Izveštaj koji pokazuje kako srpska Vlada koristi špijunske softvere protiv AKTIVISTA I NOVINARA

- Ovaj izveštaj dolazi u vreme intenziviranja državne represije i sve šireg neprijateljskog okruženja za slobodno izražavanje i otvoreni dijalog u zemlji. Srbija je imala nekoliko velikih talasa antivladinih protesta od 2021, od kojih je svaki izazvao oštru reakciju vlasti - od stalnih i malicioznih, klevetničkih kampanja protiv kritičkih NVO, medija i novinara na uporno pravosudno uznemiravanje građana koji se organizuju mirno i izražavaju političko neslaganje - navodi Amnesti u izveštaju, a prenosi BIRN.

Dodaje da izveštaj otkriva sveprisutnu i rutinsku upotrebu invazivnog špijunskog softvera u Srbiji, uključujući špijunski softver Pegaz (Pegasus) NSO grupe, zajedno sa novim Android špijunskim sistemom NoviSpy, domaće proizvodnje, otkrivenim prvi put u ovom izveštaju.

- Srpska Bezbednosno-informativna agencija, u Srbiji poznata kao BIA, i srpska policija koristile su špijunski softver NoviSpy, pored forenzičkih alata za mobilne telefone kompanije Cellebrite za targetiranje nezavisnih aktivista, mirnih demonstranata i nezavisnih novinara. Zajedno, ovi alati pružaju državi ogromnu sposobnost da prikuplja podatke, i tajno, kao u slučaju špijunskog softvera, i otvoreno, kroz nezakonitu i nelegitimnu upotrebu softvera Cellebrite za izvlačenje podataka iz mobilnog telefona - ukazuje Amnesti.

Prema njihovim rečima, vlasti u Srbiji su sistematski koristile ove alate protiv mirnih demonstranata, koji su već prečesto objekti nepravedne kriminalizacije zbog svog aktivizma.

- Nezakonita digitalna špijunaža i prikupljanje podataka protiv civilnog društva ugrožava pravo ljudi na privatnost i zaštitu ličnih podataka, i duboko utiče na njihova druga prava i slobode, uključujući pravo na slobodu izražavanja, udruživanja i mirnog okupljanja - navodi Amnesti.

Otkrića u ovom izveštaju, dodaje se, zasnovana su na detaljnim intervjuima sa 13 osoba koje su direktno bile na meti špijunaže ili izvlačenja mobilnih podataka, ili drugih oblika digitalne špijunaže, i sa 28 predstavnika civilnog društva širom Srbije, "koji su pružili neprocenjiv uvid u sve problematičnije okruženje u kojem rade".

- Njihova svedočenja su potkrepljena detaljnim forenzičkim analizama mobilnih uređaja dvadesetak aktivista i novinara koje je sprovela Bezbednosna laboratorija Amnestija. Bezbednosna laboratorija je koristila alate digitalne forenzike koje je razvio Amnesti, uključujući i MVT (Mobile Verification Toolkit) i AndroidQF, kako bi prikupili i analizirali forenzičke nalaze za ovaj izveštaj - ukazuje Amnesti.

Srpske vlasti u poslednjoj deceniji koristile i Pegasus, Finisher, Intellexa

Prema ovoj organizaciji, srpske vlasti su u prethodnoj deceniji koristile veoma invazivne špijunske softvere, poput Finisher, Pegasus i Intellexa.

- Utvrđeno je da su najmanje tri aktiviste i nezavisna novinara imala tajno instaliran špijunski softver NoviSpy na njihovim uređajima, tokom perioda kada su prisustvovali neformalnim razgovorima sa pripadnicima srpske policije ili BIA. Telefoni su im inficirani u vreme kada su im bili privremeno oduzeti i pohranjeni u ormariće u policijskim stanicama. Ova izuzetno obmanjujuća taktika, tj. tajno instaliranje špijunskog softvera na uređaje ljudi tokom informativnih razgovora, izgleda da je bila široko korišćena - navodi se u izveštaju Amnestija.

Prema njihovim tehničkim dokazima, ispada da su desetine, ako ne i stotine pojedinačnih uređaja bile poslednjih godina na meti NoviSpy softvera.

Podseća se da su u oktobru 2024. aktivisti Krokodila bili pozvani u BIA da bi pružili informacije o incidentu koji je uključio i napad na njihovu organizaciju. Dok su bili na sastanku, njihov telefon je ostao bez nadzora ispred sobe u kojoj su razgovarali.

Potonja forenzička analiza Bezbednosne laboratorije Amnestija pronašla je dokaze da je tokom perioda razgovora na njega instaliran špijunski sistem NoviSpy.

Mada manje tehnički napredan od komercijalnog špijunskog softvera Pegasus, Novispy je opet omogućavao srpskim vlastima široke mogućnosti špijunaže pošto bi bio instaliran, ukazuje Amnesti.

- Kao odgovor na ova otkrića, NSO grupa koja je razvila Pegasus, nije mogla da potvrdi da li je Srbija bila njena mušterija, ali je navela da ta grupa "ozbiljno shvata svoju odgovornost da poštuje ljudska prava, i da je snažno posvećena tome da izbegne da izazove, doprinese ili bude direktno povezana sa negativnim učincima po ljudska prava, i u potpunosti uzima u razmatranje sve kredibilne navode o lošoj upotrebi njihovih proizvoda" - navodi Amnesti.

Analiza više uzoraka špijunskih aplikacija NoviSpy povraćenih sa zaraženih uređaja pokazala je da su svi komunicirali sa serverima koji se nalaze u Srbiji, kako za preuzimanje komandi, tako i za nadzor podataka. Posebno, jedan od ovih uzoraka špijunskog softvera je konfigurisan da se direktno poveže na opseg IP adresa povezanih direktno sa BIA, dodaje se.

Istraživanje je takođe otkrilo da se konfiguracioni podaci ugrađeni u uzorak špijunskog softvera vezuju za konkretnog radnika BIA, koji je ranije bio povezan sa nastojanjima Srbije da nabavi Android špijunski softver od prodavca špijunskog softvera Hacking Team, koji trenutno ne radi. Ove znatne operativne bezbednosne greške a i, kako se navodi, činjenice da je ovaj špijunski softver instaliran u više slučajeva tokom razgovora sa pripadnicima BIA, omogućilo je Amnestiju da sa velikom uverenošću pripiše špijunsku kampanju BIA i srpskim vlastima.

Ovaj izveštaj takođe otkriva široku i nezakonitu upotrebu tehnologije za izvlačenje podataka Cellebrite kako bi se skidali lični podaci sa telefona organizatora protesta i novinara, piše Amnesti.

- Tako prikupljeni podaci mogu da omoguće vlastima da mapiraju društvene mreže protestnih pokreta, prikupljaju enkriptovane razgovore sa aplikacija poput Signala i Telegrama, i ličnih klauda za prikupljanje podataka. Mogućnost skidanja, kao posledica, celokupnog digitalnog života pojedinca uz pomoć Cellebrite i sličnih telefonskih forenzičkih alata predstavlja ogromnu pretnju ljudskim pravima, ukoliko ti alati nisu pod strogom kontrolom i nadzorom. Zakonska kontrola u Srbiji upotrebe ovakvih alata nije efikasna, a upotreba forenzičkih proizvoda Cellebrite u Srbiji predstavlja ozbiljan rizik po ljudska prava - smatra Amnesti.

Gušenje civilnog društva u Srbiji

Poslednjih godina sa sve češćim protestima, jačala je i digitalna kontrola društva u Srbiji, ističe Amnesti i dodaje da je posle masovnih protesta širom zemlje u julu i avgustu 2024. protiv kopanja litijuma i srpskog sporazuma sa EU o kritičnim sirovinama, vladin napad na civilno društvo dramatično eskalirao, ukazuje Amnesti.

Dodaje i da je TV Informer imala brojne izveštaje da oko 40 NVO koje se finansiraju iz inostranstva "vode specijalan rat protiv Srbije", po nalogu stranih donatora, nazivajući ih "strani plaćenici".

- Klevetnička saopštenja o ovim organizacijama dodatno su podstrekivana od strane viših zvaničnika, uključujući predsednika, poslanike i guvernerku Narodne banke - navodi se.

Istovremeno, ocenjuje Amnesti, aktivisti koji su učestvovali i govorili o protestima protiv litijuma, suočavali su se sa hapšenjima i neosnovanim, ali veoma ozbiljnim krivičnim optužbama, uključujući podstrekivanje na nasilno rušenje ustavnog poretka, krivično delo koje povlači kaznu do osam godina zatvora.

Aktivisti i advokati sa kojima je Amnesti razgovarao podsetili su koliko često je policija kao osnovu za ove optužbe koristila objave aktivista na društvenim mrežama, njihove govore ili čak i njihovo učešće na protestima.

Prema Građanskim inicijativama, najmanje 33 osobe su uhapšene ili privedene na informativne razgovore tokom avgustovskog protesta, dugo su ispitivani, pretraživani su im stanovi, zaplenjeni im i pretraživani telefoni i kompjuteri.

Nijedan od njih nije formalno optužen u periodu do objavljivanja ovog izveštaja, ukazuje Amnesti.

Ova organizacija dodaje da je razgovarala sa devet aktivista koji su bili pritvoreni ili ispitivani između jula i novembra 2024. i čiji telefoni i kompjuteri su privremeno zaplenjeni od strane policije i podvrgnuti detaljnim pretragama, uključujući izvlačenje digitalnih podataka, kako bi tužioci odlučili da li će ih formalno optužiti ili ne.

- Međutim, aktivisti su sumnjali da su ove nametljive istražne radnje, koje su, čini se, zakonite po srpskom zakonodavstvu, bile pre izgovor da policija i službe bezbednosti saznaju više o njihovim društvenim mrežama i budućim planovima, nego osnova za moguće krivične prijave - piše Amnesti.

Ta organizacija ukazuje da srpsko zakonodavstvo predviđa upotrebu posebnih mera, uključujući tajno praćenje komunikacija, i postavlja posebne okolnosti u kojima te mere mogu da budu zakonito primenjene. Međutim, korišćenje naprednih tehnologija, uključujući špijunske softvere i druge napredne digitalne forenzičke alate kojima se skuplja veliki broj ličnih podataka, nije u potpunosti prepoznato ili efikasno regulisano zakonom, ostavljajući previše prostora za moguće zloupotrebe takvih tehnika, uključujući i u političke svrhe.

Amnesti dodaje da srpska vlada nije komentarisala nalaze iz izveštaja, čije detalje je ova organizacija podelila s njom pre objavljivanja.

Amnesti ističe da digitalna špijunaža nema samo porazan učinak na pravo ljudi na privatnost, već i suštinski utiče na pravo na slobodu izraza, udruživanja i mirnog okupljanja.

Aktivisti iz Srbije rekli su Amnestiju da su se, kada su saznali da su na meti, osetili ugroženo, ranjivo i usamljeno, i to ih je primoralo da razmotre ili promene svoje ponašanje. Neki su postali uzdržaniji da govore o kontroverznim temama, dok su ostali odlučili da smanje ili potpuno prestanu sa svojim aktivizmom.

Slučaj nezavisnog novinara iz Dimitrovgrada

Nezavisni novinar iz Dimitrovgrada Slaviša Milanov, koji prati lokalne teme, u februaru 2024. je doveden u policijsku stanicu nakon naizgled rutinskog saobraćajnog zaustavljanja.

Nakon što je pušten, primetio je da se njegov telefon, koji je ostavio na prijemnici u policijskoj stanici, ponaša čudno - bili su isključeni mobilni podaci i wifi. Svestan da to može da bude znak hakovanja, upoznat i sa pretnjama o prisluškivanju sa kojima se suočavaju novinari u Srbiji, Slaviša je kontaktirao Bezbednosnu laboratoriju Amnestija, zatraživši da mu analiziraju telefon.

Analiza Amnestijeve laboratorije dovela je do dva značajna otkrića.

Najpre, forenzički tragovi su otkrili da je korišćen proizvod Cellebrite da bi bio otključan njegov telefon.

Cellebrite, čiji forenzički alat omogućava da se izvuku svi podaci sa uređaja i koji koriste policijske službe širom sveta, tvrdi da oni imaju stroge propise kako bi sprečili zloupotrebu svojih proizvoda. Ipak, ovo otkriće, navodi Amnesti, pružilo je jasan dokaz da je uređaj ovog novinara bio na meti bez ikakvog oblika zakonitog postupka.

Od Slaviše niti je traženo niti je on dao lozinku za svoj telefon. Takođe, vlasti nisu rekle Slaviši da žele da pretraže njegov uređaj, niti su pružile ikakve zakonske osnove za to. Slaviša i dalje ne zna koji podaci su uzeti s njegovog telefona.

Drugo otkriće analize bilo je još neobičnije.

Amnesti je pronašao tragove ranije nepoznatog špijunskog softvera, koji je nazvao NoviSpy. NoviSpy omogućuje uzimanje osetljivih ličnih podataka sa telefona "mete", nakon što on bude inficiran, i obezbeđuje mogućnost da se daljinski isključi mikrofon i kamera na telefonu.

Forenzički nalazi ukazuju da je špijunski softver instaliran na Slavišinom telefonu dok je bio u posedu srpske policije.

Dva oblika veoma invazivne tehnologije su kombinovano korišćeni za napad na uređaj ovog nezavisnog novinara, učinivši otvorenim za srpske vlasti skoro ceo njegov digitalni život.

Pošto je otkrio da je bio na meti, Slaviša se veoma zabrinuo da bi neki od njegovih izvora mogli da budu kompromitovani i morao je da promeni način na koji istražuje za svoje članke i kako stupa u kontakt sa izvorima.

- Ne mogu više da koristim telefon ili mejl i moram da pronađem druge načine da razgovaram sa ljudima, uključujući i lično. Činim to samo kada smo na javnim mestima i u većim grupama, što očigledno nije idealno - kazao je Slaviša.

Međutim, ova priča se ne završava sa Slavišom. Dalja istraživanja Amnestija su otkrila opseg digitalnog špijuniranja u Srbiji, uključujući upotrebu najmanje tri različite vrsta špijunskih softvera, kao i konstantnu zloupotrebu visoko sofisticirane digitalne forenzičke tehnologije Cellebrite.

Cellebrite poklon Norveške, uz pomoć UN

Zanimljivo je da je Cellebrite UFED tehnologiju Ministarstvu unutrašnjih poslova Srbije poklonilo norveško ministarstvo spoljnih poslova, a Kancelarija UN za projektne usluge (UNOPS) organizovala je nabavku za norvešku vladu.

Amnesti ukazuje da nije sproveden adekvatan proces da se procene i ublaže potencijalni rizici ove tehnologije kada se radi o ljudskim pravima, niti su obezbeđeni mehanizmi protiv njegove zloupotrebe.

- Imajući u vidu slabo regulatorno okruženje za digitalnu prismotru u Srbiji, zabrinutost u vezi sa nezavisnošću sudstva i stalne izveštaje o pretnjama civilnom društvu i nezavisnim novinarima, norveška vlada i UNOPS su imali odgovornost da sprovedu nadzor kada su nabavljali visoko invazivnu tehnologiju i predale je srpskim institucijama. S obzirom na to da to nisu učinili, omogućili su i doprineli da Srbija krši pravo ljudi na privatnost, slobodu izražavanja, udruživanja i mirnog okupljanja kroz nezakonitu digitalnu prismotru - istakao je Amnesti.

Norveško ministarstvo spoljnih poslova reklo je, povodom ovih nalaza, da je "alarmantno da su digitalni forenzički alati, kupljeni preko projekta koji je finansirala Norveška, moguće bili zloupotrebljeni protiv visokih članova civilnog društva u Srbiji".

- Ako je to istina, to bi bilo čisto kršenje osnovnog principa norveške razvojne pomoći, i dogovorene svrhe pomoći srpskim vlastima u to vreme - dodalo je norveško ministarstvo.

Takođe je naglasilo da očekuje da UNOPS, koji je bio odgovoran za sve projektne aktivnosti, sprovede detaljnu istragu o navodnoj zloupotrebi.

Sama kompanija Cellebrite na svom sajtu navodi da će "kompanija preduzeti sve neophodne akcije da zabrani da "loši igrači" koriste ili pristupe" njihovim rešenjima kada se tehnologija Cellebrite "koristi na način koji nije u skladu sa međunarodnim zakonima, ne slaže se sa njihovim uslovima korišćenja ili nije u saglasnosti sa Cellebrite korporativnim vrednostima".

Međutim, ocenjuje Amnesti, sve informacije do kojih su do sada došli, ukazuju da Cellebrite nije preduzeo dovoljne i efektivne mere da iskoristi svoj uticaj kako bi se pozabavio rizicima po ljudska prava u Srbiji.

- Kao što pokazuje istraživanje Amnestija u Srbiji, korišćenje proizvoda Cellebrite imalo je štetan uticaj na ljudska prava srpskih aktivista i novinara. I naposletku, Cellebrite je direktno povezan sa tim kršenjima ljudskih prava - zaključio je Amnesti.

Ni Cellebrite, poput srpske vlade, nije pre objavljivanja izveštaja odgovorio na pitanja Amnestija o ovim otkrićima.

Na pitanja koja im je Amnesti postavio na samom početku istraživačkog procesa, Cellebrite je rekao da nije kompanija za nadzor i da ne obezbeđuje tehnologiju sajber nadzora ili špijunaže. Naveli su da je njihov proizvod "digitalna istražna platforma koja oprema pravosudna tela tehnologijom neophodnom da zaštite i sačuvaju živote, sprovode pravdu i očuvaju privatnost podataka", kao i da je njihov proizvod "licenciran strogo za zakonitu upotrebu, zahteva nalog ili pristanak da bi se pomoglo pravosudnim organima u legalno odobrenim istragama pošto je zločin počinjen".

Zaključci i preporuke Amnestija

- Otkrića u ovom izveštaju su primer toga kako represivni državni aparat može da kombinuje različite prakse za nadzor da postigne svoje ciljeve. U izveštaju se takođe ističu sve brojnije taktike nadgledanja, uključujući i široko raširenu upotrebu invazivnih digitalnih forenzičkih alata kako bi se prikupljali podaci od mirnih demonstranata, koji nisu optuženi ni za kakav zločin - navodi se i dodaje da kako su bezbednosna poboljšanja sve bolja, zbog čega su sve češće daljinski špijunski napadi previše skupi ili neizvodivi, vlasti se sve više okreću inficiranju uređaja špijunskim softverom putem fizičkog pristupa uređaju.

Napominje se, takođe, i da su neke države predložile posebne zakone koji dozvoljavaju tajne upade u domove, kako bi se uređaji zarazili ciljanim špijunskim softverom.

- Srbija mora da se odmah obaveže da će prestati da koristi visoko invazivne špijunske softvere i sprovede hitnu, nezavisnu i nepristrasnu istragu o svim dokumentovanim i prijavljenim slučajevima nezakonitog digitalnog špijuniranja. Takođe, mora da preduzme konkretne korake da obezbedi da digitalne tehnologije ne budu zloupotrebljene za kršenje ljudskih prava, uključujući uvođenje i strogo sprovođenje zakonskog okvira koji obezbeđuje smisleni proceduralni nadzor, efektne sisteme kontrole i efektne mehanizme za naknadu žrtvama - naveo je Amnesti.

Ukazuje se i da Cellebrite i druge digitalne forenzičke kompanije, koje obezbeđuju pravosudnim organima i bezbednosnim agencijama visoko invazivnu tehnologiju moraju da posvete dužnu pažnju i osiguraju da njihovi proizvodi ne budu iskorišćeni na način da doprinose kršenju ljudskih prava.

- Posebno, Cellebrite treba da istraži kako je njena tehnologija korišćena u Srbiji za procenu mogućih štetnih uticaja na ljudska prava i da deluje u skladu sa svojom obavezom da "preduzme sve neophodne radnje", uključujući neobnavljanje Cellebrite licence, da zabrani lošim akterima da koriste ili pristupaju njihovim rešenjima na način koji nije u skladu sa međunarodnim pravom.