Dve novinarke BIRN-a mete Pegazus špijunskog programa

„Imaš li ti info da je on sledeći? Ja sam nešto potpuno drugačije čula…“, glasila je poruka poslata sa nepoznatog broja sa prikačenim linkom, koju je novinarka BIRN-a primila putem Vibera 14. februara ove godine.

Sve je ličilo na poruku potencijalnog izvora koji želi da dojavi neku informaciju, ali neobičan link i nepoznat pošiljalac pobudili su sumnju da je reč ofišingu – i to ne bilo kakvom. Sat vremena ranije, još jedna novinarka BIRN-a dobila je poruku na Viber sa istog nepoznatog broja.

Nakon što se posumnjalo da su poruke pokušaj instalacije špijunskog softvera na telefone novinarki, BIRN se obratio bezbednosnoj laboratoriji Amnesty Internationala za pomoć. Njihova forenzička analiza potvrdila je da je reč o napadima špijunskim softverom Pegazus.

„Otkrili smo da tekstualne poruke sadrže linkove ka internet domenu na srpskom jeziku, za koji sa visokim stepenom sigurnosti možemo reći da je povezan sa špijunskim softverom Pegazus kompanije NSO Group“, kaže Donaka O’Kerol, rukovodilac bezbednosne laboratorije Amnesty International-a.

Napad, na sreću, nije bio uspešan jer novinarke nisu kliknule na link. Da jesu, jedan od najsofisticiranijih i najinvazivnijih programa za digitalni nadzor na svetu – Pegazus – bio bi instaliran na njihove telefone i omogućio bi pristup njihovim porukama, mejlovima, kameri, mikrofonu i datotekama – bez njihovog znanja.

„Kada sam dobila poruku bila sam u svom domu, što smatram na neki način povredom privatnosti doma. Ustav mi garantuje da su prisluškivanje i nadzor zabranjeni kad sam u svojoj kući. Čim sam videla poruku, videla sam da osoba nije upisana u mom imeniku, da ostvaruje tako neposrednu komunikaciju, da se ne potpisuje ko je i ko joj je dao moj broj. Delovalo je tako neposredno i tako aktuelno. Ja sam onda odgovorila: ‘Nemam ovaj broj u imeniku, može li za početak – ko piše?’ Poruka nije otišla. Zatim sam pozvala taj broj i bio je nedostupan“, kaže novinarka BIRN-a koja je želela da ostane anonimna, jer kako kaže: „Danas sam ja, sutra je neko drugi. Bitna je priča, a ne ja.“

Jelena Veljković, višestruko nagrađivana novinarka BIRN-a sa preko 30 godina iskustva, takođe je sa istog broja, u isto doba dana, dobila poruku na Viberu.

Screenshot ekrana Viber poruka koje su dobile novinarke BIRN-a Foto: BIRN

„Poruka je bila zamućena od strane same aplikacije, kao bezbednosni mehanizam Vibera. Ja se nisam usudila da napravim bilo šta što bi omogućilo instalaciju. Ne znam šta je pisalo, ali moglo je da se vidi da je napisano u dva reda belim slovima, i onda u dva reda plavim slovima – nekakav link”, kaže Jelena Veljković.

Odmah je blokirala broj sa kojeg je poruka došla. “Ne bih obratila mnogo pažnje na tu poruku da, kad sam se vratila kući, nisam ušla u prepisku na našoj redakcijskoj grupi, gde sam videla da je još jedna koleginica dobila poruku sa istog broja i približno u isto vreme“, kaže Veljković.

To saznanje jeste uznemirujuće, navodi ona, jer se radi o privatnom telefonu koji koristi i za posao.

“Svest o tome da je neko imao motiv i novca da takav softver plasira u uređaje, znajući šta Pegazus sve može… To može da se doživi i kao poruka upozorenja, pritisak, kao ‘pazite se, gledamo vas, šta radite’, jer napadač je mogao da računa da novinari BIRN-a neće tako olako kliknuti na link. Ne znamo ko stoji iza napada. Ja imam svoje pretpostavke o kojima ne bih da spekulišem. Ne znam ni zašto su odabrali baš mene i koleginicu – možda je to upozorenje celom BIRN-u“, kaže Veljković.

Jedan broj, dve novinarke, isti metod napada

Obe novinarke dobile su poruku 14. februara 2025. godine sa Viber naloga registrovanog na broj telefona +381659940263.  Broj je registrovan u Telekomu Srbija i od 14. februara do danas je nedostupan.

Jelena Veljković primila je poruku u 12:55, na Android telefonu i nije je otvorila. Druga koleginica manje od sat kasnije, u 13:46 na iPhone uređaju. Poruka primljena na njenom telefonu  sadržala je tekst na srpskom jeziku i link ka internet domenu, takođe na srpskom jeziku.

Forenzički tim Amnesty Internationala je sa visokim stepenom sigurnosti utvrdio da je domen sadržan u ovom linku povezan sa špijunskim softverom Pegazus. Ova procena zasnovana je na dokazima koje je Amnesty International prikupio tokom višegodišnje istrage o zloupotrebi ovog  špijunskog softvera.

Novinarka BIRN-a nije kliknula na link, zbog čega špijunski softver Pegazus nije bio uspešno instaliran na njen telefon. Kada su istraživači Amnesty Internationala otvorili link u bezbednom okruženju, on je preusmeravao na lažnu stranicu N1, na adresi https://n1info.com. Stručnjaci Amnestija napominju da je i jedan od prethodnih pokušaja Pegazus napada putem „jednog klika“, koji je u julu 2023. ciljao jednog od vođa protesta u Srbiji, takođe preusmeravao na isti medijski sajt.

Amnesty International je zaključio da je u oba slučaja novinarki BIRN-a reč o pokušaju infekcije Pegazus softverom putem metode „jedan klik“ (1-click). Obe poruke i linkovi poslati su u razmaku od svega jednog sata, sa istog Viber broja, dvema novinarkama koje rade u istoj redakciji.

Novinarka BIRN-a, koja je želela da ostane anonimna i koja je takođe višestruko nagrađivana sa višedecenijskim iskustvom, smatra da će se pokušaji špijunaže nastaviti.

„Verujem da nismo poslednji u redakciji koji će to da dožive. Imala sam osetljive kontakte u tom periodu – možda baš zbog tih izvora smo skrenuli pažnju na nas. U našem poslu svi imamo takve izvore i priče, tako da se neće završiti na nas dve. Ne moraju da mi ubacuju špijunski softver – mi tekstove objavljujemo javno, tako da svako iz službe može da ih pročita potpuno besplatno. Istrazivačko novinarstvo je patriotizam. Mi ne dobijamo značke i oružje, ne nosimo represivnu silu sa sobom, a otkrivamo ono što je važno da Srbiji bude bolje, jer otkrivamo ono što je loše.“

Amnesty International: Srpska država najverovatniji nalogodavac

Kompanija NSO Group navodi da se njihovi proizvodi koriste isključivo od “strane državnih obaveštajnih i policijskih agencija u borbi protiv kriminala i terorizma“. U pismu upućenom Amnesty International-u, NSO Group je navela da se svi njihovi sistemi “prodaju isključivo proverenim državnim korisnicima“. Kompanija NSO odgovorila je BIRN-u da se pridržava međunarodnih propisa o ljudskim pravima i izvoznih regulativa, te da ne može da prihvati nalaze Amnesty International dok ne sprovede internu evaluaciju.

U okviru ovog istraživanja, Amnesty International nije identifikovao nijednu drugu vladu osim srpske koja bi imala interes da cilja dve novinarke BIRN-a. Amnesty International zaključuje da postoji velika verovatnoća da su jedan ili više aktera iz državnog aparata Srbije, ili agenti koji deluju u njihovo ime, bili uključeni u ovu najnoviju upotrebu špijunskog softvera Pegazus za ciljanje dve istraživačke novinarke BIRN-a. Posebno zabrinjava činjenica da NSO Group očigledno i dalje omogućava korišćenje softvera Pegazus u Srbiji, uprkos dva prethodna izveštaja Amnesty International-a koji su dokumentovali njegovu zloupotrebu u zemlji. Licenca za korišćenje Pegazusa košta između 20.000 i 30.000 dolara po osobi.

Amnesty International se u novembru 2024. i ponovo u martu 2025. obratio Bezbednosno-informativnoj agenciji (BIA) u pokušaju da dobije odgovor na ova saznanja, ali do trenutka objavljivanja izveštaja nije primio nikakav odgovor.

Slučajevi dve novinarke BIRN-a predstavljaju četvrti i peti slučaj u poslednje dve godine u kojima je bezbednosna laboratorija Amnesty Internationala otkrila upotrebu špijunskog softvera Pegazus protiv predstavnika medija i civilnog društva u Srbiji. U novembru 2023. godine, Amnesty International i njegovi partneri Access Now, SHARE fondacija i Citizen Lab dokumentovali su da su dva člana srpskog civilnog društva bila meta napada špijunskim softverom koji ne zahteva nikakvu interakciju korisnika (zero-click napad). Istraživanje je takođe otkrilo i treći, ranije neprijavljen slučaj, u kojem je jedan srpski aktivista bio meta pokušaja infekcije Pegazusom putem linka koji zahteva jedan klik, još u julu 2023. godine.
Pored ranijih otkrića da srpske bezbednosne strukture koriste Cellebrite opremu za digitalnu forenziku mobilnih telefona i NoviSpy softver za praćenje, koji zahtevaju fizički pristup telefonu, upotreba Pegazus špijunskog softvera daje novu dimenziju, jer može da se instalira na telefon žrtve daljinskim putem i bez vidljivih tragova.

Pravno opasno, profesionalno neprihvatljivo, lično uznemirujuće

Rodoljub Šabić, bivši Poverenik za zaštitu podataka o ličnosti, ističe da je upotreba Pegazusa i sličnih programa izvan krivičnog postupka ili zaštite bezbednosti države – kažnjiva. „Nezakonita upotreba svih ovih ‘alata’ je, ako je praktikuje vlast, nespojiva sa idejom pravne države i ugrožava više ustavom zajamčenih prava građana. A sa aspekta slobode delovanja medija i novinara, dodatno je, posebno opasna, jer dovodi u pitanje jedan od fundamentalnih standarda novinarstva – tajnost novinarskog izvora“, kaže za BIRN Šabić.

Milorad Ivanović, glavni i odgovorni urednik BIRN Srbija kaže da napad na naše dve koleginice nije samo napad na njih dve – to je napad na ceo BIRN. “Iako je pokušaj špijunaže bio sofisticiran, poruka koju šalje je primitivna – da treba da ućutimo, da se povučemo, da se uplašimo. Ovo nas neće zaustaviti. Naprotiv – još odlučnije ćemo raditi ono što najbolje znamo: da otkrivamo istinu, štitimo izvore i služimo javnom interesu. Jer istinu ne možete ućutkati spyware-om. Možete je samo učiniti još neophodnijom”.

Novinarke BIRN-a kažu da ih ovo neće poremetiti u svakodnevnom radu na istraživačkim pričama. „Jeste mi sve ovo malo neprijatno, ali ne vidim zašto bih se povlačila pred pritiscima, jer svako u okviru svoje profesije nekim malim doprinosom može da dovede do toga da jednog dana živimo u nekom normalnijem društvu, ako ne sasvim sređenom“, kaže Jelena Veljković.

Druga novinarka BIRN-a kaže da je „ružno što je neko sebi dozvolio previše da zadire u intimu. Smatram ovo pokušajem sputavanja da radim posao, koji i inače radim u tenzičnim okolnostima. Dovelo me je do toga da se osetim na momenat besno i nesigurnije, a i da budem još opreznija – što očigledno nikad nije na odmet u 21.veku. Biću još opreznija i svima ostalima ću govoriti da budu oprezniji. Inače, nikad nisam praktikovala da one najbitnije informacije razmenjujem telefonom.“

Kako prepoznati da li ste napadnuti

Bezbednosna laboratorija Amnesty Internationala dala je nekoliko saveta koji mogu biti korisni novinarima, predstavnicima civilnog društva, i drugima koji mogu biti meta napada Pegazusa.

Taj špijunski softver može da se instalira putem napada bez ikakve interakcije korisnika (zero-click), ali i kroz napade koji zahtevaju samo jedan klik (1-click), gde je neophodno da meta otvori zlonamerni link kako bi došlo do infekcije uređaja.

Napadači koriste različite tehnike kako bi prevarili korisnika da otvori link – uključujući lažne web-stranice koje izgledaju kao legitimni sajtovi ili novinski članci. Ovi linkovi se najčešće šalju putem aplikacija za razmenu poruka, poput WhatsApp-a, SMS-a, Signala ili Vibera.

U svim pokušajima Pegazus napada, koje je bezbednosna laboratorija Amnesty International-a dokumentovala u Srbiji, jednokratni linkovi za infekciju bili su podešeni da preusmere korisnika na lažnu stranicu nekog domaćeg medija. 

Budite posebno oprezni kada dobijate linkove sa nepoznatih brojeva iz Srbije koje ne prepoznajete. Ciljani napadi često uključuju poruke koje su specifično prilagođene pojedincu – mogu sadržati lične informacije o vama ili vašem radu, kao i poruke koje izazivaju hitnost kako bi vas naterale da kliknete na zlonamerni link.

Ako ste primili slične poruke kao one opisane u ovom tekstu, obratite se BIRN Srbija, SHARE fondaciji, bezbednosnoj laboratoriji Amnesty International-a ili proverenim IT bezbednosnim stručnjacima.