Wojna w Ukrainie, związane z nią działania wywiadowcze i walka z rosyjską propagandą w sieci sprawiły, że Pegasus Gate, najgłośniejsza afera w świecie cyfrowym ostatnich lat, zniknęła z nagłówków. Niektórzy, jak na łamach „Polityki” pisała Malwina Dziedzic, stracili nawet nadzieję, że skandal zostanie kiedykolwiek w Polsce wyjaśniony. Ostatnie ustalenia w tej sprawie przyniosły zresztą więcej pytań niż odpowiedzi. Dowiedzieliśmy się, że podsłuchiwani byli także prezydent Inowrocławia Ryszard Brejza i posłanka Koalicji Obywatelskiej Magdalena Łośko, oboje związani z Krzysztofem Brejzą, byłym szefem sztabu KO w wyborach parlamentarnych 2019. A jak poinformował dziś Onet, ślady inwigilacji są też na telefonie Andrzeja Malinowskiego, byłego prezesa organizacji Pracodawcy RP.
Zagadką pozostaje w dalszym ciągu kwestia zakupu i użycia Pegasusa. Według oficjalnych dokumentów oprogramowaniem zarządzało CBA, które kupiło je od pośrednika, firmy MATIC, za 33,4 mln zł. Spółka nabyła go z kolei od producenta, izraelskiej firmy NSO Group, za 25 mln. Kwoty te jednak – przynajmniej przy obecnym stanie wiedzy o liczbie inwigilowanych osób – nie pokrywają się z cennikiem NSO, do którego dotarł „New York Times”. Izraelczycy stosowali wycenę regresywną: pół miliona dolarów za instalację, 650 tys. za pierwsze dziesięć podsłuchiwanych kont, 800 tys. za kolejne sto. Łatwo policzyć, że cały budżet CBA (o ile nie był większy) nie został wykorzystany na szpiegowanie Romana Giertycha, prok. Ewy Wrzosek czy osób z kręgu senatora Brejzy.
Katalońscy separatyści na podsłuchu
Citizen Lab do listy pokrzywdzonych dopisuje kolejne nazwiska. Dotychczas były to osoby z krajów autorytarnych, jak Zjednoczone Emiraty Arabskie, Honduras czy Bahrajn, albo demokracji odchodzących od liberalizmu i powszechnych praw obywatelskich, jak Węgry i Polska. Teraz wiarygodności nabiera teza o Pegasusie jako narzędziu powszechnym, używanym wszędzie i przez wszystkich. W tym przez kraje dalekie od tendencji autorytarnych, przynajmniej w teorii.
W wielkanocny poniedziałek ujawniono, że masowej inwigilacji były poddane władze rejonu Katalonii. To część Hiszpanii nie tylko najbogatsza, ale też separatystyczna; poparcie dla suwerenności nierzadko przekracza 50 proc. Co ważniejsze, władze centralne i katalońscy przywódcy są od dawna w sporze. Ci drudzy zorganizowali w 2017 r. referendum niepodległościowe, zdaniem Madrytu niezgodne z konstytucją. Premier Pedro Sánchez im tego nie podarował, ścigał ich w kraju i za granicą (m.in. w Belgii). Ostatecznie doprowadził do procesu i wyroku – w 2019 r. 13 liderów ruchu separatystycznego skazano na kary od dziewięciu do 13 lat więzienia, na co barcelońska ulica odpowiedziała gigantycznymi zamieszkami. Płonęły samochody, budowano barykady, próba okupacji lotniska skończyła się odwołaniem 108 lotów.
Czytaj też: Izrael też ma problem z Pegasusem. Czyja głowa tu poleci?
Dziś wiadomo, że separatyści byli inwigilowani. Według ustaleń Citizen Lab system został zainstalowany na telefonach co najmniej 65 osób: polityków, aktywistów, pracowników trzeciego sektora, członków władz regionalnych, a nawet eurodeputowanych. Przede wszystkim podsłuchiwano czterech ostatnich premierów rządu Katalonii, a więc każdego, kto sprawował tę funkcję od 2010 r. – na liście jest zarówno sprawujący urząd teraz Pere Aragonès z Lewicy Republikańskiej, jak i jego poprzednik, niezależny Quim Torra, czy Carles Puigdemont, wróg publiczny numer 1. To on był głównym architektem referendum z 2017 r. Puigdemont początkowo chciał walczyć z Madrytem, w międzyczasie zdobył nawet mandat europosła, ostatecznie musiał uciec z kraju. Przebywał w Brukseli i Niemczech, azyl polityczny przyznało mu Maroko – tam nie sięga hiszpański list gończy, jaki za nim wystawiono. Ujęli go Włosi na sardyńskim lotnisku Alghero, ale wypuścili dzień później na wniosek lokalnej prokuratury.
Czytaj też: Pegasusgate, czyli destrukcja demokratycznego państwa
Pegasus to problem dla Europy
Puigdemont, podejrzewany o związki finansowe z Kremlem, wsławił się ostatnio krytyką rezolucji Parlamentu Europejskiego w sprawie pomocy Ukrainie po rosyjskiej inwazji. Citizen Lab nie precyzuje, kto podsłuchiwał jego i innych katalońskich liderów, ale tropy prowadzą do Madrytu. Kanadyjczycy zauważają, że rząd Hiszpanii był na liście pierwotnych klientów NSO, miał więc dostęp do Pegasusa. Okres inwigilacji pokrywa się z napięciami między Sánchezem a władzami Katalonii, a także czasem pościgu za Puigdemontem. Niewykluczone, że Hiszpanie używali systemu nie tylko na terenie własnego kraju. Katalońska lewica przyjęła zresztą właśnie taką interpretację – w sieci oskarża hiszpański rząd o łamanie prawa europejskiego i nieuprawnione szpiegostwo.
Citizen Lab podkreśla, że pod względem liczby udowodnionych przypadków inwigilacji to największy przypadek użycia Pegasusa, jaki dotychczas upubliczniono. 63 z 65 pokrzywdzonych śledzono za pomocą izraelskiego oprogramowania, dwie pozostałe – przy użyciu Homage, programu także bazującego na technologii zero-click (nie trzeba wykonywać żadnej czynności, żeby go uruchomić na swoim urządzeniu). John Scott-Railton, badacz z Toronto, który zajmował się m.in. polskimi podsłuchami, uważa inwigilację za kłopot całej Unii Europejskiej. „Najpierw Węgry, potem Polska, teraz Hiszpania? Tajemnicze oprogramowanie szpiegowskie jest ewidentnie sporym problemem dla Unii. Używanie go przeciwko eurodeputowanym dowodzi, że Parlament Europejski ma niepokojące dziury w ochronie cybernetycznej, które trzeba natychmiast zatkać” – mówi Scott-Railton.
Czytaj też: Co wie o nas smartfon i jak pozbawić go tej wiedzy
Ostrzeżenie dla Downing Street
Pegasusa używano również wobec pracowników rządu Wielkiej Brytanii. Tu szczegółów jest mniej. Wiadomo, że śledzeni byli doradcy biura premiera oraz urzędnicy z ministerstwa spraw zagranicznych. Raczej nie jednak przez własny rząd – ślady oprogramowania wskazują na klientów NSO z Indii, Cypru, Zjednoczonych Emiratów Arabskich i Jordanii. Możliwe, że do inwigilacji doszło przy okazji spotkań dyplomatycznych lub wizyt przywódców któregoś z tych krajów, a brytyjscy politycy padli ofiarami przypadkiem.
Historia zna takie sytuacje – inwigilacja Pegasusem miała miejsce np. w Dublinie, choć nie dotyczyła Irlandczyków, a obecnych tam działaczy praw człowieka z Bliskiego Wschodu. Udowodnione przypadki hakowania telefonów to jednak poważne ostrzeżenie dla Downing Street. Jeśli nawet takie cybermocarstwo jak Wielka Brytania nie jest w stanie uchronić się przed ofensywną inwigilacją, to znaczy, że żaden kraj nie jest bezpieczny.
Pegasus Gate i wszelkie jej mutacje: Catalan Gate, inwigilacja latynoamerykańskich dziennikarzy i bliskowschodnich aktywistów, to wierzchołek góry lodowej. Nie ma wątpliwości, że nazwisk pokrzywdzonych – nawet z pierwszego szeregu polityki – będzie więcej, tak samo jak państw zamieszanych w aferę. Komisje śledcze w poszczególnych krajach, choć potrzebne ze względów symbolicznych, niewiele będą w stanie wyjaśnić. Sprawę trzeba badać na poziomie międzynarodowym – chociażby w celu zidentyfikowania, dokąd trafiały pozyskiwane przez program dane. Swoją komisję poświęconą Pegasusowi ma już Parlament Europejski, i to w nim należy pokładać nadzieję na odkrycie kolejnych elementów skandalu. Władze poszczególnych państw, zwłaszcza nieliberalnych, nie mają w tym niestety żadnego interesu.