Apple által előtelepített alkalmazásokban is vannak ilyen sebezhetőségek). Mint a Citizen Lab elemzése kimutatta, Timchenko esetében valószínűleg a HomeKit és az iMessage szolgáltatásokat használták.
A Pegasusról szóló megbeszélés Timcsenko irodájában egészen addig a pillanatig elhúzódott, amikor a PMC Wagner megalkotója, Jevgenyij Prigozsin bejelentette, hogy megkezdte „Moszkva elleni menetelését”. És a lázadás alkalmából rendkívüli megbeszéléssé alakult, amelyen a teljes szerkesztőség részt vett (de a hackeléssel kapcsolatos helyzetet ott nem tárgyalták meg).
Aznap este, amikor a vezetőség a Meduza elleni újabb támadás lehetséges okain töprengett, senki sem emlékezett egy furcsa egybeesésre: 2023. február 11-én, a fertőzés másnapján Timcsenko és Kolpakov részt vett az orosz független média képviselőinek bizalmas találkozóján. A "Redkollegija" újságírói díj által szervezett berlini szemináriumon a média vezetői és jogászok vettek részt, hogy megvitassák a teljes cenzúra és az újságírók és aktivisták tömeges üldözése mellett történő munkavégzés jogi vonatkozásait. Két héttel a kongresszus előtt a Meduza „nemkívánatos” szervezetté vált az Oroszországi Föderációban (azaz a hatóságok betiltották a kiadványt). Az összegyűlt kollégák számára – emlékszik vissza Timcsenko – úgy tűnt, hogy hamarosan mindenkire ez vár.
A berlini találkozó idejére a Meduza kiadójának már az iPhone-ján volt a Pegazus. A hackelést szervezők a kamera és a mikrofon távoli bekapcsolásával diszkréten megfigyelő- és lehallgatóeszközzé tudták alakítani.
A Pegasus-fertőzések gyakran „csak egy-egy esemény miatt történnek” – mutat rá a Meduzával folytatott beszélgetésben Natalia Krapiva Access Now szakértő, aki a program elterjedését kutatja: „Galina telefonját akár poloskaként is használhatták – hogy lehallgassák, mit terveznek ott az emigráns orosz újságírók”.
„Én persze először az orosz államra, a titkosszolgálatokra gondoltam” – emlékszik vissza Timcsenko. – Ki másnak kellek én?"
Oroszország, Kazahsztán, Azerbajdzsán
Timcsenko volt az első orosz újságíró, akit a Pegazus megtámadott. Natalia Krapiva, az Access Now munkatársa a Meduzával folytatott beszélgetésben elismeri, hogy bizonyos értelemben megkönnyebbült, amikor megtudta, hogy végre megtörtént az első orosz vonatkozású fertőzés.
A szervezet évek óta szisztematikusan tesztelte az Oroszországi Föderációból érkező újságírók és aktivisták készülékeit – úgy tűnt, hogy a Pegasus kivételével mindenféle támadásnak ki van téve. Nettles nem optimista, hanem aggodalmaskodó volt – talán „valami ijesztő dolog történik észrevétlenül”:
„Attól tartottam, hogy az orosz aktivistákat és újságírókat olyan rosszindulatú szoftverek követik, amelyeket nem tudunk megfejteni. Az első megerősített eset egyszerre okozott sokkot, izgalmat és megkönnyebbülést. Most legalább van egy nyom, amit meg tudunk húzni”.
Az ilyen fertőzések azonosítása azért sem könnyű, mert alig mutatnak magukról jelet. Timcsenkónak például semmi oka nem volt azt hinni, hogy valami baj van az iPhone-jával. Kivéve, hogy a szokásosnál jobban melegedett; Galina ezt az új, nagy sebességű töltőjének furcsaságaira vezette vissza.
A Pegazus felderítése még a tech-szakértők számára is igazi kihívás. „Az ilyen kémprogramok képesek maguktól elrejteni a naplófileokat, elrejteni az eszközön való jelenlétük nyomait” – magyarázta a Meduzának John Scott-Railton, a Citizen Lab vezető kutatója. – A mi munkánk folyamatos versenyfutás a technológiával."
A Citizen Lab kutatólaboratóriuma volt az, amely 2016-ban először észlelte a Pegasus létezésének nyomait. A szervezet immár hat éve követi a digitális lábnyomokat. Ennek köszönhetően a kutatók pontosan láthatják, hogy mely országok használják az NSO Group termékét.
A kanadai laboratórium munkájának nagy részét a Pegasus-szerverek felkutatása teszi ki. „A Pegasus egy szolgáltatás, az NSO Group pedig kapcsolatot árul hozzá” – magyarázza Nettles. – Amikor létrejön egy üzlet, a vállalat egy egész csapatot küld az ügyfél országába: képzéseket szervez az eszközének működtetéséről. Mindez technikai infrastruktúrát igényel, és a Citizen Lab folyamatosan ezt próbálja nyomon követni".
„Nemcsak a támadáshoz használt infrastruktúrát keressük, hanem az adatok kinyeréséhez szükséges infrastruktúrát is” – teszi hozzá Scott-Railton. – Vagyis az összes olyan szervert, ahová végül a fertőzött eszközökről gyűjtött információk kerülnek."
A fertőzésre mindössze két héttel azután került sor, hogy a Meduzát Oroszországban „nemkívánatos szervezetté” nyilvánították. A Citizen Labnek azonban nincs bizonyítéka arra, hogy Moszkva hozzáfér az izraeli kémprogramhoz – mondja John Scott-Railton a Meduzának.
Más országokban sem fertőznek meg orosz telefonszámokat. „Legalábbis 2016 óta nem láttunk egyetlen ilyen példát sem” – mondja Krapiva.
Ugyanakkor a Pegasus megfigyelésre történő megvásárlásának elutasítása stratégiai döntés lehetett Moszkva részéről, véli Andrej Szoldatov orosz hírszerzés-kutató: az FSZB-nek minden oka megvan arra, hogy gyanítsa, az izraeli NSO Group „együttműködik hazája hírszerző szolgálatával”, és egy ilyen szerződés megkötése „veszélyeztetheti az orosz műveleteket”.
Maga az NSO 2021-ben nyilvánosan kijelentette, hogy Oroszország valóban megpróbálta megvásárolni a Pegasust, de elutasították. Az izraeli fejlesztő úgy pozícionálja magát, mint egy olyan vállalat, amely elsősorban a NATO-blokk országaira – „az USA és Izrael partnereire” – összpontosít.
Ettől a politikától való eltérés az NSO-nál csak egyszer, 2022 nyarán került szóba, amikor egy nemzetközi vizsgálat leleplezte a Pegasus tömeges alkalmazását emberi jogi aktivisták és független újságírók ellen, a vállalatot perekkel sújtották, és az eladásai zuhanni kezdtek. Salev Julio társalapító ekkor vetette fel az ötletet, hogy a vállalaton belül kezdjenek el „magasabb kockázatú ügyfeleknek” értékesíteni. Hamarosan azonban lemondott posztjáról.
„Nem látunk bizonyítékot arra, hogy Oroszország az NSO terméket használná” – erősítette meg John Scott-Railton a Meduza-nak – „De ez nem jelenti azt, hogy mindent tudunk”.
Az FSZB nem válaszolt a Meduza Pegasusra vonatkozó kérdéseire; az NSO Group szóvivője a kiadvány megkeresésére azt mondta, hogy a cég fejlesztéseit „kizárólag az Egyesült Államok és Izrael szövetségesei számára értékesítik, különösen Nyugat-Európában, és kizárólag a bűnözők és terroristák elleni küzdelemre – teljes összhangban az amerikai nemzetbiztonság globális érdekeivel”.
A Galina Timcsenko telefonjának megfertőzéséről szóló Access Now jelentés szerint azonban lehetséges, hogy két másik, Pegasusszal vélhetően rendelkező ország – Kazahsztán és Azerbajdzsán – is kezdeményezhette a támadást Moszkva kérésére. „Van egy köztes elmélet, miszerint Oroszország felkérhette erre a partnereit” – spekulál Krapiva. – „Kazahsztán például kétszer is blokkolta a Meduzát mindenféle figyelmeztetés nélkül”.
Egy ilyen kérés teljesítéséhez azonban a kazah vagy azerbajdzsáni biztonsági szolgálatoknak történelmük során először kellett volna Pegazus segítségével támadniuk egy európai célpontot: a fertőzés napján Timcsenko Németországban tartózkodott.
Ugyanakkor Kazahsztán a Citizen Lab által gyűjtött bizonyítékok szerint egyáltalán nem fertőz célpontokat saját országán kívül. Ami Azerbajdzsánt illeti, Scott-Railton szerint bár külföldön is használja a kémprogramot, feltehetően csak örményországi célpontok ellen veti be azt: "Ez lehet az egyik magyarázat arra, hogy az örmény emberi jogi aktivisták telefonjai hogyan fertőződtek meg az NSO programmal.
Emellett Kazahsztán és Azerbajdzsán hírszerző szolgálatainak valószínűleg külön engedélyt kellene szerezniük ahhoz, hogy a Pegasust a határaikon kívül is használhassák. „Úgy véljük, hogy a különböző NSO-ügyfelek különböző típusú engedélyeket vásárolhatnak” – magyarázza Krapiva. – Egyesek csak belföldi hackertevékenységre vásárolnak jogokat. Mások nagyszámú ország megfertőzésére szereznek jogosultságot. Sok mindent nem értünk még ezekből a titkos szerződésekből, de valószínű, hogy a saját országon kívüli fertőzésekhez külön engedélyre van szükség.
Az azerbajdzsáni Állambiztonsági Szolgálat és a Kazah Köztársaság Nemzetbiztonsági Bizottsága a cikk megjelenésekor nem válaszolt a Meduza kérdéseire.
Lettország, Észtország, Németország
Timcsenko feltört telefonján lett SIM-kártya volt. A Citizen Lab még 2018-ban rögzítette először a Pegasus-szal kapcsolatos tevékenységet Lettországban. A szakértők továbbra is azt feltételezik, hogy a balti ország NSO termékeket használ – mondta Scott-Railton.
Az Access Now jelentése, amelyet a Meduza olvasott, azt sem zárja ki, hogy Riga lehetett a támadás kezdeményezője. „Az ukrajnai invázió miatt nem bíznak meg kivétel nélkül minden oroszban” – spekulál Krapiva. – Ha ilyen megfigyelés folyik, az nagyon is egybecseng Petr Pavel cseh elnök szavaival, miszerint „annak a nemzetnek az állampolgárait, amelyik agresszív háborút indított”, a nyugati hírszerző szolgálatoknak „szorosabban” meg kellene figyelniük. Vagy azzal, ahogyan a Dozsgy-nak megtiltották, hogy Lettországban „a nemzetbiztonságot fenyegető veszély miatt” sugározzon".
A Citizen Lab szakértői azonban soha nem figyelték meg, hogy Lettország a területi határain túli célpontokat fertőzte volna meg – a Meduza kiadója pedig a támadás idején Berlinben tartózkodott (nem tudni, hogy a lett hatóságok pontosan kikhez telepítették a Pegazust).
Ivars Ijabs lett EP-képviselő, aki az Európai Parlament Pegasus alkalmazásával foglalkozó bizottságának (PEGA) tagja, azonban a The Baltic Timesnak adott 2023. januári interjújában azt mondta, hogy Lettország egyáltalán nem használja a programot. Az izraeli kémprogramok használatát figyelő civil szervezetek szkeptikusan kezelik az ilyen kijelentéseket. „Nem ő az első tisztviselő, aki ilyesmit mond – még a bizonyítékok ellenére is” – jegyzi meg Krapiva.
A lett Állambiztonsági Szolgálat (SGB) a Meduzának azt mondta, hogy „nincs információja Galina Timcsenko okostelefonja elleni esetleges támadásról”. Az SGB nem válaszolt a kiadvány egyéb kérdéseire – arra, hogy az ország használja-e a Pegazust újságírók, orosz állampolgárok vagy más európai országokban lévő célpontok ellen – a titkos információkra hivatkozva, amelyek a hivatal „logisztikájára”, „kémelhárítási taktikáira” és „beszerzéseire” vonatkoznak.
Észtország is megvásárolta a Pegasus jogait; ez 2019-ben történt (arra nincs bizonyíték, hogy Litvánia használná a programot). A Citizen Lab azt sugallja, hogy ez a balti ország, akárcsak a szomszédos Lettország, az NSO termékeit használja. Ennél is fontosabb, hogy a laboratórium kutatói „látták, hogy Észtország a határain túl is megfertőzött célpontokat – egyszerre több uniós országban, köztük Németországban is” – mondta Scott-Railton a Meduzának. Az észt külügyi hírszerzés a cikk megjelenéséig nem válaszolt a Meduza kérdéseire.
Végül a 2023. február 10-én történt fertőzést, amely akkor történt, amikor Timcsenko Berlinben tartózkodott, kezdeményezhette Németország is. A BRD 2019-ben vásárolta meg a Pegasust „a legszigorúbb titoktartás mellett” – és csak két évvel később ismerte el a kémprogram használatát.
„Az európai adatvédelmi biztos jelentése kifejezetten kimondja, hogy a Pegasus eredeti formájában nem összeegyeztethető az európai joggal, így Németország saját szavaival élve egy „speciális, az adatvédelmi törvényekbe nem ütköző változatot” használ – egyfajta „Pegasus-lite”-ot. Erre azonban semmilyen bizonyítékot nem kaptunk, sőt, még csak elképzelést sem árultaek el arról, hogy milyen is ez a light változat” – mondja Krapiva. – „Az ellenőr továbbá arra a következtetésre jut, hogy a Pegasus alapvetően összeegyeztethetetlen az uniós joggal – bármilyen formában is alkalmazzák.”
A Pegasus egyes funkcióit állítólag valóban „blokkolták”, hogy elkerüljék a „visszaéléseket” – mondták a német hírszerzésben dolgozó beszélgetőpartnerek a Die Zeit című német lapnak. Azt azonban, hogy ez hogyan működik a gyakorlatban, nem fejtették ki.
Scott-Railton úgy látja, hogy a berlini fertőzési ügy „emlékeztetőül szolgál arra, hogy Európának van egy megoldatlan problémája a Pegasusszal kapcsolatban”. „Számomra rejtély, hogy Németország miért nem érdekelt a megoldásban” – mondja a Citizen Lab kutatója. – „Miért nem írta alá Berlin például a „Közös nyilatkozat a kereskedelmi célú kémprogramok elterjedése és visszaélése elleni küzdelemre irányuló erőfeszítésekről" című dokumentumot?” Ezt 11 ország szignálta, köztük Dánia, Franciaország, Svédország.” A német Szövetségi Bűnügyi Hivatal (BKA) – amely az ország hatóságai szerint a Pegasust használja – a cikk megjelenésének időpontjáig nem válaszolt a Meduza kérdéseire.
Az Access Now jelentése szerint mind a négy uniós ország, amely az orosz háborúellenes emigráció új központjává vált – Lettország, Észtország, Németország és Hollandia – állítólagos Pegasus-felhasználó. Az Access Now úgy látja, hogy a Galina Timcsenkót ért támadás legalább a negyedik az Európában az elmúlt évben történt hasonló támadások sorában (a Meduza ismeri a részleteket, de a támadások áldozatai nem hajlandók nyilvánosan beszélni a történtekről).
Krapiva szerint az újságírókat már Európában is egyre inkább fenyegetésként kezelik, és ez az uniós jogszabályokban is megmutatkozik:
Az Európai Bizottság most egy olyan törvényt támogat, amely az újságírók védelmét szolgálja, többek között a rosszindulatú szoftverekkel szemben – az európai médiaszabadságról szóló törvényt. Ez az újságírókat hivatott megvédeni a megfigyeléstől, és eredetileg azt mondta, hogy „az újságírókat nem szabad megfertőzni”. Néhány uniós ország – elsősorban Franciaország és Svédország – azonban módosítaná ezt a megfogalmazást: „Mégis lehet, ha a nemzetbiztonság forog kockán”. Kiderült, hogy a média megfigyelését lassan legitimálni próbálják.
„Teljesen megdöbbentett, hogy komolyan arról beszélünk, hogy az európai kormányok ezt megtehetik” – mondta Ivan Kolpakov, a Meduza főszerkesztője. – „Azt hiszem, naiv vagyok, de nekem ez lehetetlennek tűnt. A következmények pusztítóak lehetnek, és ez nem csak a száműzetésben lévő orosz médiára, hanem általában az európai médiára vonatkozik: ha egy ilyen szoftvert fel lehetett telepíteni egy oroszországi újságíró telefonjára, akkor nem világos, mi akadályozhatja meg, hogy az európai hírszerző szolgálatok megfertőzzék bármelyik újságírót.” (A helyes válasz: semmi, amint ezt Magyarországon is tapasztaltuk).
„Nem tudom rekonstruálni az európai hírszerző szolgálatok logikáját, amelyek telepíthették volna a Pegasust, és nem akarok spekulációkba bocsátkozni” – mondta Timcsenko. – „A következőkben aszerint fogunk cselekedni, amit az ügyvédeink mondanak nekünk. Nem fogunk hallgatni.”
Az NSO Group nem válaszolt a Meduza azon kérdéseire, hogy a cég tud-e a Timcsenko elleni támadásról, és hogy melyik ügyfelük szervezhette azt. Az NSO azt sem tisztázta, hogy tudnak-e olyan esetekről, amikor a Pegasust európai országok újságírói ellen, orosz állampolgárok ellen használják – vagy olyan helyzetekről, amikor az egyik uniós ország kémkedik egy másik uniós ország célpontja után.
Az NSO egyébként nem ismeri el a felelősséget a Timcsenko elleni támadásért. Egy szóvivő azt is hangsúlyozta, hogy a cég „minden hiteles visszaélési jelentést kivizsgál”, de nem válaszolt a Meduza azon kérdésére, hogy a vállalat hajlandó-e belső vizsgálatot folytatni a Pegasus Timcsenko elleni alkalmazásával kapcsolatban.
Galina Timcsenko most két iPhone-t hord magánál. Az egyiket a támadás után vásárolta; a másikat úgy döntött, hogy emlékbe megtartja (a Citizen Lab szerint a Pegasus program már nincs rajta). „Nincs rajta más, csak a fodrásszal és a manikűrössel folytatott levelezés” – mondja a Meduza kiadója. – „Hagyjuk, hadd heverjen ott. Nekem pedig maradt egy emlékem.”
Az államok több tízmillió dollárt fizetnek a Pegazushoz való hozzáférésért; Timcsenko még mindig meglepődik, hogy valaki úgy döntött, ennyi pénzt költ arra, hogy megfigyelést indítson ellene. „Pontosan mit akartak találni? Nagyító alatt vizsgáltak át, de semmin sem kaptak rajta.”
A helyzettől függetlenül az NSO Groupnak most több perrel is szembe kell néznie. Az egyik az Apple-től érkezett, amely kifejezetten „erkölcstelen zsoldosnak” nevezi az izraeli céget. Az USA megtiltotta mind a kereskedelmi cégeknek, mind a kormányzati ügynökségeknek, hogy üzletet kössenek az NSO-val. David Kaye, az ENSZ 2014-2020 közötti időszakra szóló különmegbízottja, az Európai Parlament tagjai és az Amnesty International globális moratóriumot javasoltak a kémszoftverek értékesítésére.
„Az államilag támogatott szereplők, mint az NSO Group, dollármilliókat költenek kifinomult megfigyelési technológiára – és nem tartoznak valódi felelősséggel. Ennek meg kell változnia” – mondta Craig Federighi, az Apple szoftverfejlesztésért felelős vezető alelnöke.
Az NSO viszont válaszul lobbizni kezdett. „Keményen dolgoztak az amerikai szankciók feloldásáért. Nemrég Robert Symondsot, Adam Sandler hollywoodi filmproducerét kereste meg az NSO Group egy befektetési lehetőséggel” – mondta Nettles. – Tehát talpon maradnak".
2023 júniusa óta a szakértők több tucatnyi további Medusa-alkalmazott telefonját elemezték. Hogy Timcsenko iPhone-ján pontosan milyen adatok iránt érdeklődtek a támadók, egyelőre nem tudni. Nem is maga Timcsenko, hanem a Meduza műszaki igazgatója, Alekszej állítja:
„Amíg nem ismerem az indítékot, addig a legrosszabbra kell számítanunk. Nemcsak technikai értelemben foglalkozom a kiadvány biztonságával, hanem a legtágabb értelemben is: minden nap végiggondolom, hogyan akarnak minket megölni, megmérgezni. Megfigyelés, zaklatás, fenyegetés – ezeket a forgatókönyveket már mind végiggondoltam, és bizonyos értelemben előre láttam őket. Amíg nem tudunk meg egyéb részleteket a Pegazusról, addig nem zárhatjuk ki, hogy Oroszország rendelte meg a fertőzést – és hogy ennek a megfigyelésnek a legsúlyosabb következményei lehetnek, egészen az ember likvidálásáig.”
Egyelőre ennyit tudunk a Meduza és a Pegasus ógörög mitológiába illő találkozásáról, de már ennyi is ad némi magyarázatot arra, hogy miért nem lett semmi komolyabb következménye a magyarországi Pegasus-lehallgatásoknak. Amiért az Unió többi tagállamában sem: a szolgálatok máig használják ezt az eszközt.
Az a kérdés egyelőre nyitott marad, hogy a Meduza ellen melyik szolgálat vetette be: mostanáig azt hittük, az orosz hárombetűs Cégeknek másféle szoftvereik vannak, amelyek esetleg még hatékonyabbak is, nemrég kelt híre például egy olyan orosz fejlesztésű eszköznek, ami ugyan a végpontok közötti titkosítást nem képes feloldani, de képes a célszemély teljes kapcsolati hálóját feltérképezni. Ezek szerint azonban néha az oroszok is ráfanyalodnak a Pegasusra?
Vagy – amit feltételezni is kellemetlen és kínos – más, esetleg uniós szolgálatok állnak a megfigyelés mögött?
Az baj volna, nagyon nagy baj, ugyanis nem ártana jóban lenni a Putyin utáni Oroszország jövendő értelmiségi elitjével – és ez a gesztus csak felbőszíti őket.
Abba pedig már bele sem merek gondolni, mi van akkor, ha valamelyik uniós tagállam Pegasus-kliens hírszerzése dolgozott össze az FSZB-vel vagy az SZVR-rel – és sajnos van ennyire oroszbarát uniós tagállam is, igaz, csak egy.
Tudják, melyik, nem is kell megneveznem – de remélem, ennyire hitvány árulásra tán mégsem került sor.
Mindenesetre a Meduza találkozott a Pegasussal, és az első menetet megnyerte.
Szele Tamás