Státní trojské koně umožňují zpravodajským službám špehovat chytré telefony nebo počítače po celém světě. Umožňují číst chaty a e-maily, shromažďovat údaje o poloze nebo prohlížet osobní fotografie a dokumenty. Po nahlédnutí do kalendáře mohou dokonce prostřednictvím mikrofonu špehovat naplánovanou schůzku. V praxi mají státní trojské koně pomáhat v boji proti terorismu a zločinu. Skutečnost je však často jiná.
Pod záminkou národní bezpečnosti se státní trojské koně staly mocenským nástrojem mnoha autoritářských vlád. Pro mnoho lidí to má závažné důsledky: Po opakovaných špionážních útocích byl zavražděn mexický novinář Cecilio Pineda Birto. Saúdskoarabská aktivistka za práva žen Loujain al-Hathloul se stala terčem útoku trojana, krátce nato byla zatčena a poté odsouzena ke třem letům vězení. Oba tyto případy jsou odstrašujícím příkladem pro novináře, lidskoprávní aktivisty a opoziční aktivisty po celém světě, kteří se musí kvůli státním trojským koním obávat o svou existenci.
Vše kvůli bezpečnosti?
Rozhraní malwaru Pegasus: takto vypadá rozhraní systému Pegasus, který používá izraelská policie. Snímek demonstruje mnohostranné schopnosti státního trojského koně. | Zdroj: NSO-Group
Státní trojské koně však mohou být nebezpečné i pro ostatní. Jak vysvětluje odborník na státní trojské koně Andre Meister, vývojáři a uživatelé státních trojských koní chtějí zabránit uzavření bezpečnostních děr. Většina trojských koní se při pronikání do cílových zařízení spoléhá právě na otevřené bezpečnostní díry. Zpravodajské služby a úřady je proto záměrně nehlásí výrobcům, aby pro ně zůstaly k dispozici. „Ostatní státy a zločinci tak mohou těchto zranitelností využít k nabourání společností, politiků a ekonomiky,“ říká Meister.
To vše se až doposud zdálo nevýznamné. Západní demokracie působily dojmem, že státní trojské koně používají jen velmi zřídka. Zdání však klame: jak ukazují nová odhalení, řada evropských zemí využívá státní trojské koně pravidelně. Zřejmě také za účelem špehování politických oponentů, jako jsou členové opozice nebo novináři.
Za tímto účelem se státy spoléhají na nabídky společností zabývajících se sledováním, jako je Cytrox nebo NSO Group. Tyto firmy prodávají výkonné aplikační balíčky pro sledování, které lze nasadit krátce po zakoupení. Jen izraelská skupina NSO Group tvrdí, že ročně hackne 12 000 až 13 000 cílů, což znamená, že jejich trojský kůň s názvem Pegasus je použit každých 40 minut.
Evropa v čele
Kdo nakupuje Pegasus: podle zprávy NSO Group tvoří tajné služby dobrých 50 % zákazníků. | Zdroj: NSO-Group
„Konečně evropský stát“ – tak popsal bývalý zaměstnanec NSO Group atmosféru ve firmě, když licenci na Pegasus získalo v roce 2015 Španělsko. Tento prodej byl důležitý. Do té doby se totiž Pegasus prodával především autoritářským státům. Zdálo se, že to poškozuje image společnosti. Díky tomu se společnosti NSO Group podařilo přesvědčit ještě více evropských vlád o podpoře programu
Pegasus. Dnes už víme, že trojského koně Pegasus nakoupilo Německo, Polsko, Maďarsko, Belgie, Španělsko a Nizozemsko. To však neznamená, že už známe všechny evropské zákazníky NSO. Jak zjistil vyšetřovací výbor Evropského parlamentu, 14 z 27 evropských států si trojského koně Pegasus pořídilo. To znamená, že osm zákazníků společnosti NSO Group zůstává neznámých.
Navíc nasazení systému Pegasus je pouze špičkou ledovce. Je známo, že jiného trojského koně jménem Predator používají například v Řecku a Srbsku. Kromě toho Itálie údajně používá nového trojského koně Hermit vlastní výroby.
Boj proti zločincům
Nasazení proti politickým oponentům: Pegasus, Predator nebo Hermit se používají v těchto evropských státech – a v osmi dalších, které zatím nejsou známy. | Zdroj: Andre Kosters/DPA
Mnoho vlád ospravedlňuje používání státních trojských koní bojem proti terorismu a prosazováním práva. Praxe však často vypadá jinak. Sama NSO Group uvádí, že o Pegasus mají zájem především zpravodajské služby. Vypadá to ale, že se stále více podílejí na sledování politických oponentů.
V Maďarsku se již v roce 2018 ukázalo, že domácí zpravodajská služba tajně špehovala novináře. Vláda se za to ani neomluvila. Operace byly nezbytné pro ochranu národní bezpečnosti. Maďarský úřad pro ochranu osobních údajů v tom také neviděl problém. Nezůstalo jen u Maďarska. Řecká tajná služba se s pomocí programu Predator pokoušela sledovat také poslance Evropského parlamentu a předsedu Sociálnědemokratické strany Nikose Androulakise. Ve Španělsku byl Pegasus použit na sledování chytrých telefonech katalánských politiků.
Kromě toho polská strana PIS tajně získala pomocí programu Pegasus materiály, které pomohly poškodit opozičního politika ve volební kampani. Vyšlo také najevo, že sledovací software byl zaplacen z fondu, který byl původně určen na pomoc obětem trestných činů. Opoziční vůdce Donald Tusk označil tento skandál za „hlubokou krizi demokracie“.
Fatální kliknutí
Aby trojské koně vůbec fungovaly, musí se nejprve do příslušného zařízení dostat. Trojskému koni však stačí pouhé kliknutí na zmanipulovaný odkaz, aby se sám nepozorovaně stáhl do telefonu. Aby k tomuto osudovému kliknutí došlo, k tomu slouží takzvané „sociální inženýrství“. To je způsob manipulace lidí za účelem provedení určité akce nebo získání určité informace. Stačí například oběti posílat obzvláště otravné napodobeniny spamových newsletterů. Tlačítko pro jejich odhlášení pak nevede pouze k požadovanému odhlášení, ale zároveň se tak stáhne státní trojský kůň.
Ještě sofistikovanější jsou takzvané „zero-click“ hacky. V jejich případě nemusí oběti ani kliknout na odkaz. Stačí odeslat zprávu na cílové zařízení, a už jen tím je infikováno. Uživatelé tak nemají téměř žádnou šanci si infekce všimnout. Pegasus prý má takové zero-click hacky pro iPhone. Společnosti zabývající se sledováním a odposlechy se při vývoji těchto nástrojů neustále snaží najít nové zranitelnosti. Přitom jsou v podstatě závislé na nových bezpečnostních mezerách.
Pokud je mezera uzavřena, potřebují rychle objevit novou. Například NSO Group zaměstnává pro tento účel stovky lidí. To vede k závodům ve „zbrojení“ s velkými IT společnostmi, které se naopak snaží udržet počet bezpečnostních děr na co nejnižší úrovni. Například Google a spol. vyplácejí vysoké odměny lidem, kteří jim nalezenou zranitelnost nahlásí. Na černém trhu lze ale stále dosáhnout výrazně vyšších cen.
Falešné mobilní sítě
Pegasus umí téměř vše: Pegasus nabízí obzvláště velké množství funkcí. Státní trojský kůň má dokonce autodestrukční funkci, pokud je odhalen. | Zdroj: The Guardian
Kromě těchto dvou klasických způsobů se státní trojské koně mohou do smartphonu dostat také přímo přes mobilní síť. To však vyžaduje spolupráci s mobilními operátory nebo poskytovateli internetového připojení. Spolu s nimi je možné do IT zařízení bez větší námahy nahrát státní trojské koně.
Alternativně lze použít takzvané IMSI-catchery. Jedná se o „falešnou“ základnovou stanici, která působí mezi cílovým mobilním telefonem a skutečnými věžemi poskytovatele služeb. Slouží pro odposlech telefonních hovorů a sledování údajů o poloze uživatelů mobilních telefonů. Pokud se cílová osoba nachází v blízkosti stožáru a následně použije internet, nahraje catcher do chytrého telefonu trojského koně. IMSI-catchery se snadno přepravují, a proto je lze umístit i v blízkosti bydliště případné oběti.
Podle Andreho Meistera proto proti státním trojským koním neexistuje téměř žádná ochrana. Uživatelé internetu by měli dodržovat a plnit obvyklá bezpečnostní opatření. To však může nanejvýš zabránit hackerským útokům ze strany člověka. Obyčejní lidé nemají téměř žádnou šanci proti zneužití zero-click malwaru nebo nahrávání přes mobilní sítě. „O to důležitější je politická akce proti státním trojským koním,“ shrnuje Meister.
Státní trojské koně v dalších státech
Státní instituce ale nepoužívají jen dnes už známý Pegasus. Například německé orgány činné v trestním řízení používají státní trojské koně od roku 2008, kdy Bavorský zemský kriminální úřad použil 23krát trojského koně od hesenské společnosti DigiTask. Protože to však nebylo povoleno, bylo používání tohoto softwaru v roce 2011 ukončeno.
Kvůli neúspěchu kolem DigiTasku naprogramoval Spolkový kriminální úřad následně vlastního trojského koně. Tento sledovací software, nazvaný Remote Communication Interception Software (RCIS), mohl zpočátku zachycovat pouze konverzace přes Skype. Nakonec, když byl v roce 2016 zveřejněn, mohly orgány činné v trestním řízení odposlouchávat pouze probíhající rozhovory. V roce 2017 však německá federální vláda přijala nový zákon o sledování.
Od té doby mají orgány činné v trestním řízení v rámci „online sledování“ mnohem větší pravomoci: na základě soudního příkazu jsou vyšetřovatelé oprávněni z hacknutých zařízení získávat nejrůznější údaje. Jak vysvětluje David Werdermann ze Společnosti pro občanské svobody, zákon tak zachází příliš daleko: „Online sledování je jedním z nejzávažnějších zásahů do soukromí člověka.“ Mělo by se používat pouze ve výjimečných případech, pokud vůbec. To v současné době není zaručeno. Proto společnost podala ústavní stížnost. S novými pravomocemi v kapse si nechal Spolkový kriminální úřad v roce 2018 vyvinout nového státního trojského koně RCIS 2.0. Toho lze využít ke špehování chytrých telefonů. Úřad na vývoj vynaložil 5,77 milionu eur.
Základní práva pouze pro Němce Spolkový kriminální úřad používá státní trojské koně pro své účely již delší dobu. Je například známo, že se již v roce 2006 naboural do e-mailové schránky afghánského ministra. „Nebyl pro to ale žádný právní základ,“ říká Werdermann. Kvůli sledovacím aktivitám Spolkového kriminálního úřadu v zahraničí podala Společnost pro občanské svobody ústavní stížnost – a vyhrála.
Argument úřadu, že základní práva se nevztahují na cizince v zahraničí, byl odmítnut. Zároveň vyzval spolkovou vládu, aby znovu upravila pravomoci Spolkového kriminálního úřadu. Velká koalice proto v roce 2021 zavedla nový zákon: od té doby může 19 německých zpravodajských služeb používat státní trojské koně ke sledování probíhající komunikace. Kromě toho bylo stanoveno, že Spolkový kriminální úřad může napříště používat online sledování cizinců v zahraničí.
Rostoucí trh státních trojských koní
Navzdory špatné pověsti se státní trojské koně prodávají jako housky na krámě. Podle zprávy společnosti Facebook se i poměrně mladé společnosti Cytrox podařilo získat vysoký počet zákazníků. A to přesto, že jsou státní trojské koně drahé: Pegasus prý stojí v průměru 25 000 eur (asi 630 000 Kč) za aplikaci.
Trojský kůň | Od koho? | Od kdy? | Důležití zákazníci |
---|---|---|---|
Pegasus | NSO-Group, Izrael | Založeno v roce 2010. Prodej nástroje Pegasus od roku 2011. | Belgie, Německo, Maďarsko, Izrael, Maroko, Mexiko, Nizozemsko, Polsko, Saúdská Arábie, Španělsko a Spojené arabské emiráty |
Predator | Cytrox, Severní Makedonie | Založeno v roce 2017. Začátek prodeje není známý – poprvé objeven v roce 2021. | Egypt, Německo, Řecko, Indonésie, Filipíny, Saúdská Arábie, Srbsko a Vietnam |
Hermit | RCS Lab, Itálie | Založeno 1993. Prodej Hermitu 2019 nebo dříve. | Kazachstán, Itálie a Sýrie |
Sledování v ČR
Pegasus byl v zájmu médií především v červenci roku 2020, kdy byla zveřejněna informace, že pomocí něj byli sledováni novináři a aktivisté v řadě zemí. V České republice, alespoň podle bezpečnostní firmy Eset, nebyl tento malware detekován. K odposlouchávání u nás ale samozřejmě dochází.
Například policie ČR na základě soudního povolení ukončila v roce 2020 v České republice celkem 4030 odposlechů. Kriminalisté tradičně využívají odposlechy nejčastěji při vyšetřování drogové kriminality, násilné trestné činnosti a dále u takzvané trestné činnosti proti veřejnému zájmu, tedy například u zločinného spolčení, úplatkářství nebo převaděčství.
Nejvyšší počet ukončených odposlechů zaznamenali policisté v roce 2004, odkdy jejich počet sledují – šlo o 9610 úkonů. Kontrarozvědka BIS také nemůže odposlouchávat každého a o povolení musí požádat příslušný senát Vrchního soudu v Praze. Když se kauza, jejíž součástí byly odposlechy, pravomocně završí, policie, žalobce, případně soud musí dotyčného informovat, že ho trestní orgány měly „na uších“. Právní úprava odposlechů je poměrně stručná, a tak na řadu sporných otázek neodpovídá. Není například jasné, jak postupovat, pokud má někdo pocit, že je odposloucháván.
Zdroj: autorský text