Na investigativní práci, která případ odhalila, pracovalo 17 světových médií, mimo jiné také český server Investigace.cz. Projekt spojil novináře z několika redakcí. Ti analyzovali záznamy 50 tisíc telefonních čísel z 50 zemí, na které měli klienti NSO Group mířit své útoky mezi lety 2016 a 2020. Případem se zabývali novináři z CNN, El País, The New York Times, Reuters, AFP, AP, Le Monde nebo The Financial Times.

Novináři, politici, aktivisté i podnikatelé

Organizace Amnesty International a Forbidden Stories se dostaly k seznamu z roku 2016, kde je přes 50 tisíc telefonních čísel. Právě tyto kontakty si klienti NSO Group vybrali pro možné sledování. Seznam podle Washington Post obsahuje čísla na 189 novinářů, víc než 600 politiků a vládních úředníků, 85 lidskoprávních aktivistů a 65 významných podnikatelů. Software od NSO Group měly ke špehování zneužívat třeba vlády v Ázerbájdžánu, Bahrajnu, Indii, Kazachstánu, Mexiku, Maroku, Maďarsku, ve Rwandě, Saúdské Arábii a Spojených arabských emirátech nebo Francii. Jde o více než 1000 jedinců v 50 zemích, kteří byli údajně klienty NSO Group vybráni k potenciálnímu sledování, píše AP.

Server The Guardian popisuje, že přítomnost telefonního čísla na seznamu není ještě důkazem toho, že Pegasus dané zařízení nutně napadl - ale analýza menšího vzorku kontaktů naznačila, že stopy po špehovacím systému v sobě měla více než polovina z nich. The Washington Post prohlásil, že identifikoval 37 napadených telefonů. The Guardian uvedl, že Amnesty International našla stopy po napadení Pegasem na telefonech 15 novinářů, kteří poskytli své mobily poté, co zjistili, že jejich číslo je mezi uniklými daty, informovala AP.

Někteří novináři, kteří byli spywarem napadení, byli zatčení, někteří museli uprchnout ze své země kvůli tomu, že jim hrozila perzekuce. Až později zjistili, že jsou stále pod dohledem. V několika vzácných případech pak byli novináři zavražděni poté, co byli vybráni jako cíle špionážního nástroje. Odhalení týkající se NSO Group jasně ukazují, že se tato technologie stala klíčovým nástrojem v rukou represivních politických aktérů a zpravodajských agentur, které pro ně pracují, popisuje organizace Forbidden Stories.

Podle generální tajemnice Amnesty International Agnes Callamard je podle počtu zasažených novinářů vidět, že Pegasus byl používán jako nástroj k zastrašení kritických médií a k potlačení jakéhokoliv nesouhlasu či opozičního postavení vůči vládě. „Čísla jasně ukazují, že zneužívání (telefonních čísel a informací) je velmi rozšířené, ohrožuje životy novinářů, jejich rodin a spolupracovníků, podkopává svobodu tisku a potlačuje kritická média,“ uvedla Agnes Callamard, generální tajemnice Amnesty International.

Izraelská NSO Group

Izraelská firma NSO Group, která za programem Pegasus stojí, tvrdí, že její technologie jsou určené pouze k použití proti zločincům nebo teroristům. Navíc jsou prý k dispozici jen pro vojenské, bezpečnostní a zpravodajské subjekty. Odmítá, že by její klienti měli někoho špehovat, ale všechna tvrzení týkající se zneužití svého programu chce NSO prověřit.

„Společnost NSO Group se navíc ve svých odpovědích ohradila proti nařknutí, že by její spyware někdo systematicky zneužíval a tvrdí, že data, která jsme analyzovali, nepocházejí z jejich firmy, protože žádné takové seznamy čísel lidí, které odposlouchávají, nepoužívají,“ popisuje web Investigace.cz. 

Kritici NSO Group popisují, že opakované zneužití systému Pegasus jen ukazuje úplný nedostatek regulace soukromého globálního odvětví sledovacích technologií. Systém si mohla proti svým kritikům a oponentům objednat jakákoliv vláda, která firmě NSO Group zaplatila. Podle „etického hackera“ Pavla Luptáka, který se dlouhodobě zabývá bezpečností a ochranou soukromých dat, může útok stát od tisíců, desetitisíců dolarů až po statisíce.

„Navíc jsme zjistili, že firma NSO Group svůj špionážní software i své služby opakovaně dodávala klientům, o kterých věděla, že oboje využívají k brutálnímu útlaku a porušování základních lidských práv. NSO Group tak de facto umožňovala politickým systémům šikanovat nepohodlné osoby, přestože ve svých oficiálních stanovách takové chování jasně popírá a tvrdí, že podobnému zneužití se naopak účinně brání,“ popisuje server Investigace.cz další ze svých zjištění. Společnost má mít údajně „nadstandardní vztah“ s izraelskými tajnými službami, dodává server.

Podle Pavla Luptáka je problém Pegase i v tom, že NSO může přímo vidět, proti komu byl spyware použit. „Podle mého názoru jsou automaticky přímo zodpovědní, když je spyware zneužíván (například proti investigativním novinářům, politickým aktivistům a podobně),“ řekl Lupták pro web Investigace.cz. Podle něj se takovému útoku nedá téměř zabránit.

Špehování maďarských novinářů

I maďarští novináři Szabolcz Panyi a Andras Szabo z platformy Direkt36 byli terčem špehování. Direkt36 je jedno z mála médií v Maďarsku, které není pod vládní kontrolou nebo vlivem, a zůstává tak nezávislým. Maďarská vláda pod vedením Viktora Orbána měla díky spywaru přístup k šifrovaným zprávám i připravovaným článkům Panyie i Szaba.

„Je to sice skvělé ocenění mé práce, ale o takovou „slávu“ jsem nikdy nestál. Je potřeba najít lidi, kteří jsou za to zodpovědní. Trochu mě uklidňuje, že takové věci se dnes nedají ututlat. Dokonce ani při použití toho nejdražšího špionážního softwaru. K únikům informací dochází a docházet bude. Lidé se musí ozvat a každý, kdo má důkazy o jakémkoli zneužití sledování, by měl tyto informace předat novinářům,“ řekl Panyi v rozhovoru pro web Investigace.cz. Podle něj někteří představitelé Orbánovy vlády věří tomu, že nezávislí novináři mají být součástí nějakého spiknutí proti nim. „Existuje rozšířená paranoia a oni toho vidí za našimi motivy (...) daleko více, než v nich skutečně je,“ dodává Panyi pro The Guardian.

Panyi popisuje, že po každém jeho požadavku na oficiální komentář maďarské vlády k nějakému případu následovalo napadení jeho telefonu pomocí Pegasu, jak je znát z uniklých dat. V dubnu 2019 například odeslal žádost o komentář související s článkem o ruské bance. Ta se měla do Budapešti přesunout navzdory obavám, že by mohlo jít o zástěrku pro sídlo ruských zpravodajských služeb. O den později byl jeho telefon napaden Pegasem. Podle analýzy Amnesty International došlo k 11 podobným událostem, kdy napadení telefonu předcházela žádost Panyie o informace od vlády.

Maďarská opozice požaduje, aby se prošetřilo, zda pravicová vláda používá Pegasus ke špehování novinářů a politiků, kteří jsou vůči ní kritičtí. V Maďarsku mělo dojít ke špehování nejméně 10 právníků, jednoho opozičního politika a až pěti novinářů. Předseda parlamentního výboru pro národní bezpečnost János Stummer dodal, že popisované praktiky nejsou v právním státě přípustné, upřesnil, že výbor se bude na věc ptát národních bezpečnostních a zpravodajských agentur.

„Nejsme si vědomi žádného sbírání dat,“ popisuje mluvčí maďarské vlády k proneseným obviněním ze špehování novinářů. Ministr zahraničí Peter Szijjarto řekl médiím v pondělí, že jeho vláda o žádném takovém shromažďování údajů nevěděla a že civilní zpravodajská agentura, na kterou dohlíží, se žádným způsobem neúčastnila špionáže.

Obvinění maďarské vlády ze špehování novinářů a dalších kritiků přicházejí uprostřed situace, kdy se v Maďarsku rychle zhoršuje svoboda a pluralita médií. Od roku 2010, kdy se vlády ujal Viktor Orbán a jeho strana Fidesz, země postupně klesá z 23 na 92 místo v žebříčku World Press Freedom Index, který značí míru svobody médií v jednotlivých státech.

Nedá se tomu bránit

Dalším případem, který má mnohem závažnější dohru, je vražda novináře Džamála Chášukdžího z Washington Post. V roce 2018 šel do sídla saúdského konzulátu v Istanbulu. Následně zmizel a nikdo ho od té doby neviděl. Saúdská vláda ho nechala zavraždit, jeho tělo pak rozřezali a schovali. A podle dat, která se teď objevila, byl před svou smrtí sledován právě softwarem Pegasus. Tím sledovali také jeho snoubenku a přátele. Společnost NSO tvrdí, že s případem Chášukdžího nemá nic společného.

Podle serveru Investigace.cz má pak být největším klientem NSO Group mexická vláda. Ta měla do systému zadat až přes 15 tisíc telefonních čísel. Vláda v Mexiku odposlouchávala třeba novináře Cecila Pineda. Ten se dlouhodobě zaměřoval na vztahy mezi drogovými kartely a zkorumpovanými politiky. Vláda ho sledovala od února 2017. O měsíc později byl zastřelen - čekal u automyčky, když k němu přijeli dva lidé na motorce a desetkrát vystřelili. Byl zabit jen několik týdnů poté, co se jeho číslo objevilo na zmíněném seznamu.

I ázerbájdžánská novinářka Chadídža Ismajlova byla špehovaná. Je pro ázerbájdžánský režim v čele s Ilhamem Alijevem nepohodlná proto, že rozkrývá finanční machinace jeho rodiny. Ázerbájdžánská vláda investovala do jejího sledování miliony korun a skrze Pegasus kontrolovala její aktivitu v letech 2019 až 2020, když byla v domácím vězení.

„Doporučujeme si navzájem jeden nástroj, který má zajistit, aby (naše telefony) byly v bezpečí před očima vlády,“ popisuje novinářka Ismajlova. „A včera jsem si uvědomila, že tu neexistuje žádný takový způsob (jak tomu zabránit). Pokud se nezavřete do železného stanu, není žádný způsob, aby nezasahovali do vaší komunikace.“

Maďarský novinář Panyi se obává, že fakt, že byl špehován, odradí jeho budoucí zdroje informací od toho být s ním v kontaktu. „Je to obava každého novináře, který se stal terčem, jakmile se ukáže, že jste byli sledovaní a že by dokonce mohly být kompromitované i vaše přísně tajné zprávy, kdo s námi sakra bude chtít v budoucnu mluvit? Všichni si budou myslet, že jsme toxičtí…“