Raportul, intitulat „O închisoare digitală: Supravegherea și suprimarea societății civile în Serbia”, documentează modul în care produsele criminalistice mobile fabricate de compania israeliană Cellebrite sunt folosite pentru a extrage date de pe dispozitivele mobile ale jurnaliștilor și activiștilor.
Amnesty International a descoperit dovezi criminalistice care arată modul în care autoritățile sârbe au folosit produsele Cellebrite pentru a permite infectarea telefoanelor activiștilor cu programe spion NoviSpy.
De asemenea, raportul dezvăluie modul în care poliția sârbă și Agenția de Informații de Securitate (Bezbedonosno-informativna Agencija – BIA) au folosit un sistem spyware Android personalizat, NoviSpy, pentru a infecta în secret dispozitivele persoanelor în perioadele de detenție sau în care au fost anchetate de poliție.
„Investigația noastră dezvăluie modul în care autoritățile sârbe au desfășurat tehnologia de supraveghere și tacticile de represiune digitală ca instrumente de control mai larg de stat și de represiune îndreptate împotriva societății civile”, a declarat Dinushika Dissanayake, director regional adjunct al Amnesty International pentru Europa.
„De asemenea, evidențiază modul în care produsele criminalistice mobile Cellebrite – utilizate pe scară largă de poliție și serviciile de informații din întreaga lume – pot reprezenta un risc enorm pentru cei care susțin drepturile omului, mediu și libertatea de exprimare, atunci când sunt utilizate în afara controlului și supravegherii legale stricte.”
Cum sunt utilizate Cellebrite și NoviSpy
Cellebrite, o firmă fondată și cu sediul central în Israel, dar cu birouri în toată lumea, dezvoltă suita de produse Cellebrite UFED pentru agențiile de aplicare a legii și entitățile guvernamentale.
Aceste produse permit extragerea datelor de pe o gamă largă de dispozitive mobile, inclusiv unele dintre cele mai recente dispozitive Android și modele de iPhone, chiar și fără acces la codul de acces al dispozitivului.
Deși este mai puțin avansat din punct de vedere tehnic decât programul spion comercial extrem de invaziv precum Pegasus, NoviSpy – un program spion Android necunoscut anterior – oferă încă autorităților sârbe capabilități extinse de supraveghere odată instalate pe dispozitivul unei ținte.
NoviSpy poate captura date personale sensibile de pe un telefon țintă și oferă posibilitatea de a porni microfonul sau camera unui telefon de la distanță.
În schimb, instrumentele criminalistice Cellebrite sunt folosite atât pentru a debloca telefonul înainte de infectarea cu programul spyware, cât și pentru a permite extragerea datelor de pe un dispozitiv.
În cel puțin două cazuri, exploatările Cellebrite UFED (software care profită de un bug sau de o vulnerabilitate) au fost folosite pentru a ocoli mecanismele de securitate ale dispozitivelor Android, permițând autorităților să instaleze în secret programul spion NoviSpy în timpul anchetelor la poliție.
Amnesty International a identificat, de asemenea, modul în care autoritățile sârbe au folosit Cellebrite pentru a exploata o vulnerabilitate zero-day (o defecțiune software care nu este cunoscută dezvoltatorului original de software și pentru care o remediere software nu este disponibilă) în dispozitivele Android pentru a obține acces privilegiat la telefonul unui activist de mediu.
Vulnerabilitatea, identificată în colaborare cu cercetătorii de securitate de la Google Project Zero și Threat Analysis Group, a afectat milioane de dispozitive Android din întreaga lume care folosesc chipset-urile populare Qualcomm.
Chipsetul este o colecție de circuite integrate care formează setul necesar pentru realizarea unui dispozitiv electronic, cum ar fi o placă de bază a unui computer sau un telefon portabil.
O actualizare care remediază problema de securitate a fost lansată în Buletinul de securitate Qualcomm din octombrie 2024.
Hacking cu Cellebrite și programe spion împotriva jurnaliștilor și activiștilor
În februarie 2024, jurnalistul de investigație independent sârb Slaviša Milanov a fost arestat și reținut de poliție sub pretextul efectuării unui test de conducere sub influența alcoolului.
În timp ce era reținut, Slaviša a fost interogat de ofițeri în civil cu privire la activitatea sa de jurnalism.
Telefonul Android al lui Slaviša a fost oprit când l-a predat poliției și nu i-a fost cerut și nici nu a furnizat codul de acces.
După eliberare, Slaviša a observat că telefonul său, pe care l-a lăsat la recepția secției de poliție în timpul interogatoriului său, părea să fi fost manipulat.
El a cerut Laboratorului de securitate al Amnesty International să facă o analiză criminalistică a telefonului său – un Xiaomi Redmi Note 10S. Analiza a arătat că produsul UFED al lui Cellebrite a fost folosit pentru a debloca în secret telefonul lui Slaviša cât a fost reținut.
Dovezi criminalistice suplimentare au arătat că autoritățile sârbe au folosit NoviSpy pentru a infecta telefonul lui Slaviša.
Alt caz din raport, în care este implicat un activist de mediu, Nikola Ristić, a găsit dovezi criminalistice similare ale produselor Cellebrite folosite pentru a debloca un dispozitiv care să poată fi apoi infectat cu NoviSpy.
„Dovezile noastre criminalistice demonstrează că programul spion NoviSpy a fost instalat în timp ce poliția sârbă deținea dispozitivul lui Slaviša, iar infectarea s-a făcut prin utilizarea unui instrument avansat precum Cellebrite UFED, capabil să deblocheze dispozitivul”, a declarat Donncha Ó Cearbhaill, șeful Laboratorului de securitate al Amnesty International.
Activiști ale căror telefoane au fost infectate cu NoviSpy în timp ce făceau plângeri la poliție
Această tactică de a instala spyware pe ascuns pe dispozitivele oamenilor în timpul detenției sau interogatoriilor pare să fi fost utilizată pe scară largă de autorități.
Într-un alt caz, un activist de la Krokodil, o organizație care promovează dialogul și reconcilierea în Balcanii de Vest, a descoperit că are telefonul, un Samsung Galaxy S24+, infectat cu spyware după o discuție avută cu oficialii Agenției de Securitate (BIA) a Serbiei în octombrie 2024.
Activistul a fost invitat la biroul BIA din Belgrad pentru a oferi informații despre un atac asupra birourilor organizației sale de către persoane vorbitoare de limbă rusă, după ce organizația a condamnat public invazia rusească în Ucraina.
După interviu, activistul a bănuit că i s-a umblat la telefon.
La cererea sa, Amnesty International a făcut o anchetă criminalistică care a constatat că NoviSpy a fost instalat pe dispozitiv în timpul interviului avut la BIA.
Amnesty International a reușit, de asemenea, să recupereze și să decripteze datele de supraveghere capturate de NoviSpy în timp ce activistul își folosea telefonul, care includeau capturi de ecran ale conturilor de e-mail, mesaje pe Signal și WhatsApp și activitatea sa de pe rețelele sociale.
Amnesty International a raportat campania de programe spion NoviSpy cercetătorilor de securitate de la Android și Google înainte de publicare, care au luat măsuri pentru a elimina programele spion de pe dispozitivele Android afectate.
Google a trimis, de asemenea, o rundă de alerte de „atac susținut de guvern” persoanelor pe care le-au identificat drept posibile ținte ale acestei campanii.
Îți mai recomandăm #10întrebări | Cum te protejezi de hackeri? Sfaturile unui expert în securitate cibernetică