Špionážní software Pegasus od společnosti NSO Group byl podle nového soudního dokumentu použit během hackerské kampaně v roce 2019 k napadení celkem 1 223 uživatelů WhatsAppu v jedenapadesáti různých zemích včetně České republiky.
Minulý týden byly zveřejněny soudní dokumenty, jež předložila společnost Meta v rámci žaloby, kterou podala v roce 2019 proti výrobci spywaru Pegasus, izraelské společnosti NSO Group. Meta viní výrobce sledovacích technologií z toho, že zneužil zranitelnost její chatovací aplikace WhatsApp a infikoval telefony celkem 1 223 uživatelů nacházejících se celkem v jedenapadesáti zemích, a to v průběhu pouhých dvou měsíců. Cílem útoku byli také obránci lidských práv, novináři a další členové občanské společnosti.
Soudní dokument konkrétně ukazuje, ve kterých zemích se nacházely oběti napadené spywarem Pegasus od NSO Group.
Nejvíce jich bylo v Mexiku (456 jednotlivců), Indii (100), Bahrajnu (82), Maroku (69), Pákistánu (58), Indonésii (54) a Izraeli (51), jak ukazuje tabulka s názvem „Počet obětí podle země“, kterou WhatsApp předložil soudu.
Oběti se však nacházely i v zemích, jako je například Španělsko (12 obětí), Nizozemsko (11), Maďarsko (8), Francie (7), Spojené království (2) a Spojené státy (1). Jedna oběť se vyskytla i v České republice.
„Byly napsány desítky článků, které v průběhu let dokumentují použití Pegasu po celém světě,“ sdělila webu TechCrunch Runa Sandvik, expertka na kybernetickou bezpečnost, jež dlouhodobě sleduje případy špehování spywarem. „Co však v těchto článcích často chybí, je skutečný rozsah útoků – počet obětí, které nebyly informovány; kterým nikdo nezkontroloval zařízení; které se rozhodly svůj příběh nesdílet veřejně. Seznam, který zde vidíme – jen v Mexiku 456 případů, v zemi s dobře zdokumentovanými oběťmi z řad občanské společnosti –, jasně ukazuje na faktický rozsah problému s tímto spywarem,“ řekla Sandvik pro TechCrunch.
NSO Group a její zákazníci
NSO Group existuje od roku 2010 a na svém webu uvádí, že „pomáhá vládním agenturám předcházet terorismu a zločinu, aby zachránila tisíce životů po celém světě“. Firma je navázaná na izraelskou vládu, armádu i zpravodajské služby. Samotný software je klasifikovaný jako zbraň, proto se NSO Group zabývá jen klienty, které schválí izraelské ministerstvo obrany.
Přesněji řečeno na vývoz spywaru od NSO musí ministerstvo udělit licenci. Od roku 2007 v Izraeli platí zákon regulující vývoz kybernetických technologií. Agentura pro kontrolu exportu obrany (DECA) v rámci izraelského ministerstva obrany údajně „přísně omezuje“ licencování některých sledovacích produktů. Rozhoduje se podle vlastní analýzy potenciálních zákazníků.
Agentura prý v několika případech odmítla NSO tuto licenci udělit. Společnost NSO Group tvrdí, že software prodává jen bezpečnostním složkám demokratických zemí, kde její spyware slouží k boji proti kriminalitě. Jenže v médiích se mluví i o tom, že stát Izrael se snaží využívat prodej softwaru jako nástroj k upevňování a budování diplomatických vztahů s jinými státy. Licenci na software totiž firma prodávala i do nedemokratických zemí.
Přítomnost obětí v určité zemi však automaticky neznamená, že právě vláda této země byla zákazníkem, který spyware Pegasus proti dané osobě nasadil. Spyware totiž mohl použít jiný zákazník proti osobě nacházející se mimo svou vlastní zemi.
Jak upozornil server CTech, na seznamu je uvedena s jedenácti oběťmi Sýrie, přestože jde o zemi, které NSO nesmí Pegasus prodávat. Syrské oběti se tak mohly stát terčem útoků třetích zemí či cizích zpravodajských služeb. Nicméně Mexiko, Indie, Bahrajn a Maroko – tedy státy s největším počtem obětí uvedených v novém soudním dokumentu – byly již dříve hlášeny jako zákazníci NSO Group.
Například Mexiko podle článku deníku The New York Times z roku 2023, který cituje i mexické úředníky, utratilo za spyware NSO Group více než 60 milionů dolarů, což by mohlo vysvětlovat, proč se na seznamu nachází tolik mexických obětí.
Kromě tohoto seznamu obětí vedl soudní proces zahájený WhatsAppem i k dalším odhalením – například k faktům, že NSO Group odpojila deset vládních zákazníků poté, co se objevily zprávy o zneužívání jejich spywaru, a že nástroj NSO Group určený k hackování WhatsAppu stál až 6,8 milionu dolarů za roční licenci, přičemž jen v roce 2019 společnost utržila „nejméně 31 milionů dolarů“.
Loni WhatsApp dosáhl historického vítězství, když americký soud rozhodl, že NSO Group porušila americké zákony o hackingu tím, že se zaměřila na uživatele WhatsAppu. Dalším krokem v soudním řízení je nadcházející slyšení, které určí výši odškodnění, jež bude muset výrobce spywaru WhatsAppu zaplatit.
Špehování novinářů a aktivistů
O tom, jak vlády zneužívají špehovací software, informovala investigace.cz v rámci globálního novinářského Projektu Pegasus.
Nejnovější odhalený případ útoku spywarem na novináře se týká Srbska. Organizace Amnesty International nalezla důkazy o tom, že letos v únoru byli napadeni dva redaktoři ze srbské sítě investigativních novinářů Balkan Investigative Reporting Network (BIRN), a to skrze zprávu s odkazem v chatovací aplikaci Viber. Během dvou let je to již potřetí, co Amnesty International zjistila, že spyware Pegasus je využíván proti srbské občanské společnosti.
Dva novináři, kteří byli v únoru 2025 špionážním softwarem napadeni, pracují pro web BIRN, jehož redaktoři často čelí výhrůžkám, obtěžování a účelově cíleným žalobám, a to i ze strany vysokých vládních úředníků – například současného starosty hlavního města Bělehradu Aleksandara Šapiće, jenž podal dvě samostatné žaloby proti BIRN Srbsko s tvrzením, že reportáže novinářů jsou pomluvy, poškodily jeho pověst a způsobily mu psychickou újmu. Sám přitom podle BIRN porušil zákon tím, že úřadům nepřiznal svou vilu v Itálii.
Minulý rok v říjnu zase vyšlo najevo, že spyware použila předešlá polská vláda proti aktivistce za práva žen Klementyně Suchanow. Zneužívání tohoto spywaru se provalilo také v dalších evropských zemích, včetně Řecka a Španělska. Jako první se k jeho používání přiznalo Maďarsko.
The post Spyware Pegasus napadl přes 1 200 uživatelů WhatsAppu včetně jednoho z Česka, ukazuje soudní dokument appeared first on investigace.cz.
