Kilka dni temu internet obiegło na pierwszy rzut oka niepozorne, ale gdy się nieco lepiej przyjrzeć, to jednak bardzo interesujące zdjęcie. Reut Yamen, radczyni prawna pracująca dla firmy Paragon, wrzuciła na LinkedIn swoje selfie. Ktoś może powiedzieć: "Cóż w tym dziwnego?". Otóż, najważniejsze jest nie to, co widać na pierwszym planie, ale tło… a dokładnie panel administracyjny oprogramowania Graphite. W sieci szybko rozpętała się solidna burza. Dlaczego? Co widać na wspomnianym tle?
Od selfie na LinkedIn po wyciek danych
Przede wszystkim jakiś czeski numer telefonu opisany jako “Valentina”, a pod nim wielki przycisk “przechwyć” z datą i statusem. Poniżej widać aplikacje komunikatorów przypięte do tego numeru. Na liście są choćby WhatsApp, Telegram, Signal, a obok widać spis czatów jednej z takich aplikacji. Widzimy też rozmowę z izraelskim numerem opisanym jako Lisa Lessely i możemy podejrzeć przesyłane media – jakieś wideo i prawdopodobnie zdjęcia.
To, co widać na zdjęciu to raczej nie są realne dane pochodzące z włamywania się na czyjś telefon, tylko jakieś środowisko testowe. Tak czy inaczej mleko się rozlało. Firma w świetle nadchodzącego skandalu ruszyła z PR-ową odpowiedzią, że na fotce jest po prostu slajd z prezentacji. Paragon twierdzi, że jego wyciek jest – cytuję – niską ceną zapłaconą za wspieranie kobiet i to jeszcze wśród utalentowanych uczniów. Tak, dobrze czytasz…
Szpiegujemy, ale mamy misję
Zatrzymajmy się w tym miejscu i porozmawiajmy chwilę o samej firmie Paragon. Pochodzi ona – a jakżeby inaczej – z Izraela. Większość firm z tej branży sięga swoimi korzeniami w jakiś sposób do izraelskiej jednostki wywiadowczej o numerze 8200. Jej pracownicy po zakończeniu tam kariery idą w świat i nierzadko zakładają firmy technologiczne z pierwszych stron gazet: Checkpointa, Impervę, Palo Alto Networks, Waze, czy NSO Group albo właśnie Paragona.
Smaczku sprawie dodaje fakt, że jednym z założycieli Paragona jest utytułowany generał Ehud Barak, były premier i minister obrony Izraela, a do tego jeszcze były szef Aman, czyli ich wywiadu wojskowego. Niezłe CV. Przy okazji dobry znajomy Jeffreya Epsteina…
Paragon, będący autorem oprogramowania do cyberszpiegowania Graphite, w przeciwieństwie do swojej konkurencji – NSO Group z ich Pegasusem czy Intelleksy z Predatorem – budował wokół siebie obraz biznesu, który ma jakieś zasady i nie jest przedmiotem przeróżnych skandali z naruszeniami praw człowieka. Od samego początku Paragon miał być inny, odpowiedzialny społecznie. Stawiał się w tej kwestii w bezpośredniej opozycji do Pegasusa.
Gdy po wybuchu afery z tym ostatnim w roli głównej zaproponowano Paragonowi, aby ich zastąpili w arsenale saudyjskiego reżimu, to firma rzekomo odmówiła, nie chcąc przykładać do tego ręki. Mieli sprzedawać swoje rozwiązania jedynie do rządów krajów o niepodważalnie czystej demokracji, aby zwalczała tylko najbardziej niebezpiecznych przestępców.
Jedną z unikalnych cech Graphite było to, że nie przełamuje ono wszystkich zabezpieczeń atakowanego urządzenia, a jedynie konkretne aplikacje, jasno wskazane, niezbędne do prowadzenia legalnych działań wymierzonych w przestępców. Także firma twierdzi, że szanuje w ten sposób bardziej prawo, wolność i prywatność. Gdy jednak spojrzy się na zdjęcie, które rozgrzało internet to widać na nim, że jest to sprzeczne z prawdą. Dostęp do wszystkiego mamy jak na dłoni.
Graphite w rękach ICE
Reputacja biznesu z zasadami utrzymywała się przez jakiś czas, co gwarantowało pewne uprzywilejowane traktowanie przez opinię publiczną, polityków oraz ewentualne sądy. W ich oczach byli widziani jako “Ci nieco lepsi”. Taktyka była genialna w swej prostocie. Cóż, ostatnio się to zmieniło.
Paragon podpisał kontrakt z amerykańską administracją. Nie bez znaczenia było tu wsparcie rzeszy lobbystów oraz innych drogich konsultantów. Finalnie cały biznes Paragona sprzedano amerykańskiemu funduszowi za prawie miliard dolarów, dokonując różnych manewrów z powoływaniem spółek w USA obsadzanych byłymi pracownikami między innymi CIA i tak dalej.
Amerykanie mieli używać Graphite w ramach DEA, czyli agencji zwalczającej przestępstwa narkotykowe. Prezydent Biden wycofał możliwość korzystania z takiego oprogramowania, mimo początkowej zgody. Nowy lokator w Białym Domu, zmienił tę decyzję, efektywnie umożliwiając wykorzystanie Graphite m.in. przez ICE – służby antyimigracyjne. Używając go również bez nakazu. Na pewno ułatwiła to transakcja, w świetle której Paragon stał się efektywnie amerykańską firmą. A papier wszystko przecież przyjmie.
Jednak opieranie się na jednym li tylko kliencie jest prostą drogą do katastrofy. Paragon szukał więc innych rynków zbytu, ale w bardzo mądry sposób. Aby zadowolić Amerykanów i podkreślić swoje zaangażowanie w demokrację sprzedawał swój produkt jedynie krajom z bardzo wąskiej listy, zaakceptowanej przez USA. Co wzmacniało ich relacje z Białym Domem i po raz kolejny budowało obraz tych odpowiedzialnych. No i kiedy w końcu twórcy Pegasusa stanęli w centrum potężnej afery, to właśnie Paragon zdawał się być jej największym beneficjentem.
Tak traci się prywatność
Poza USA użytkownikami Graphite’a były m.in. Włochy, gdzie szpiegowano dziennikarzy, aktywistów czy… księży. Jeśli słyszałeś kiedyś chociaż trochę o tym, jak działa na przykład słynny w Polsce Pegasus, wiesz, że oprogramowanie tej klasy ma praktycznie nieograniczone możliwości inwigilacji.
Operator wskazuje urządzenie po numerze telefonu, które jest zdalnie infekowane. Najczęściej w taki sposób, że ofiara nawet tego nie zauważy. Korzysta się z mechanizmów opartych o łańcuchy kilku podatności, najczęściej zero-dayów i zero-clicków w różnym oprogramowaniu. To drogie działanie, dlatego dostępne jedynie dla nielicznych – najczęściej rządów, które wydają pieniądze podatników, a nie swoje.
Gdy atak zakończy się sukcesem, operator ma praktycznie nieograniczony dostęp do telefonu ofiary. Niezależnie od tego, czy jest on w pełni szyfrowany czy też nie. Może czytać wiadomości, uzyskiwać dostęp do galerii, zdalnie uruchamiać kamerę czy mikrofon. Ogólnie – robić wszystko to, co może robić jego właściciel.
Co wiemy z analizy ataków
W kwietniu 2025 r. Apple rozesłało do kilku swoich klientów powiadomienia, że byli oni prawdopodobnie celami inwigilacji. Dwie z tych osób zgłosiły się do CitizenLab i udostępniły swoje urządzenia do analizy. Była to dwójka włoskich dziennikarzy. CitizenLab ustaliło dzięki nim, że do ataku wykorzystywano wyrafinowaną lukę zero-click i zero-day w iMessage. Prawdopodobnie atakującym był ten sam operator w obu przypadkach.
Zmapowano też infrastrukturę atakujących. CitizenLab podejrzewa, że aktywne kampanie inwigilacyjne prowadzone były w Australii, na Cyprze, w Danii, Izraelu, Singapurze i w Kanadzie. W ostatnim przypadku jako klienta wskazano policję z prowincji Ontario.
Również Meta poinformowała o atakach na swoich użytkowników. Podejrzewają, że ok. 90 osób korzystających z WhatsAppa padło ofiarami Graphite’a. Kampanię wymierzono w dziennikarzy i aktywistów w ponad dwudziestu krajach, głównie w Europie. Wektorem ataku, w tym przypadku głównie na urządzeniach z Androidem, miały być konwersacje grupowe i przesyłane pliki pdf. Jak to działało?
Atakujący dodawał ofiarę do grupy w niestandardowy sposób. Następnie wysyłał na tę grupę odpowiednio spreparowany plik pdf, który był automatycznie przetwarzany przez telefon ofiary. Ukryty w pliku skrypt rozpoczynał cały atak, przejmując kontrolę nad aplikacją WhatsApp, a następnie uciekając z sandboxa. Był tak w stanie przejąć pełną władzę nad telefonem ofiary. Lukę już na szczęście załatano.
Łasi na cudzą prywatność
“A ten Signal to nie jest taki bezpieczny, skoro go zhakowano” – takie komentarze pojawiły się lawinowo po publikacji selfie przez Reut Yamen. Chociaż mogą budzić panikę, nie są prawdą. I nie chodzi tu akurat wyłącznie o Signal, a o jakąkolwiek aplikację z tej czy innej listy.
Obecność na takim screenie znaczy, że przejęto całkowitą kontrolę nad czyimś telefonem. Atakujący ma do niego dostęp na takim samym poziomie jak jego właściciel. Ale to nie jest żadna luka w komunikatorze ani jego złamanie! Jego protokół nadal jest dokładnie tak samo bezpieczny jak był do tej pory. Dostęp do korespondencji uzyskano w zupełnie innym miejscu.
Tu prosta analogia – jeśli ktoś dorobił sobie klucz do Twojej skrzynki pocztowej i czyta adresowane do Ciebie pocztówki zanim je odbierzesz, to nie jest to wina poczty czy listonosza. Potrzebujesz bardziej pancernej skrzynki, z nowym zamkiem, albo odbierania kartek w inny sposób.
W tym biznesie nie ma mowy o etyce
Inwigilacja to zwyczajnie świetny biznes. Paragon, jako firmę, w chwili przejęcia przez amerykański kapitał wyceniono na prawie miliard dolarów. To niebagatelna suma, o której wiele startupów może tylko marzyć. Gdy do gry wchodzą duże pieniądze, inne wartości czasami są pomijane.
Oprogramowanie szpiegowskie nie może być etyczne. Sprzedawanie go jedynie demokratycznym krajom, nie zezwalając na dostęp jawnym autokratom, niewiele zmienia. Człowiek jest człowiekiem i jeśli da mu się możliwość kontroli, to z niej prędzej czy później skorzysta. Wykorzystywanie służb i dostępnych tylko im narzędzi do zwalczania swoich przeciwników czy szpiegowania nieprzychylnych dziennikarzy niszczą wolność i demokrację.
Chcesz być bezpieczniejszy? Najprostsze, co możesz zrobić, to aktualizuj oprogramowanie na wszystkich swoich urządzeniach. Tak szybko, jak to tylko dostępne. To najlepsza broń wobec wielu rodzajów ataków.
Autor jest założycielem platformy edukacyjnej uczmnie.pl oraz aidevs.pl.
