Kada je 10. novembra prošle godine srpska ministarka za trgovinu, turizam i telekomunikacije Tatjana Matić, tokom dvodnevne zvanične posete Izraelu, razgovarala sa predstavnicima kompanije Cognyte Software “o mogućnostima saradnje na budućim projektima”, nije ni slutila da će se samo mesec dana kasnije ta firma, specijalizovana za proizvodnju bezbednosnih softvera, naći na spisku sedam kompanija čije profile je blokirao Facebook.
Prema istraživanju Facebooka, Cognyte je razvio program koji su koristili za špijuniranje novinara, opozicionih političara, članova civilnog društva i porodica političkih disidenata. Firma je objavljivala lažne profile na društvenim mrežama kako bi prikupili što više informacija o žrtvama, što su predstavnici Facebooka smatrali neprihvatljivim i zbog toga su ih stavili na “crnu listu”.
Na listi zabranjenih kompanija našla se i firma Cytrox iz Skoplja iza koje stoje bivši članovi izraelskih tajnih službi koji šire svoj uticaj na Balkanu. Firmu vodi sin jednog od najpoznatijih proizvođača vina u Severnoj Makedoniji, čiji gosti su često bili poznati političari iz regiona – među njima i srpski predsednik Aleksandar Vučić.
Prema analizi o korišćenju programa Cytrox, a koji je u decembru 2021. uradio Citizen Lab, istraživačko-tehnološka laboratorija pri Univerzitetu u Torontu koja se bavi pitanjima sajber bezbednosti, ustanovljeno je da se među korisnicima programa nalaze vlade Egipta, Jermenije, Madagaskara – ali i Srbije. Program su koristile za praćenje političara i novinara.
Analizirajući izraelske softvere za špijunažu, BIRN je proučio aktivnosti navedene dve firme – Cognyte i Cytrox – ali i još dve firme koje koriste srpske bezbednosne službe, ili su za njih bile zainteresovane – Circles i Cyberbit Solutions.
Sagovornici BIRN-a navode da pored toga što ove četiri firme imaju slična imena, imaju još sličnosti u svom radu – osnivači su im nekadašnji pripadnici elitnih izraelskih obaveštajnih službi i često su spremni da igraju van zakona kako bi došlio do informacija. Njihovi programi ne idu na “razbijanje” pojedinačnih aplikacija na telefonu, poput Whatsappa ili Vibera, nego teže da ostvare totalni pristup svim podacima na uređaju vodeći računa da ostave što manje tragova i dokaza o svojoj malicioznoj aktivnosti.
Međutim, sve ove firme su međusobni konkurenti koji žele da se probiju u nove zemlje i zauzmu svoj deo tržišnog kolača.
Izraelski softveri za špijunažu dospeli u žižu javnosti zbog zloupotrebe
Industrija malicioznih softvera za praćenje dospela je u žižu javnosti prošle godine zbog zloupotrebe sofisticiranog softvera za praćenje, Pegaz, kojim se i dalje služe mnoge autoritarne vlade u svetu. Pegaz, koji je dobio ime po krilatom konju iz grčke mitologije koji predstavlja simbol moći ratnika, proizvod kompanije izraelske NSO Grupe, može na daljinu da hakuje telefon i bez ikakvog traga dobije uvid u sve podatke na telefonu.
Istraživanje 17 medijskih organizacija objavljeno prošle godine na sajtu britanskog lista Gardijan pod nazivom Projekat Pegaz otkrilo je tragove izraelskog softvera za špijunažu Pegaz na oko 50 hiljada telefona, od kojih su neki pripadali uticajnim političkim liderima, kao na primer francuskom predsedniku Emanuelu Makronu. Nema podataka da srpske obaveštajne službe koriste ovaj program.
Evropski Supervizor za zaštitu podataka i mnoge civilne grupe širom sveta predlažu zabranu tehnologije ove vrste i upozoravaju da kompanije koje proizvode i prodaju ove programe ne mare za ljudska prava i beže od odgovornosti za zloupotrebu tehnologije od strane država. Oprema koja bi trebalo da služi za suzbijanje kriminala i terorizma uz sudsko odobrenje, sve više je poluga vlasti da vanzakonski nadgleda političke disidente, aktiviste, kritičare i novinare.
Rodoljub Šabić, bivši poverenik za zaštitu informacija od javnog značaja kaže za BIRN da se softverima za presretanje komunikacije služe ne samo državne strukture, već i kriminalci, biznismeni, političke stranke.
“Što se vlasti tiče postoje ne samo potencijali nego i realno zasnovane sumnje da se nove tehnologije zloupotrebljavaju. U prilog tome govore i izjave nekih od bivših rukovodilaca naših bezbednosnih struktura”, kaže Šabić.
On kao poseban problem navodi činjenicu da kod nas “nikakvim posebnim zakonom nije uređena oblast proizvodnje, prometa i korišćenja opreme za tajno prikupljanje podataka.”
Srpski stručnjaci u izraelskim kompanijama
Analiza BIRN-a pokazuje da saradnja između Srbije i izraelskih bezbednosnih firmi nije jednosmerna – samo kupovina opreme. Saradnja ide i u suprotnom pravcu: sve je više srpskih stručnjaka koji posao nalaze u ograncima izraelskih sajber kompanija.
“Industrija je toliko narasla da stručnjaci iz Bugarske, Srbije, Rumunije, Ukrajine nalaze svoje mesto u ovim firmama kojima trebaju obučeni ljudi iz Istočne i Jugoistočne Evrope”, kaže za BIRN novinar Asaf Gilead iz lista Globes, koji već godinama piše o razvoju izraelske sajber industrije.
On navodi da izraelske tehnološke firme imaju svoje istraživačke centre po celoj Istočnoj Evropi gde ima dosta kvalitetnog kadra u oblastima tehnologije i matematike. “Ova industrija zapošljava ljude iz izraelske vojske, ali to nije dovoljno”, objašnjava Asaf Gilead.
BIRN je stupio u kontakt sa nekoliko srpskih IT stručnjaka zaposlenih u ovim kompanijama, ali niko od njih nije bio spreman da razgovara. “Nažalost nisam u stanju da komentarišem na temu mog poslodavca sa novinarima ili medijama bilo kakvim”, rekla nam je jedna srpska državljanka zaposlena na visokoj poziciji u firmi Cognyte.
CYTROX: Rujno vino, pištolji i špijuniranje
Tridesetogodišnji Ivo Malinkovski, direktor kompanije Cytrox, pripada uticajnoj porodici iz Severne Makedonije koja se već dugi niz godina bavi vinarstvom, a ima i unosne poslove sa oružjem.
Njegov otac Ilija (Iki) Malinkovski, ljubitelj vina i vlasnik vinarije Kamnik nadomak Skoplja, dobar je prijatelj sa sada već bivšim premijerom, Zoranom Zaevim, koji svoje sastanke neretko drži u prostorijama vinarije Kamnik. Jedan od gostiju bio je srpski predsednik Aleksandar Vučić što se može videti na njegovom Instagram profilu.
Prema zvaničnim dokumentima, kompaniju Cytrox je u martu 2017. osnovalo šestoro biznismena – pet iz Izraela i jedan iz Mađarske. Pored organaka u Izraelu i Makedoniji, jedna od ispostavi firme nalazila se i u Budimpešti, ali je zbog lošeg poslovanja fokus rada firme prebačen na makedonsko predstavništvo.
Sagovornici BIRN Makedonija potvrđuju da je Ilija Malinkovski, otac sadašnjeg direktora kompanije, od početka prisustvovao pregovorima sa investitorima. Malinkovski to demantuje.
„Moji poslovni i lični kontakti nisu igrali nikakvu ulogu u imenovanju mog sina Ive Malikovskog za menadžera koji je bio zaposlen u lokalnoj kancelariji“, rekao je on za BIRN Makedonija negirajući da je učestvovao u osnivanju kompanije ili pregovaranju sa investitorima. Njegov sin Ivo Malinkovski nije želeo da razgovara sa novinarima BIRN-a.
U izveštaju Citizen Labs od kraja prošle godine stoji da je Cytrox napravio softver za nadzor (spajver) kojim su praćeni političari i novinari, a kao klijente su imali vlade država koje su spremne da plate za hakovanje svojih najglasnijih kritičara. Srbija je, prema ovom izveštaju, jedna od tih zemalja.
Facebook procenjuje da je program firme Cytrox bio korišćen za nadzor bar 50.000 ljudi u stotinama zemalja. Zbog toga je Facebook blokirao oko 300 Facebook i Instagram naloga povezanih sa ovom firmom.
Do danas nije poznato ko je naručilac ove opreme u Srbiji, niti ko su žrtve napada ovog softvera, ali trag o tome kako su žrtve u Srbiji hakovane postoji.
Svoj softver nazvali su “Predator”, po filmu u kome odred elitnih vojnika, na čelu sa Arnoldom Švarcenegerom, spašava taoce od gerilskih grupa. On po mnogo čemu podseća na ozloglašeni softver za praćenje “Pegaz”, proizvod izraelske NSO Grupe.
“Za razliku od ‘Pegaza’ koji može da hakuje telefon bez da žrtva klikne na link, ‘Predator’ zahteva da žrtva otvori link na telefonu. Funkcionišu na sličan način. Verujem da nova verzija ‘Predatora’ može da špijunira bez da žrtva klikne na nekakav link”, kaže za BIRN Filip Milošević iz SHARE fondacije .
“Predator” za napad koristi “rupe” u operativnim sistemima iOS i Android. “Sajber-napadi `Predatorom` su brižljivo prilagođavani ciljanim osobama”, stoji u izveštaju Facebooka, a Citizen Lab navodi da su za potrebe nepoznatog klijenta u Srbiji napravljeni Internet domeni “novosti.bid” i “politika.bid”, oponašajući zvanične medijske portale.
“Ako je na meti novinar, logično je da napadač napravi link koji deluje kao vest koja bi mogla da zanima žrtvu na sajtu popularnog medija”, kaže Filip Milošević iz SHARE fondacije.
BIRN je pronašao još nekoliko sumnjivih domena sa karakterističnim završetkom “.bid”, koji su izgleda bili rezervisani za žrtve u Srbiji. Pretpostavlja se da su i domeni “danas.bid”, “svetovid.bid” , “kormoran.bid” i “bumabara.bid” mogli biti zaraženi virusom. Posebno je interesantan domen “svetovid.bid” za koji postoji više indikatora da se radi o spajver programu, odnosno programu za nadzor.
Ono što je karakteristično za sve “.bid” domene je što su registrovani u Srbiji na dan 23. maj 2020. godine, izuzev domena “politika.bid” koji je kreiran dan pre, 22. maja 2020. godine, a kao zemlja registracije tog domena navode se Sjedinjene Američke Države.
U izveštaju Citizen Laba navodi se primer egipatskog opozicionara u egzilu u Turskoj Ajmana Nura, čiji je mobilni telefon bio zaražen “Predatorom” tako što su mu stizale poruke sa navodnim vestima o egipatskoj opoziciji i padu automobila sa mosta u Egiptu.
Stručnjaci iz SHARE fondacije objašnjavaju da se kompanija služila psihološkim manipulacijama, odnosno tehnikom “pecanja (phishinga)” kako bi pridobili poverenje žrtve. Ovakvi softveri koriste različite tehnike da izvuku što je veći broj podataka.
“Ti podaci uključuju sadržaj komunikacija iz chat aplikacija i SMS-a, email prepiske, lokacije uređaja, ali neki mogu i tajno da aktiviraju mikrofon, kameru, ili potpuno kloniraju aktivnosti na telefonu ili računaru”, objašnjava Milošević.
Kada je izveštaj o softveru “Predator” izašao u javnost, direktor i zaposleni u firmi Cytrox, sakrili su profile na društvenim mrežama. Bivši zaposleni sa kojima je BIRN stupio u kontakt pozivali su se na ugovor o zaštiti poslovne tajne i nisu želeli da govore.
Za to vreme, firma Cytrox je i dalje aktivna, a samo prošle godine je ostvarila profit od oko 1,5 miliona evra, prenosi BIRN Makedonija.
Ivo Malinkovski je firmu 2018. godine prodao kontraverznom izraelskom biznismenu Tal Dilijanu kada je Cytrox navodno zapao u probleme. Tal Dilijan je za kompaniju platio pet miliona dolara i tako “spasao firmu od potpune propasti”. Direktor kompanije je i dalje Ivo Malinkovski.
CIRCLES: Crni “špijunski kombi” vredan milione
Tal Dilijan je bivši komandant izraelske tajne službe “81”, elitne jedine za specijalne operacije izraelske vojne obaveštajne službe, za kojim je 2019. godine kiparska policija raspisala poternicu posle video snimka u kome je on javno promovisao svoj “špijunski kombi”.
Kada je Dilijan otvorio zatamnjena vrata na zadnjoj strani kombija, bacio je svetlo na do tada mračnu industriju špijunaže i prisluškivanja. Oprema za nadzor unutar kombija pripadala je njegovim firmama, a procenjena je na devet miliona dolara.
Oprema sa pripadajućim softverima za špijuniranje je mogla da sa telefona na udaljenosti od jednog kilometra od kombija izvuče sve Whatsapp poruke, Facebook razgovore, kontakte, pozive, pa čak i podatke sa zaštićene aplikacije Signal.
Dilijan je oslobođen optužbi, a nakon sukoba sa kiparskim vlastima preselio se u Grčku. Godine 2013. osnovao je u Izraelu firmu WiSpear, koja je imala predstavništva na Kipru i u Hrvatskoj. Sa ovom firmom 2018. godine kupuje gore navedenu makedonsku firmu Cytrox za pet miliona dolara.
Deset godina ranije, 2008, Tal Dilijan je osnovao kompaniju Circles koja se, između ostalog, bavila izradom softvera za nadzor. Prema podacima Citizen Lab-a, srpska obaveštajna agencija BIA je 2015. godine testirala ovaj izraelski softver za špijunažu.
“Identifikovali smo jedan Circles sistem u Srbiji, koji izgleda da je korišćen od BIA”, stoji u izveštaju Citizen Lab-a.
Kompanija je zbog zaštite svojih klijenata koristila šifrovan jezik u vidu marki automobila, pa tako su Saudijsku Arabiju u svojim dokumentima oslovljavali sa “Subaru”, Jordan sa “Jaguar”… Srbija je bila – “Škoda Samba”.
Tal Dilijan je sa još troje osnivača firme Circles prodao kompaniju 2014. godine kompaniji NSO Grupi, čiji je jedan od osnivača nekadašnji člana Mosada, izraelske obaveštajne službe. Tal Dilijan i osnivači kompanije Circles i danas su vrlo aktivni na polju obaveštajnog rada, uključujući i već spomenuto preuzimanje firme Cytrox.
Tal Dilijan nije odgovorio na pitanja BIRN-a o aktivnostima svojih kompanija u Srbiji. Iz NSO grupe dobili smo odgovor u kome stoji da zbog “ugovora i pitanja nacionalne bezbednosti, ne mogu ni da potvrde ni da demantuju informacije o navodnim klijentima”.
“NSO obezbeđuje softvere samo proverenim policijskim i obaveštajnim agencijama koji koriste ove sisteme poštujući lokalne zakone za borbu protiv kriminala”, stoji u odgovoru u kome se navodi da su njihovi proizvodi pomogli da se spasu hiljade života od terorističkih napada, teških zločina, kao i da se lociraju kidnapovana dec i pedofili.
COGNYTE: Trojanski konj na srpskim mrežama
“Cognyte ne privlači mnogo pažnje, za njih jedva da je neko čuo. Oni operišu ‘iz mraka”.
Na ovaj način je izraelsku bezbednosnu firmu sa čijim je čelnicima 10. novembra prošle godine razgovarala Tatjana Matić srpska ministarka za trgovinu, turizam i telekomunikacije, opisao izraelski novinar Asaf Gilead.
Mesec dana nakon sastanka Facebook je blokirao firmu zbog prodaje programa za špijuniranje, vladama Maroka, Meksika, Kenije. Srbija se navodi kao potencijalni korisnik programa. Firma Cognyte, pored sedišta u Izraelu, ima ogranke u Kipru, Bugarskoj, Rumuniji i još desetak zemalja širom sveta.
Ministarka Matić odbila je da za BIRN odgovori da li je uspostavljena saradnja i šta je tačno dogovoreno. Ni predstavnici kompanije Cognyte, koji su bili “na vezi” sa ministarkom, nisu odgovorili na pitanja BIRN-a.
O paprenim vrednostima ugovora između država sa firmom Cognyte pisao je magazin Globes u čijem tekstu stoji da je ugovor Ujedinjenih Arapskih Emirata sa izraelskom firmom vredeo nekoliko stotina miliona dolara. “Klijenti su najčešće službe bezbednosti koje koriste društvene mreže, dark web i telefone za praćenje kriminalaca. To postižu povezivanjem na telefonsku mrežu”, stoji u tekstu.
Da meta hakerskih napada nisu bili samo kriminalci, pokazao je izveštaj Facebooka koji navodi da je firma koristila lažne naloge na društvenim mrežama Facebook, Instagram, Youtube i drugim sajtovima, zarad prevare i uzimanja privatnih podataka političara i novinara.
“Za razliku od Cytrox-ovog softvera “Predator” koji direktno napada uređaj žrtve Cognyte softver prikuplja sve dostupne informacije o nekome kako bi napravio ‘dosije’ žrtve”, kaže Filip Miloševič iz SHARE fondacije.
Za “dosije” žrtve, kako kaže, potrebna je opsežna pretraga Interneta, društvenih mreža, blogova, foruma i procurelih ličnih podataka dostupnih na “Dark Web-u”.
Nakon što prikupi sve podatke o svojoj žrtvi, sajber napadač stupa u kontakt sa njom najčešće putem društvenih mreža pokušavajući da stekne poverenje. Filip Milošević iz SHARE fondacije dodaje da napadač čini sve da njegov profil na društvenoj mreži deluje što realnije. Ovo često uključuje pravljenje niza lažnih naloga, veb sajtova što zahteva ozbiljnu organizaciju kako bi sve delovalo legitimno.
Cognyte softver za praćenje koristile su tokom 2019. godine autoritarne vlade Indonezije i Azerbejdžana za špijuniranje članova LGBTQ zajednice, a u Južnom Sudanu za špijuniranje opozicije, aktivista i boraca za ljudska prava.
Na svom sajtu Cognyte promoviše softvere za bezbednosnu analitiku u cilju prevencije različitih vrsta pretnji. “Obaveštajna pretraga Interneta” je naziv jedne od Cognyte platformi koja između ostalog uključuje “prikriveno stupanje u kontakt sa ciljanim osobama” i “automatsko profilisanje osumnjičenih”. Druga platforma, “Pretraga sajber opasnosti” između ostalog nadgleda platforme za razmenu poruka i uživo nadgleda unapred određene ključne reči, osobe, imovinu i drugo.
CYBERBIT SOLUTIONS: Dugi noćni razgovori u hotelu
U noći marta 2017. godine, dok su gosti novobeogradskog hotela Crown Plaza spavali, predstavnici izraelske kompanije Cyberbit Solutions, deo moćne izraelske Elbit grupe, u tajnosti su demonstrirali prisutnima svoj moćni izraelski softver za špijunažu. Prema dostupnim informacijama, prezentacija je trajala do duboko u noć.
Predstavnici firme Cyberbit Solutions su tokom 2016. i 2017. godine odradili na desetine ovakvih prezentacija u osam zemalja sveta. Istraživanje Citizen Laba je pokazalo da su se demonstracije softvera van radnih sati održavale u prostorijama hotela, a tokom radnih sati u prostorijama potencijalnih klijenta. Na primeru Uzbekistana prezentacije Cyberbit-ovog softvera van radnih sati održale su se u hotelu Radison Blu u Taškentu, a tokom radnih sati u prostorijama nacionalne službe bezbednosti.
U Srbiji, kanadska organizacija Citizen Lab detektovala je aktivnost izraelskog softvera za špijunažu kompanije Cyberbit Solutions na dve lokacije na Novom Beogradu. Jedna lokacija je bila hotel Crown Plaza, a druga objekat do hotela, obe su deo grupacije Delta Holding, u vlasništvu Miroslava Miškovića. Ko je od srpskih predstavnika prisustvovao prezentacijama softvera i da li je neko u Srbiji kupio izraelski softver za špijunažu, iz kompanije Cyberbit nismo dobili odgovor.
Program funkcioniše tako što žrtva na email dobije link za video. Aktiviranjem linka, dolazi do instalacije softvera za praćenje, bez znanja žrtve. Za razliku od drugih programa koji su fokusirani na hakovanje telefona, ovaj softver može da hakuje samo računare.
U septembru 2017, Elbit Systems je saopštio da je reorganizova Cyberbit Solutions, tako što je poslove u vezi sa bezbednošću i obaveštajnim poslovima prebacila u Elbitov sistem koji se zove C4I. Istovremeno, Elbit je svoje komercijalne poslove nastavila da vodi pod imenom Cyberbit Ltd.
BIRN je kontaktirao i Elbit System i Cyberbit Ltd. Iz Elbita nije stigao odgovor, dok je iz Cyberbit stigao poduži mail koji je poslala jedna od direktorki kompanije Sigal Meged Rosen u kome je navela da njena kompanija radi samo “na razvijanju, promociji i prodaji odbrambenih sajber proizvoda koji su namenjeni za odbranu od sajbernapada”.
“Cyberbit Solutions je pripojen Elbit Systems Grupi pre više od dve godine i ne postoji kao posebna kompanija. Sličnost u nazivima obe kompanije može stvoriti konfuziju ali to je bitno razlikovati ove dve kopanije, koje su zasebni entiteti”, kaže Meged Rosen.
Na kraju, ona je zamolila “da je pominjemo Cybebit LTD u bilo kom tekstu koji planiramo da napišemo”. “Dodatno zahtevamo da izbegnete bilo kakvo pominjanje Cyberbit”, navela je predstavnica kompanije.
Usred procesa reorganizacije kompanija, a par meseci nakon što je aktivnostCyberbit-a registrovana u Srbiji, Aleksandar Vulin, tada ministar odbrane, je tokom zvanične posete Izraelu obišao kompaniju Cyberbit “radi otpočinjanja saradnje”, kako stoji u saopštenju Ministarstva odbrane Srbije iz jula 2017. godine.
Pored programa za sajber napade, kompanija Cyberbit LTD aktivna je na polju sajber bezbednosti i izradi platforma za simulaciju sajber napada. Jedan takav program za simulaciju sajber napada “Cyberbit/CyberRange” je odeljenju RATEL-a za informacionu bezbednost (CERT) prošle godine donirala Kraljevina Norveška. Specijalizovani francuski portal IntelligenceOnline navodi da programe kompanije Cyberbit LTD u Srbiju distribuira austrijska firma Softprom.
Izraelski softveri za špijunažu – borba za lidersku poziciju
Iako gledajući sa strane izraelska industrija bezbednosne opreme deluje jedinstvena i homogena, ispod površine vodi se pravi mali rat nekoliko grupa koje se bore za prevlast.
Najjaču struju predvodi NSO Grupa, koja se prošle godine našla u nemilosti nakon niza skandala zbog zloupotrebe njenog softvera za praćenje Pegaz. Slabljenje NSO Grupe otvorilo je prostor na tržištu za jačanje drugih igrača.
Kao glavne takmace u ovoj borbi portal Globes navodi izraelske firme Cytrox i Cognyte. Srbija kao mogući partner obe kompanije izgleda ne mari kom taboru će se prikloniti.
Izraelski novinar Asaf Gilead smatra da je Cognyte ta koja preti da postane lider u oblasti sajber napada. “Cognyte teži da zameni NSO Grupu. Ako je NSO Grupa kao Porše, Cognyte je Micubiši ove industrije”, kaže Asaf.
“Ova industrija će zasigurno rasti, samo je pitanje kojom brzinom. I sami vidite koliko novca se sliva u izraelske firme. Ipak, moram da napomenem da većina ovih firmi nisu potpuno izraelske. Vlasnički udeo imaju fondovi iz raznih zemalja. Direktor firme je možda izraelski čovek, ali su na nižim pozicijama strani državljani”, kaže za BIRN izraelski novinar Asaf Gilead.
