Сербская полиция и разведывательные службы используют современное шпионское программное обеспечение для телефонов, а также средства криминалистической экспертизы мобильных телефонов для незаконного преследования журналистов, активистов-экологов и других лиц в ходе скрытой кампании по слежке, говорится в новом докладе Amnesty International.
В докладе «Цифровая тюрьма: наблюдение и подавление гражданского общества в Сербии« документируется, как криминалистические инструменты для исследования мобильных устройств, производимые израильской компанией Cellebrite, используются для извлечения данных из мобильных устройств, принадлежащих журналистам и активистам. В нём также раскрывается, как сербская полиция и Агентство информации о безопасности (Bezbedonosno-informativna Agencija – BIA) использовали специальную шпионскую систему Android, NoviSpy, для скрытого заражения устройств людей во время задержания или допросов в полиции.
«Наше расследование показывает, как сербские власти использовали технологии слежки и тактику цифровых репрессий в качестве инструментов более широкого государственного контроля и репрессий, направленных против гражданского общества», — заявила Динушика Диссанаяке, заместитель регионального директора Amnesty International по Европе.
Наше расследование показывает, как сербские власти использовали технологии слежки и тактику цифровых репрессий в качестве инструментов более широкого государственного контроля и репрессий, направленных против гражданского общества
Динушика Диссанаяке, заместитель регионального директора Amnesty International по Европе
«Это также подчёркивает, что мобильные криминалистические продукты Cellebrite, широко используемые полицией и разведывательными службами по всему миру, могут представлять огромный риск для тех, кто выступает за права человека, окружающую среду и свободу слова, если они используются вне строгого правового контроля и надзора», — заявила также она.
Как Cellebrite и NoviSpy используются для атаки на устройства
Cellebrite, фирма, основанная и имеющая главный офис в Израиле, но имеющая офисы по всему миру, разрабатывает пакет продуктов Cellebrite UFED для правоохранительных органов и государственных учреждений. Он позволяет извлекать данные из широкого спектра мобильных устройств, включая некоторые из последних моделей Android и iPhone, даже без доступа к паролю устройства.
Хотя NoviSpy — ранее неизвестная шпионская программа для Android — технически менее продвинута, чем такое высокоинвазивное коммерческое шпионское ПО, как Pegasus, она по-прежнему предоставляет сербским властям обширные возможности для слежки после установки на устройство жертвы.
NoviSpy может собирать конфиденциальные персональные данные с целевого телефона и предоставлять возможности для удаленного включения микрофона или камеры телефона, в то время как криминалистические инструменты Cellebrite используются как для разблокировки телефона до заражения шпионским ПО, так и для извлечения данных с устройства.
Что особенно важно, Amnesty International обнаружила криминалистические доказательства того, как сербские власти использовали продукты Cellebrite для заражения телефонов активистов шпионским ПО NoviSpy. По крайней мере в двух случаях эксплойты Cellebrite UFED (программное обеспечение, использующее ошибку или уязвимость) использовались для обхода механизмов безопасности устройств Android, что позволило властям тайно установить шпионское ПО NoviSpy во время допросов в полиции.
Amnesty International также выявила, как сербские власти использовали Cellebrite для эксплуатации уязвимости нулевого дня (программный недостаток, о котором не знает разработчик исходного ПО и для которого нет программного исправления) в устройствах Android, чтобы получить привилегированный доступ к телефону активиста-эколога. Уязвимость, выявленная в сотрудничестве с исследователями безопасности из Google Project Zero и Threat Analysis Group, затронула миллионы устройств Android по всему миру, использующих популярные чипсеты Qualcomm. Обновление, устраняющее проблему безопасности, было выпущено в бюллетене по безопасности Qualcomm за октябрь 2024 года.
Взлом телефонов Cellebrite и заражение шпионским ПО представляют угрозу для журналистов и активистов
В феврале 2024 года сербский независимый журналист-расследователь Славиша Миланов был арестован и задержан полицией под предлогом прохождения теста на вождение в состоянии алкогольного опьянения. Во время задержания Славишу допрашивали сотрудники полиции в штатском о его журналистской работе. Телефон Android Славиши был выключен, когда он сдал его полиции, его ни разу не просили дать от него пароль, и он его не называл.
После освобождения Славиша заметил, что его телефон, который он оставил в приёмной полицейского участка во время допроса, по-видимому, был взломан, а данные на нём отключены.
Он обратился в лабораторию безопасности Amnesty International с просьбой провести криминалистическую экспертизу его телефона — Xiaomi Redmi Note 10S. Анализ показал, что продукт UFED от Cellebrite использовался для тайной разблокировки телефона Славиши во время его задержания.
Дополнительные криминалистические исследования показали, что NoviSpy затем использовался сербскими властями для заражения телефона Славиши. Во втором случае в отчёте, касающемся активиста-эколога Николы Ристича, были обнаружены аналогичные криминалистические улики использования продуктов Cellebrite для разблокировки устройства с целью последующего заражения NoviSpy.
«Наши криминалистическое исследование подтверждает, что шпионское ПО NoviSpy было установлено, когда устройство Славиши находилось в руках сербской полиции, а заражение стало возможным при использования передового инструмента, такого как Cellebrite UFED, способного разблокировать устройство. Amnesty International с высокой степенью уверенности приписывает шпионское ПО NoviSpy BIA», — заявила Доннаха О’Кэрвил (Donncha Ó Cearbhaill), глава Лаборатории безопасности Amnesty International.
Устройства активистов были заражены NoviSpy во время подачи жалоб в полицию или BIA
Подобная тактика скрытой установки шпионского ПО на устройства людей во время задержания или допросов, по-видимому, широко используется властями.
В другом случае активист организации «Крокодил», выступающей за диалог и примирение на Западных Балканах узнал, что его телефон Samsung Galaxy S24+ был заражён шпионским ПО во время интервью с представителями BIA в октябре 2024 года. Активиста пригласили в офис BIA в Белграде, чтобы он предоставил информацию о нападении на их офис со стороны русскоязычных людей, якобы в знак протеста против публичного осуждения «Крокодилом» вторжения России в Украину.
После интервью активист заподозрил, что его телефон был взломан. По его просьбе Amnesty International провела судебно-медицинскую экспертизу, которая показала, что во время интервью BIA на устройстве был установлен NoviSpy. Amnesty International также удалось восстановить и расшифровать данные наблюдения, полученные NoviSpy, пока активист пользовался своим телефоном, включая скриншоты учётных записей электронной почты, сообщений Signal и WhatsApp, а также активности в социальных сетях.
Amnesty International сообщила о шпионской кампании NoviSpy исследователям безопасности Android и Google до публикации, которые приняли меры по удалению шпионского ПО с затронутых устройств Android. Google также разослала серию оповещений о «поддерживаемой правительством атаке» лицам, которых она определила как возможные цели этой кампании.
Влияние государственной цифровой слежки и тактики репрессий на сербское гражданское общество
«Это невероятно эффективный способ полностью пресечь общение между людьми. Всё, что вы скажете, может быть использовано против вас, что парализует как на личном, так и на профессиональном уровне», — заявил Amnesty International Бранко*, активист, подвергшийся атаке шпионского ПО Pegasus. Такая слежка также привела к самоцензуре.
«Мы все находимся в своего рода цифровой тюрьме, цифровом ГУЛАГе. У нас есть иллюзия свободы, но на самом деле у нас нет никакой свободы. Это имеет два эффекта: вы либо выбираете самоцензуру, что глубоко влияет на вашу способность выполнять работу, либо вы решаете говорить независимо, и в этом случае вы должны быть готовы столкнуться с последствиями», — сказал Горан*, другой активист, подвергшийся атаке шпионского ПО Pegasus.
Мы все находимся в своего рода цифровой тюрьме, цифровом ГУЛАГе. У нас есть иллюзия свободы, но на самом деле у нас нет никакой свободы
Горан*, сербский активист
Активист Александр*, который также подвергся атаке шпионского ПО Pegasus, сказал: «Моя конфиденциальность была нарушена, и это полностью разрушило моё чувство личной безопасности. Это вызвало огромную тревогу… Я почувствовал панику и оказался в полной изоляции».
В ответ на эти выводы NSO Group, разработавшая Pegasus, не смогла подтвердить, является ли Сербия её клиентом, но заявила, что группа «серьёзно относится к своей ответственности за соблюдение прав человека и твёрдо намерена избегать причинения, содействия или прямой связи с негативным воздействием на права человека, а также тщательно рассматривать все заслуживающие доверия обвинения в ненадлежащем использовании продукции NSO Group».
В ответ на наши выводы компания Cellebrite заявила: «Наши решения в области цифрового программного обеспечения для проведения расследований не устанавливают вредоносное ПО и не осуществляют наблюдение в режиме реального времени, сопоставимое со шпионским ПО или любым другим типом агрессивной киберактивности».
«Мы ценим, что Amnesty International освещает предполагаемое неправомерное использование нашей технологии. Мы серьёзно относимся ко всем обвинениям в потенциальном неправомерном использовании нашей технологии клиентом способами, которые противоречат как явным, так и подразумеваемым условиям, изложенным в нашем соглашении с конечным пользователем, — говорилось также в ответе. — Мы расследуем заявления, сделанные в этом отчёте. Если они подтвердятся, мы готовы применить соответствующие санкции, включая прекращение отношений Cellebrite с любыми соответствующими агентствами».
В ответ на запросы Amnesty International, отправленные в начале исследования, компания Cellebrite заявила, что её продукция «лицензируется строго для законного использования и требует ордера или согласия для оказания помощи правоохранительным органам в проведении законно санкционированных расследований после совершения преступления».
Хотя это может быть предполагаемым использованием, исследование Amnesty International демонстрирует, как продукция Cellebrite может быть использована не по назначению для развертывания шпионского ПО и широкомасштабного сбора данных с мобильных телефонов за пределами обоснованных уголовных расследований, что создает серьёзную угрозу правам человека.
Amnesty International поделилась результатами этого исследования с сербским правительством ещё до публикации, но не получила ответа.
Сербские власти должны прекратить использование высокоинвазивных шпионских программ и предоставить эффективные средства правовой защиты жертвам незаконного таргетированного наблюдения и привлечь к ответственности виновных в нарушениях. Cellebrite и другие компании, предоставляющие услуги цифровой судебной экспертизы, также должны проводить надлежащую проверку, чтобы гарантировать, что их продукты не используются таким образом, который способствует нарушению прав человека.
За последние годы государственные репрессии и враждебная среда для защитников свободы слова в Сербии усиливались с каждой волной антиправительственных протестов. Власти проводили постоянные клеветнические кампании против НКО, СМИ и журналистов, а также подвергали участников мирных протестов арестам и судебным преследованиям.
*Имя изменено в целях защиты личности.