Dziennikarze i inni członkowie społeczeństwa obywatelskiego zostali ostrzeżeni o możliwym włamaniu do ich urządzeń, a WhatsApp powiedział Guardianowi, iż ma „dużą pewność”, iż 90 użytkowników, o których mowa, zostało zaatakowanych i „prawdopodobnie skompromitowanych”.

Nie jest jasne, kto stał za atakiem. Podobnie jak inni producenci systemu szpiegującego, oprogramowanie hakerskie Paragon jest używane przez klientów rządowych, a WhatsApp powiedział, iż nie był w stanie zidentyfikować klientów, którzy zlecili rzekome ataki.

Eksperci stwierdzili, iż celem był atak typu „zero-click”, co oznacza, iż cele nie musiałyby klikać żadnych złośliwych linków, aby zostać zainfekowanym.

WhatsApp odmówił ujawnienia, gdzie mieszkają dziennikarze i członkowie społeczeństwa obywatelskiego, w tym czy mieszkają w USA.

Paragon ma biuro w USA w Chantilly w stanie Wirginia. Firma spotkała się z niedawną kontrolą po tym, jak magazyn Wired poinformował w październiku, iż zawarła umowę o wartości 2 milionów dolarów z wydziałem dochodzeń w sprawie bezpieczeństwa wewnętrznego US Immigration and Customs Enforcement.

Oddział podobno wydał nakaz wstrzymania prac nad umową, aby sprawdzić, czy jest ona zgodna z rozporządzeniem wykonawczym administracji Bidena, które ograniczało stosowanie systemu szpiegującego przez rząd federalny. Administracja Trumpa uchyliła dziesiątki rozporządzeń wykonawczych administracji Bidena w ciągu pierwszych dwóch tygodni urzędowania, ale zarządzenie z 2023 r., które zakazywało używania systemu szpiegującego stanowiącego zagrożenie dla bezpieczeństwa narodowego, pozostaje w mocy.

WhatsApp poinformował, iż wysłał Paragonowi list o „zaprzestaniu działalności” i iż bada swoje możliwości prawne. WhatsApp powiedział, iż domniemane ataki zostały przerwane w grudniu i iż nie jest jasne, jak długo cele mogły być zagrożone.

Firma w tej chwili powiadamia ofiary domniemanego włamania, z którymi skontaktuje się WhatsApp.

„WhatsApp zakłócił kampanię systemu szpiegującego prowadzoną przez Paragon, która była wymierzona w wielu użytkowników, w tym dziennikarzy i członków społeczeństwa obywatelskiego. Skontaktowaliśmy się bezpośrednio z osobami, które naszym zdaniem zostały dotknięte tym problemem. Jest to najnowszy przykład tego, dlaczego firmy zajmujące się oprogramowaniem szpiegującym muszą zostać pociągnięte do odpowiedzialności za swoje bezprawne działania. WhatsApp będzie przez cały czas chronić zdolność ludzi do prywatnej komunikacji” – powiedział rzecznik firmy.

Paragon Solutions odmówiło komentarza.

Osoba zbliżona do firmy powiedziała Guardianowi, iż Paragon miał 35 klientów rządowych, iż wszyscy z nich mogą być uważani za demokratycznych i iż Paragon nie prowadził interesów z krajami, w tym z niektórymi demokracjami, które wcześniej były oskarżane o nadużywanie systemu szpiegującego. Osoba ta powiedziała, iż obejmuje to Grecję, Polskę, Węgry, Meksyk i Indie.

Oprogramowanie szpiegujące Paragon jest znane jako Graphite i ma możliwości porównywalne z oprogramowaniem szpiegującym Pegasus firmy NSO Group. Gdy telefon zostanie zainfekowany Graphite, operator systemu szpiegującego ma pełny dostęp do telefonu, w tym możliwość odczytywania wiadomości wysyłanych za pośrednictwem zaszyfrowanych aplikacji, takich jak WhatsApp i Signal.

Firma, która została założona przez byłego premiera Izraela Ehuda Baraka, była ostatnio przedmiotem doniesień medialnych w Izraelu, po tym jak poinformowano, iż grupa została sprzedana amerykańskiej firmie private equity, AE Industrial Partners, za 900 milionów dolarów.

Raporty sugerowały, iż transakcja nie uzyskała jeszcze pełnej aprobaty regulacyjnej w Izraelu. Broń cybernetyczna, taka jak Graphite i Pegasus, jest regulowana przez izraelskie ministerstwo obrony. The Guardian skontaktował się z firmą AE Industrial Partners z siedzibą w Boca Raton na Florydzie. Paragon nie jest wymieniony wśród inwestycji firmy na jej stronie internetowej.

„Od pewnego czasu Paragon ma reputację „lepszej” firmy zajmującej się oprogramowaniem szpiegującym, która nie jest zamieszana w oczywiste nadużycia, ale ostatnie rewelacje WhatsApp sugerują coś innego. To nie jest tylko kwestia zgniłych jabłek – tego typu nadużycia są cechą charakterystyczną branży komercyjnego systemu szpiegującego” – powiedziała Natalia Krapiva, starszy radca prawny ds. technologii w Access Now.

WhatsApp powiedział, iż uważa, iż tak zwany wektor lub sposób, w jaki infekcja została dostarczona użytkownikom, pochodził ze złośliwego pliku pdf, który został wysłany do osób, które zostały dodane do czatów grupowych. WhatsApp powiedział, iż może powiedzieć z „pewnością”, iż Paragon był powiązany z tym targetowaniem.

John Scott-Railton, starszy badacz w Citizen Lab na Uniwersytecie w Toronto, który śledzi i identyfikuje cyfrowe zagrożenia dla społeczeństwa obywatelskiego, powiedział, iż Citizen Lab dostarczył WhatsApp pewnych informacji, które pomogły firmie zrozumieć wektor, który został wykorzystany przeciwko użytkownikom firmy.

Oczekuje się, iż grupa opublikuje w przyszłości raport, który dostarczy więcej szczegółów na temat domniemanego ataku.

WhatsApp ogłosił tę wiadomość zaledwie kilka tygodni po tym, jak sędzia w Kalifornii orzekł na korzyść firmy w przełomowej sprawie przeciwko NSO Group, głośnemu producentowi systemu szpiegującego, który w 2021 roku został umieszczony przez administrację Bidena na czarnej liście departamentu handlu. Administracja Bidena poinformowała wówczas, iż umieściła NSO na tzw. liście podmiotów, ponieważ firma zaangażowała się w działania „sprzeczne z interesami bezpieczeństwa narodowego lub polityki zagranicznej Stanów Zjednoczonych”.

NSO lobbowało członków Kongresu, aby zostali usunięci z listy.

WhatsApp złożył pozew przeciwko NSO w 2019 roku po tym, jak poinformował, iż 1400 użytkowników zostało zainfekowanych oprogramowaniem szpiegującym firmy. W grudniu sędzia, Phyllis Hamilton, orzekła, iż NSO jest odpowiedzialne za ataki i iż NSO naruszyło stanowe i federalne przepisy dotyczące hakowania w USA oraz własne warunki korzystania z usługi WhatsApp.

WhatsApp twierdzi, iż dziennikarze i członkowie społeczeństwa obywatelskiego byli celem izraelskiego systemu szpiegującego | Aplikacja WhatsApp.

19.03.2025

Wcześniej poznaliśmy genezę powstania firmy Paragan Solutions a więc najwyższy czas przyjrzeć się bliżej systemowi inwigilacji GRAPHITE …

Według raportu Forbesa z 2021 roku, starszy dyrektor w Paragon powiedział, iż firma będzie sprzedawać tylko klientom rządowym, którzy „przestrzegają norm międzynarodowych i szanują podstawowe prawa i wolności” oraz iż „reżimy autorytarne lub niedemokratyczne nigdy nie będą klientami”.

Paragon Solutions (Stany Zjednoczone) Inc.

Paragon Solutions (US) Inc. została założona jako korporacja Delaware w marcu 2021 roku. W październiku 2022 roku Paragon US uzyskał certyfikat do prowadzenia działalności gospodarczej w Wirginii.

Kierownictwo Paragon US składa się z amerykańskiego personelu powiązanego z rządem USA, w tym weterana CIA, byłego członka służby i dyrektora programu marynarki wojennej, który pracował również w Twitterze, oraz byłego dyrektora ds. kontraktów w firmie zbrojeniowej L3Harris.

Paragon Rodzic Inc.

Zgodnie z dokumentacją korporacyjną, 13 grudnia 2024 r. wszystkie udziały w Paragon Israel zostały przeniesione do amerykańskiej firmy Paragon Parent Inc. Umowa ta była podobno warta 500 milionów dolarów z góry, z dodatkowymi 400 milionami dolarów do zapłaty, jeżeli Paragon Israel osiągnie wyznaczone cele w zakresie wydajności.

Paragon Parent Inc. została zarejestrowana w Delaware 7 października 2024 roku. Informacje dla akcjonariuszy spółki dominującej Paragon nie są publicznie dostępne, chociaż raporty sugerują, iż amerykańska firma private equity AE Industrial Partners (AEI) przejęła Paragon Israel z zamiarem fuzji z amerykańską firmą zajmującą się cyberbezpieczeństwem, REDLattice Inc.

Doniesienia o fuzji jeszcze bardziej wzmacniają powiązania wywiadowcze i wojskowe Paragonu na wysokim szczeblu. Zgodnie z ostatnimi dokumentami SEC, członkami zarządu firmy REDLattice, REDL Ultimate Holdings (firma powiązana z RedLattice zgodnie z dokumentami korporacyjnymi), są Andrew Boyd, były dyrektor wyższego szczebla w CIA i Siłach Powietrznych USA, oraz James McConville, były szef sztabu armii amerykańskiej.

Działalność firmy Paragon w USA

O ile specyfika relacji pomiędzy Paragon Solutions (US) Ltd. a Paragon Parent Inc. jest trudna do rozpoznania, o tyle obecność Paragon Solutions na rynku amerykańskim jest godna uwagi. W 2022 roku New York Times poinformował, iż Drug Enforcement Administration (DEA) użyła systemu szpiegującego Paragon Graphite. Z drugiej strony, niedawne kontrakty między Immigration and Customs Enforcement (ICE) a Paragon Solutions zostały podobno wstrzymane w ramach przeglądu Białego Domu pod koniec 2024 roku. Warto zauważyć, iż co najmniej 36 organizacji społeczeństwa obywatelskiego wyraziło zaniepokojenie i wezwało do przejrzystości po tym, jak ta umowa została po raz pierwszy zgłoszona przez Wired. Status tej umowy jest w tej chwili nieznany.

2. Mapowanie infrastruktury Paragon

Nasze początkowe dochodzenie w sprawie Paragon rozpoczęło się od mapowania infrastruktury, która naszym zdaniem jest wykorzystywana przez firmę Paragon i jej klientów rządowych do przeprowadzania lub wspierania ataków typu spyware. Ustaliliśmy, iż infrastruktura ta obejmowała serwery w chmurze, które prawdopodobnie zostały wynajęte przez firmę Paragon i/lub jej klientów, a także serwery prawdopodobnie hostowane na terenie firmy Paragon i jej klientów rządowych.

Poziom 1: Serwery skierowane do ofiar

W 2024 roku otrzymaliśmy wskazówkę od współpracownika na temat jednego elementu infrastruktury: nazwy domeny wskazującej na serwer, który zwrócił również kilka charakterystycznych certyfikatów TLS z podpisem własnym. Certyfikaty zawierały wiele ciekawych elementów, w tym różne brakujące informacje i charakterystyczny schemat nazewnictwa. Opracowaliśmy Fingerprint P1 dla tych certyfikatów:

Korzystając z tego odcisku palca, znaleźliśmy 150 powiązanych certyfikatów na Censys

przy czym około połowa certyfikatów jest aktywnie obsługiwana na adresach IP. Wydaje się, iż adresy IP pochodzą głównie od firm wynajmujących serwery w chmurze. Infrastruktura wydaje się być spójna z dedykowaną infrastrukturą dowodzenia i kontroli („Poziom 1„). Oczekujemy, iż urządzenia ofiar będą komunikować się z tą infrastrukturą pod pewnymi warunkami.

Przejście do poziomu 2: Paragon i punkty końcowe klienta

Podczas przeprowadzania naszego badania zaobserwowaliśmy dwa adresy IP warstwy 1 (pasujące do odcisku palca P1), które również zwróciły inny typ certyfikatu:

Pierwszy adres IP, 84.110.122[.]27, wydaje się być statycznym adresem IP geolokalizowanym do Izraela. Adres IP zwracał certyfikat do stycznia 2024 roku. Między lipcem 2023 r. a wrześniem 2023 r. zwrócił zarówno wspomniany certyfikat, jak i kilka certyfikatów Tier 1. Opracowaliśmy odcisk palca P2 dla tego certyfikatu:forti.external-Staging-02[.]comforti.external-Staging-02[.]com

Kiedy to sprawdziliśmy, Censys odnotował 47 certyfikatów

Dopasowania Odcisk palca P2. Wyniki obejmowały certyfikat z dokładnie tym samym podmiotem i nazwą wyróżniającą wystawcy, co certyfikat zwrócony przez drugi adres IP, 178.237.39[.]204. Jednakże certyfikat zwrócony przez 178.237.39[.]204 miał inny hash. Zauważyliśmy ponadto, iż w rzeczywistości wszystkie 47 certyfikatów pasujących do odcisku palca P2 miało „bliźniaczy” certyfikat, który nie pasował do odcisku palca P2, ale z identyczną nazwą wyróżniającą wystawcy i albo identyczną nazwą wyróżniającą podmiotu, albo identyczną nazwą wyróżniającą podmiotu, z wyjątkiem dodania subdomeny „forti” do nazwy zwyczajowej. Definiujemy certyfikaty pasujące do odcisku palca P2, a także ich bliźniaczych reprezentacji, jako certyfikaty warstwy 2.

Adresy IP, które zwracały te certyfikaty, często nie były serwerami opartymi na chmurze (jak w przypadku infrastruktury warstwy 1), ale były to adresy IP uzyskane od lokalnych operatorów telekomunikacyjnych. W związku z tym podejrzewaliśmy, iż mogą one być uruchamiane bezpośrednio z Paragonu i siedziby klienta.

Węzły poziomu 2 w Izraelu mają linki do „Paragon”

Analiza rekordów Censys pokazuje, iż w różnych momentach szereg statycznych adresów IP w Izraelu (84.110.47.82 – 84.110.47.86) zwracał certyfikaty poziomu 2:

Adresy IP w tym samym zakresie zwróciły również certyfikaty z podpisem własnym pasujące do odcisku palca P3:

Zestaw danych Certyfikaty Censys rejestruje łącznie osiem certyfikatów pasujących do odcisku palca P3 (chociaż zestaw danych Hosts rejestruje dodatkowe certyfikaty, których brakuje w zestawie danych Certyfikaty, być może z powodu utraty danych Censys w tym czasie).

We wszystkich przypadkach, w których zidentyfikowaliśmy, po zwróceniu certyfikatu „dashboard” zwracana była strona o tytule „Paragon”:

Link do „Grafitu”

Szukaliśmy powiązanych certyfikatów o tej samej nazwie „installerserver” dzięki odcisku palca P4:

W ten sposób uzyskano tylko jeden certyfikat, który nie został uwzględniony w wynikach Fingerprint P3: certyfikat najwyraźniej utworzony w listopadzie 2019 r. o nazwie organizacji „Graphite”.

Nie jest jasne, który adres IP zwrócił ten certyfikat, ponieważ historyczne dane Censys z tego okresu wydają się być niekompletne.

Przypisanie infrastruktury do Paragon

Podsumowując, mocne poszlaki potwierdzają związek między Paragonem a infrastrukturą, którą zmapowaliśmy. Znaleziona przez nas infrastruktura jest powiązana ze stronami internetowymi o nazwie „Paragon” zwracanymi przez adresy IP w Izraelu (gdzie Paragon ma swoją siedzibę), a także z certyfikatem TLS zawierającym nazwę organizacji „Graphite”, która jest nazwą systemu szpiegującego Paragon, oraz nazwę zwyczajową „installerserver” (Pegasus, konkurencyjny produkt szpiegujący, używa terminu „serwer instalacyjny” w odniesieniu do serwera zaprojektowanego do infekowania urządzenia oprogramowaniem szpiegującym).

Węzły poziomu 2 wyróżniają kilku potencjalnych klientów Paragon

Zidentyfikowaliśmy inne interesujące adresy IP najwyraźniej pozyskane od lokalnych firm telekomunikacyjnych, które zwróciły certyfikaty poziomu 2. Ponieważ adresy IP wydają się należeć do lokalnych firm telekomunikacyjnych, a nie do firm wynajmujących serwery w chmurze, podejrzewamy, iż te adresy IP należą do wdrożeń klientów Paragon. Zwracamy również uwagę, iż pierwsza litera pozornej „nazwy kodowej” każdego klienta jest zgodna z pierwszą literą kraju powiązanego z adresem IP klienta (z wyjątkiem przypadku Izraela).

Ponadto zauważyliśmy, iż certyfikaty poziomu 2 zostały zwrócone przez co najmniej jedenaście adresów IP, które geolokalizują się w niemieckim centrum danych Digital Realty, spółki holdingowej zajmującej się centrami danych. Wszystkie adresy IP były zarejestrowane na jeden identyfikator „Digital Realty DE IP Customer”, a zwrócone certyfikaty zawierały różne nazwy kodowe, takie jak „nelly”, „soundgarden”, „slash”, „galaxy” i „chance”. Ponadto użycie nazw takich jak „p-internal”, „p-external” oraz „access” i „management” prowadzi nas do przekonania, iż klientem Digital Realty może być Paragon. Ostatnio wydaje się, iż wdrożenia Paragon używają bardziej niejednoznacznych nazw kodowych w postaci fikcyjnych domen, takich jak „niespokojny poeta” lub „szczere ciasteczko”.

Należy pamiętać, iż ta metodologia nie może wyliczyć wszystkich klientów, ponieważ żadna usługa skanowania Internetu (np. Censys) nie ma pełnego historycznego wglądu w Internet przez cały czas. Ponadto niektórzy klienci prawdopodobnie podjęli działania, aby zapobiec ujawnieniu ich infrastruktury podczas skanowania Internetu. Na przykład Włochy są dopuszczonym klientem Paragon (patrz: Sekcja 4).

„Cap”: informacje rejestracyjne budzą wątpliwości Kanadyjczyków

Adres IP kanadyjskiego klienta Cap został przekazany do C06874702 klienta ARIN, o nazwie „Integrated Communications”. Przeszukaliśmy dane WHOIS firmy ARIN i znaleźliśmy pięciu dodatkowych klientów „Integrated Communications” w Kanadzie, wszyscy w Ontario (C02423261, C07940612, C09095096, C10862989, C10948330). Każdy klient kontroluje pojedynczy zakres 8 lub 16 adresów IP.

Adres jednego z klientów, C10862989, zgadza się z adresem „Ontario Provincial Police – General Headquarters”. Inne adresy klientów obejmują coś, co wydaje się być wspólnym magazynem, centrum handlowym, browarem i mieszkaniem. Niewielka liczba klientów o nazwie „Integrated Communications”, fakt, iż wszyscy tacy klienci w Kanadzie znajdują się w Ontario, oraz użycie adresu Policji Prowincji Ontario (OPP) dla jednego z nich, sugeruje, iż OPP jest potencjalnym klientem Paragon Solutions.

Historia kanadyjskich organów ścigania z inwigilacją

OPP była wcześniej powiązana z innymi przypadkami związanymi z zamówieniami publicznymi lub stosowaniem kontrowersyjnych technologii nadzoru. W 2019 roku Toronto Star poinformował, iż przez kilka lat OPP była jedyną służbą policyjną w Kanadzie, która zamówiła technologię symulatorów stacji bazowych (tj. sprzęt „Stingray”), który może być używany do przechwytywania prywatnej komunikacji. W 2020 roku The Citizen Lab poinformowało, iż OPP opracowało i wdrożyło technologię do zeskrobywania komunikacji z prywatnych, chronionych hasłem czatów internetowych bez uzyskania zgody sądowej na masowe przechwytywania.

W 2022 roku Królewska Kanadyjska Policja Konna (RCMP), kanadyjska policja narodowa, ujawniła, że RCMP używała systemu szpiegującego od niewymienionego z nazwy dostawcy. RCMP określiło oprogramowanie szpiegujące jako „narzędzie śledcze na urządzeniu” (ODIT)

, i stwierdził, iż w latach 2017-2022 wykorzystał ODIT w 32 dochodzeniach. RCMP nie konsultowała się ze społeczeństwem ani z Kanadyjskim Komisarzem ds. Prywatności w sprawie korzystania z ODIT. Kanadyjski minister bezpieczeństwa publicznego odmówił ujawnienia, którzy dostawcy dostarczali RCMP ODIT i nie zaprzeczył, iż inne agencje rządowe mogą również korzystać z ODIT.

Publiczne dane uzyskane i przeanalizowane przez The Citizen Lab sugerują, iż istnieje rosnący ekosystem możliwości systemu szpiegującego wśród służb policyjnych z siedzibą w Ontario. Zgodnie z publicznymi aktami sądowymi uzyskanymi przez The Citizen Lab, OPP wykorzystało ODIT RCMP w trakcie dochodzenia w 2019 r. do zainfekowania telefonu komórkowego w celu zdalnego przechwycenia prywatnej komunikacji. Wyrok Sądu Najwyższego w Toronto z 2023 r. opisuje wspólne dochodzenie między policją w Toronto i policją regionalną w Yorku, w którym śledczy rozważali użycie ODIT. Citizen Lab uzyskało również dodatkowy publiczny rejestr sądowy (wniosek o nakaz przeszukania z 2023 r.) przygotowany przez Toronto Police Service (TPS), z którego wynika, iż TPS niezależnie uzyskał oprogramowanie ODIT z nieznanego źródła. Aplikacja starała się o zezwolenie na korzystanie z systemu ODIT do zdalnego przechwytywania komunikacji komórkowej wysyłanej za pośrednictwem zaszyfrowanych komunikatorów internetowych.

W trakcie przygotowywania niniejszego raportu, dzięki nieformalnym konsultacjom, dowiedzieliśmy się również, iż inne sprawy, które były – lub są w tej chwili – rozpatrywane przez sądy w Ontario, dotyczą innych służb policyjnych, które w tej chwili również posiadają lub ubiegały się o zezwolenie na rozmieszczenie ODIT, w tym OPP, Regionalnej Służby Policyjnej w Yorku, Policji w Hamilton i Regionalnej Służby Policyjnej w Peel. Widoczne rozszerzenie możliwości systemu szpiegującego na potencjalnie wiele służb policyjnych w całym Ontario odzwierciedla pogłębiającą się lukę w świadomości publicznej dotyczącą zakresu, w jakim oprogramowanie szpiegowskie dla najemników jest wdrażane w Kanadzie.

3. Śledztwo w sprawie Paragon WhatsApp

Podzieliliśmy się z Meta szczegółami na temat mapowania infrastruktury Paragon (sekcja 2), ponieważ uważaliśmy, iż WhatsApp może zostać wykorzystany jako wektor infekcji. Meta powiedziała nam, iż te szczegóły były najważniejsze dla trwającego śledztwa w sprawie Paragon. Meta udostępniła WhatsApp informacje, które doprowadziły ich do zidentyfikowania, złagodzenia i przypisania exploita Paragon zero-click. 31 stycznia 2025 r. WhatsApp wysłał powiadomienia do około 90 kont WhatsApp, które ich zdaniem były celem systemu szpiegującego Paragon, w tym do dziennikarzy i członków społeczeństwa obywatelskiego.

Citizen Lab skoordynowało działania z WhatsApp, aby zapewnić, iż cele w społeczeństwie obywatelskim otrzymają dodatkowe wsparcie i opcjonalną analizę kryminalistyczną. We Włoszech kilka osób, które zdecydowały się wziąć udział w analizie kryminalistycznej dzięki Citizen Lab, publicznie wypowiedziało się na temat otrzymywania powiadomień od WhatsApp (sekcja 4). Są wśród nich dziennikarz i wielu członków społeczeństwa obywatelskiego, którzy pracują w organizacjach zajmujących się ratowaniem uchodźców i migrantów na morzu.

4. Cele Paragon: Włoskie połączenie

W tej sekcji opisano naszą analizę kryminalistyczną urządzeń celów, które otrzymały powiadomienia Paragon od WhatsApp, a także naszą analizę potencjalnie powiązanego przypadku iPhone’a.

Wielu odbiorców powiadomień WhatsApp we Włoszech zdecydowało się wziąć udział w programie badawczym The Citizen Lab i zlecić The Citizen Lab analizę kryminalistyczną ich urządzeń. Są oni wskazani poniżej, za ich zgodą:

• Francesco Cancellato jest redaktorem naczelnym Fanpage.it, włoskiego internetowego serwisu informacyjnego znanego z dziennikarstwa śledczego i reportaży na tematy polityczne. Gazeta donosiła o powiązaniach między elementami ekstremistycznymi a partią premier Włoch Meloni.
• Luca Casarini jest założycielem Mediterranea Saving Humans, organizacji znanej z ratowania migrantów z Morza Śródziemnego. Pan Casarini jest dobrze znany ze swojej krytyki traktowania migrantów przez rząd Meloni. Pan Casarini jest również osobistym przyjacielem papieża Franciszka.
• Dr Giuseppe „Beppe” Caccia jest włoskim naukowcem i współzałożycielem organizacji Mediterranea Saving Humans. Dr Caccia ściśle współpracuje z panem Casarinim.

Kryminalistyczne potwierdzenie infekcji Android Paragon

W trakcie naszego dochodzenia w sprawie Paragon uzyskaliśmy BIGPRETZEL, artefakt kryminalistyczny systemu Android, który naszym zdaniem jednoznacznie identyfikuje infekcje dzięki systemu szpiegującego Paragon Graphite. Przeanalizowaliśmy urządzenia z Androidem trzech osób zidentyfikowanych powyżej. Na podstawie otrzymania powiadomienia WhatsApp uważamy, iż wszyscy byli celem systemu szpiegującego Paragon. Znaleźliśmy ślady BIGPRETZEL na dwóch urządzeniach. WhatsApp potwierdził również The Citizen Lab, iż uważa, iż BIGPRETZEL można przypisać infekcji oprogramowaniem szpiegującym Paragon i dostarczył nam następujące oświadczenie:

Biorąc pod uwagę sporadyczny charakter dzienników Androida, brak znalezienia BIGPRETZEL na konkretnym urządzeniu nie oznacza, iż telefon nie został pomyślnie zhakowany, po prostu, iż odpowiednie dzienniki mogły nie zostać przechwycone lub mogły zostać nadpisane. Uważamy również, iż wskaźniki kryminalistyczne, które uzyskaliśmy podczas tej analizy, mogą nie oddawać w pełni pełnych retrospektywnych ram czasowych infekcji z tych samych powodów. Być może przed zaobserwowanym okresem miały miejsce infekcje, ale nie zostały one uchwycone w dziennikach. Nasza analiza kryminalistyczna jest w toku.

Telefon dr Caccia kilkakrotnie wykazywał ślady BIGPRETZELA, co wskazuje na to, iż oprogramowanie szpiegujące Paragon działało w tym czasie lub w jego pobliżu:

Ponadto analiza telefonu dr Caccia wykazała dowody na to, iż oprogramowanie szpiegujące zainfekowało również dwie inne aplikacje na urządzeniu, w tym popularną aplikację do przesyłania wiadomości. Udostępniliśmy wskaźniki kryminalistyczne twórcom tej aplikacji, którzy potwierdzają, iż ich dochodzenie jest w toku.

Telefon pana Casariniego pokazał ślady BIGPRETZEL przynajmniej w jednej randce:

Biorąc pod uwagę ograniczoną liczbę dostępnych wskaźników, nie byliśmy w stanie określić, czy oprogramowanie szpiegujące załadowało się do innych aplikacji na urządzeniu pana Casariniego, ale nie możemy wykluczyć takiej możliwości.

Powiązana ofiara systemu szpiegującego iPhone’a: czy to Paragon?

13 listopada 2024 r. (około dwa i pół miesiąca przed powiadomieniami WhatsApp) David Yambio – bliski współpracownik pana Casariniego i dr Caccia – został powiadomiony przez Apple, iż jego iPhone został zaatakowany przez najemnicze oprogramowanie szpiegujące.

Pan Yambio jest mieszkającym we Włoszech założycielem organizacji Refugees in Libya (Uchodźcy w Libii). Jego praca skupia się na działaniach na rzecz ratowania życia migrantów przekraczających Morze Śródziemne oraz na pomaganiu ofiarom w dochodzeniu sprawiedliwości i pociągnięcia do odpowiedzialności za nadużycia popełnione w Libii. Jest byłym dzieckiem-żołnierzem porwanym przez Armię Bożego Oporu, które ostatecznie uciekło i zdołało dotrzeć do Europy, gdzie ubiegało się o azyl. Podczas tej podróży był torturowany w areszcie w Libii.

Po otrzymaniu powiadomienia od Apple, pan Yambio skontaktował się z ekspertem ds. bezpieczeństwa cyfrowego Arturem Papyanem z Cyber HUB-AM w celu uzyskania pomocy. Pan Papyan przeprowadził wstępne badanie przesiewowe urządzenia wspierane przez The Citizen Lab, które zidentyfikowało potencjalne anomalie. Natychmiast rozpoczęliśmy dochodzenie w sprawie pana Yambio, a pan Papyan udzielił szerokiego wsparcia w zbieraniu artefaktów kryminalistycznych z urządzenia.

W trakcie naszego śledztwa wielu bliskich współpracowników pana Yambio otrzymało również powiadomienia od WhatsApp dotyczące kierowania Paragon na ich urządzenia z Androidem, w tym pan Casarini i dr Caccia.

Analiza urządzenia pana Yambio

Odkryliśmy, iż 13 czerwca 2024 r. urządzenie pana Yambio wykazywało wyraźne oznaki nieprawdopodobnej aktywności CloudKit związanej z procesem appleaccountd. Nazywamy tę czynność SMALLPRETZEL. Urządzenie nie uzyskało pozytywnego wyniku testu na żadne wskaźniki, które łączymy z innymi typami systemu szpiegującego, w tym Pegasus firmy NSO Group, Predator firmy Intellexa, Reign, Triangulation firmy QuaDream i inne.

Za zgodą pana Yambio udostępniliśmy firmie Apple dane kryminalistyczne, w tym SMALLPRETZEL. Firma Apple potwierdziła nam, iż nasze ustalenia kryminalistyczne pasują do ataku, który zidentyfikowali, zbadali i złagodzili w systemie iOS 18. Firma Apple dostarczyła nam następujące oświadczenie:

Linki do Paragonu?

Chociaż oczywiste jest, iż podjęto próbę zainfekowania urządzenia pana Yambio oprogramowaniem szpiegującym, nie możemy jeszcze ustalić rozstrzygającego związku technicznego między SMALLPRETZEL a jakimkolwiek konkretnym typem systemu szpiegującego. To powiedziawszy, zauważamy, iż istnieją pewne czynniki kontekstowe, które sugerują, iż oprogramowanie szpiegujące użyte przeciwko panu Yambio mogło być również Graphite firmy Paragon. W szczególności pan Yambio ściśle współpracuje z grupą potwierdzonych kryminalnie celów Paragonu i osobami powiadomionymi przez WhatsApp. Chociaż w tej chwili nie przypisujemy tego ataku firmie Paragon, przez cały czas badamy tę sprawę.

Dodatkowe wcześniejsze kierowanie

Pan Casarini otrzymał również 8 lutego 2024 r. powiadomienie od Meta dotyczące kierowania wspieranego przez rząd. Ojciec (Don) Mattia Ferrari, włoski ksiądz i kapelan organizacji Mediterranea Saving Humans, również otrzymał powiadomienie Meta tego samego dnia co pan Casarini. Pan Ferrari, podobnie jak pan Casarini, jest osobistym przyjacielem papieża Franciszka i zarządza relacjami grupy z Konferencją Episkopatu Włoch.

W tym samym czasie, co powiadomienia, Meta opublikowała szeroko zakrojony raport zatytułowany „Przeciwdziałanie branży nadzoru na zlecenie”. W raporcie wymieniono kilku dostawców, których technologia, w tym oprogramowanie szpiegujące, była wykorzystywana przeciwko celom we Włoszech.

Powiadomienia są interesujące, ponieważ rozszerzają okno czasowe potencjalnego namierzania dzięki systemu szpiegującego i sugerują, iż wiele rodzajów systemu szpiegującego może być wykorzystywanych w ramach powiązanych ze sobą operacji inwigilacji.

Ukierunkowane na operacje ratownictwa morskiego społeczeństwa obywatelskiego: uwagi na temat możliwego klastra

Podobnie jak w innych krajach, kwestie migracji i uchodźców są we Włoszech tematem spornym. Położenie geograficzne Włoch sprawia, iż są one naturalnym pierwszym punktem lądowania dla osób uciekających przed konfliktami i ubóstwem w regionie Sahelu i Subsaharyjskim.

Migranci i uchodźcy zwykle używają do tego celu improwizowanych lub niepewnych łodzi, co doprowadziło do wielu tragicznych katastrof morskich. W ciągu ostatniej dekady ponad 30 000 migrantów i uchodźców zginęło podczas próby przedostania się przez Morze Śródziemne. Organizacje społeczeństwa obywatelskiego prowadzą humanitarne operacje poszukiwawczo-ratownicze (SAR) w celu zmniejszenia liczby ofiar śmiertelnych i zapewnienia bezpieczeństwa migrantom i uchodźcom w najbliższym porcie lądowania, który często znajduje się we Włoszech.

W ciągu ostatnich dwóch lat organizacje humanitarne działające w tym miejscu spotkały się z rosnącą presją ze strony władz włoskich. Na przykład na początku 2023 r. włoski parlament uchwalił zaproponowaną przez rząd ustawę zwiększającą restrykcje dotyczące operacji SAR. Ustawa została potępiona przez Wysokiego Komisarza ONZ ds. Praw Człowieka jako „skutecznie karząca zarówno migrantów, jak i tych, którzy starają się im pomóc”.

Potencjalny związek między różnymi celami wzorcowymi

Jest oczywiste, iż pan Casarini, dr Caccia i pan Yambio ściśle ze sobą współpracują. W rozmowie z The Citizen Lab powiedzieli, iż uważają, iż zostali zaatakowani w oparciu o to powiązanie oraz ich zbiorową pracę i krytykę podejścia włoskiego rządu do konkretnych kwestii związanych z migracją. Włoskie media spekulowały również na temat konkretnych implikacji czasu namierzania i jego związku z ich działalnością rzeczniczą.

Chociaż nasze ustalenia kryminalistyczne obejmują daty infekcji dla każdej osoby, jak zauważyliśmy powyżej (patrz: Kryminalistyczne potwierdzanie infekcji Android Paragon), targetowanie mogło w rzeczywistości rozszerzyć się przed datami, które znaleźliśmy. Zwracamy na przykład uwagę na powiadomienie wysłane przez Meta w lutym 2024 r. do panów Casariniego i Ferrari w sprawie kierowania dzięki prawdopodobnie innej technologii nadzoru (patrz wyżej: Dodatkowe wcześniejsze targetowanie)

Sprzeczna reakcja Włoch na rewelacje dotyczące Wzorców

Reakcja rządu włoskiego na sytuację z Paragonem ewoluowała z biegiem czasu. Zgodnie ze znanym schematem, który rozpoczął się od zaprzeczeń, włoski rząd został zmuszony do uznania kontraktów z Paragon Solutions. Reakcja rządu charakteryzowała się jednak brakiem jasności, przejrzystości i szczegółowości w odniesieniu do zgłoszonych do tej pory przypadków.

• 6 lutego 2025 r. włoski rząd wydał oświadczenie, w którym zaprzeczył, jakoby wiedział o aferze.
• Później tego samego wieczoru The Guardian opublikował raport, w którym stwierdzono, iż Paragon anulował umowę z dwoma włoskimi klientami. W raporcie wskazano, iż Paragon otrzymał niezadowalające odpowiedzi na pytania dotyczące spraw włoskich.
• Drugi raport Haaretz wskazał na dwóch klientów włoskiego Paragonu: jednostkę ścigania i jednostkę wywiadowczą.
• 12 lutego 2025 r. włoski minister ds. relacji z parlamentem publicznie potwierdził, iż rząd jest klientem Paragonu, twierdząc, iż wszystkie powiązane systemy są przez cały czas aktywne, jednocześnie zaprzeczając, iż krajowe służby wywiadowcze szpiegowały znane cele.
• Tego samego dnia dyrektor zewnętrznej służby wywiadowczej (AISE) potwierdził, iż oprogramowanie szpiegowskie Paragon Graphite było wielokrotnie wykorzystywane przez jego agencję i przedstawił je komisji parlamentarnej nadzorującej służby wywiadowcze podczas niejawnego przesłuchania. Zaprzeczył, jakoby agencja szpiegowała dziennikarzy i aktywistów.
• W dniu 14 lutego 2025 r. rząd włoski oświadczył, iż wraz z Paragonem wspólnie zgodził się zawiesić rozmieszczenie do czasu przeprowadzenia dochodzenia.
• W dniu 19 lutego 2025 r. rząd wystosował pismo do parlamentu, w którym stwierdził, iż nie może odpowiedzieć na zapytania parlamentarne w sprawie afery Paragon, ponieważ wszelkie informacje, które nie zostały jeszcze ujawnione, powinny zostać uznane za utajnione.
• Na posiedzeniu parlamentu, które nastąpiło później, minister sprawiedliwości zaprzeczył jednak temu stwierdzeniu, odpowiadając na pytania partii opozycyjnych i stwierdzając, iż żadna agencja podlegająca jego ministerstwu nie zawarła umowy z Paragonem.

Historia szpiegowskiego systemu szpiegującego dla najemników we Włoszech

Włochy są prawdopodobnie najbardziej znane jako producent, a nie klient najemniczego systemu szpiegującego. W raporcie z marca 2023 r . zwrócono uwagę na kilka najemnych firm szpiegowskich działających wówczas z Włoch, w tym AREA, RCS, SIO, INNOVA, Memento Labs (wcześniej znany jako Hacking Team), Raxir, Negg i Cy4gate.

W niedawnym raporcie Komisji Weneckiej w sprawie regulacji systemu szpiegującego w Unii Europejskiej zauważono, iż korzystanie z systemu szpiegującego jest regulowane przez prawo włoskie. Ramy postępowania karnego ograniczają jej stosowanie do „szczególnie poważnych przestępstw (takich jak na przykład związek przestępczy typu mafijnego)” lub, w ograniczonych okolicznościach, „w przypadku przestępstw popełnionych przez funkcjonariuszy publicznych przeciwko administracji publicznej”, za które grozi kara pozbawienia wolności, której górna granica wynosi co najmniej pięć lat. W raporcie zauważono, iż oprócz innych ograniczeń, zgodnie z prawem krajowym we Włoszech należy uzyskać zgodę na stosowanie ukierunkowanych środków nadzoru.

Wniosek: Nie możesz zabezpieczyć się przed nadużyciami najemnego systemu szpiegującego

Paragon Solutions to stosunkowo nowy uczestnik ekosystemu najemniczego systemu szpiegującego. Podobnie jak wiele innych najemniczych firm zajmujących się oprogramowaniem szpiegującym, Paragon wydaje się agresywnie dążyć do uzyskania dostępu do rynku amerykańskiego. Istnieje wiele powodów, dla których kładziemy nacisk na dostęp do rynku amerykańskiego: jest on duży, lukratywny, a firmy zajmujące się oprogramowaniem szpiegującym mają doświadczenie w rozważaniu posiadania klientów z USA jako rodzaju ochrony.

W następstwie działań Białego Domu i Kongresu mających na celu zahamowanie rozprzestrzeniania się systemu szpiegującego przez najemników, prawdopodobnie wzrosły zachęty dla komercyjnych firm szpiegowskich do szukania „dobrej strony” rządu. Obejmuje to wyraźnie lobbing wewnętrzny i komunikaty publiczne, które mają na celu przedstawienie tych firm jako zgodnych z priorytetami USA.

Strategia komunikacyjna Paragon koncentruje się na przedstawieniu siebie jako przyjmującego inne podejście niż NSO Group w odniesieniu do bazy klientów, technologii i zabezpieczeń. Duża część tego marketingu wydaje się koncentrować na próbie przekonania USA, iż firma jest zgodna z amerykańskimi interesami.

Paragon w szczególności zabiega o uwagę mediów twierdząc, iż sprzedając tylko wybranej grupie rządów, mogą uniknąć skandali związanych z nadużyciami, które nękają ich rówieśników. Ukryty przekaz: jeżeli nie sprzedajesz autokratom, twój produkt nie będzie używany lekkomyślnie i w sposób antydemokratyczny. Historia pokazuje nam jednak, iż nie zawsze tak jest. Wiele demokratycznych państw ma historię wykorzystywania tajnych uprawnień i technologii inwigilacji przeciwko dziennikarzom i członkom społeczeństwa obywatelskiego.

Najemne oprogramowanie szpiegowskie nie jest wyjątkiem, a wiele demokracji wdraża oprogramowanie szpiegujące przeciwko dziennikarzom, obrońcom praw człowieka i innym członkom społeczeństwa obywatelskiego. Rzeczywiście, organizacje działające przeciwko rozprzestrzenianiu się i nadużywaniu systemu szpiegującego, w tym Citizen Lab, ostrzegają, iż pokusa korzystania z tej technologii w sposób naruszający prawa jest tak wielka, iż choćby w demokracjach będzie ona nadużywana.

Ogólnie rzecz biorąc, przypadki opisane w niniejszym raporcie sugerują, iż twierdzenia Paragon, iż znaleziono model biznesowy odporny na nadużycia, mogą nie wytrzymać analizy. Zdajemy sobie sprawę, iż niniejszy raport nie ma na celu objęcia całością spraw dotyczących Paragonu, ale raczej zestawem przypadków, w których cele zdecydowały się ujawnić w tym momencie i w naszym sprawozdaniu. Jednak wzorzec w tych przypadkach podważa podejście marketingowe Paragon, który twierdził, iż firma będzie sprzedawać tylko klientom, którzy „przestrzegają norm międzynarodowych i szanują podstawowe prawa i wolności”.

Ten raport jest pierwszym krokiem w kierunku zrozumienia zakresu i skali potencjalnych nadużyć systemu szpiegującego Paragon. 90 celów zgłoszonych przez WhatsApp prawdopodobnie stanowi ułamek całkowitej liczby przypadków Paragon. Jednak w sprawach, które już zostały zbadane, istnieje niepokojący i znajomy wzorzec atakowania grup praw człowieka, krytyków rządu i dziennikarzy.

Zmierzch kryminalistyki?

W tradycyjnych przypadkach włamania na urządzenia mobilne osoba atakująca wykorzystuje luki w zabezpieczeniach urządzenia i aktywuje funkcjonalność systemu szpiegującego, wywołując własną aplikację lub proces. Ta aplikacja lub proces musi następnie wykonywać pewne uprzywilejowane akcje na urządzeniu, co może pozostawić skutki uboczne, które analityk śledczy może później zaobserwować.

Paragon przyjmuje inne podejście: w technice przypominającej oprogramowanie szpiegujące dla Androida wdrożone przez cyberprzestępcę Poison Carp, Paragon wydaje się po cichu ładować swoje oprogramowanie szpiegujące do istniejących legalnych aplikacji i procesów urządzenia, które służą jako nieświadomi gospodarze systemu szpiegującego. Takie podejście jest ostatecznie mniej prawdopodobne, iż pozostawi oczywiste dowody kryminalistyczne, które analityk z urządzeniem w ręku może łatwo znaleźć; Analityk prawdopodobnie potrzebowałby szczegółowej wiedzy na temat działania każdej aplikacji hosta, aby dojść do wniosku, iż urządzenie zostało naruszone.

Podejście Paragon zostało porównane do „broni hipersonicznej w kategoriach cyberbezpieczeństwa”, ale lepiej rozumieć je jako kompromis. Skupienie się na kierowaniu na legalne aplikacje jest z pewnością mnożnikiem trudności dla analizy kryminalistycznej, ale prawdopodobnie zwielokrotni również liczbę podmiotów, które mają wgląd w działania Paragon, biorąc pod uwagę, iż twórcy aplikacji zbierają dane diagnostyczne, raporty o awariach i inne dane telemetryczne ze swoich aplikacji. Świadczy to o wartości współpracy między społeczeństwem obywatelskim, ekspertami kryminalistycznymi i zespołami ds. analizy zagrożeń platform technologicznych.

Powiadomienia i ekosystem odpowiedzialności za oprogramowanie szpiegujące: najważniejsze składniki

Kiedy WhatsApp zdecydował się powiadomić cele Paragon i wyraźnie określić ich atrybucję, wykonał istotną przysługę, ponieważ ostrzeżenia dla użytkowników o atakowaniu najemników są kluczowym elementem rosnącego ekosystemu odpowiedzialności za nadużycia systemu szpiegującego dla najemników.

Obecnie kilka największych firm ma coraz bardziej dojrzałe procedury powiadamiania i język. Powiadomienia te często prowadzą do organicznego napływu spraw do organizacji społeczeństwa obywatelskiego i telefonów zaufania. Ta pomoc jest szczególnie ważna, ponieważ firmy takie jak Paragon zmieniają taktykę w sposób, który może być bardziej widoczny dla twórców aplikacji, a być może mniej dla analityków śledczych.

Przypadki opisane w tym raporcie pozostałyby w dużej mierze niewykryte, gdyby WhatsApp i Apple nie powiadomiły użytkowników. Sprawa pana Yambio zwróciła naszą uwagę dzięki Cyber Hub-AM, z którym skontaktował się po otrzymaniu powiadomienia od Apple. Przypadek ten wskazuje również na znaczenie ekosystemu organizacji pracujących nad najemniczym oprogramowaniem szpiegującym.

Czas na pytania

Odnotowujemy doniesienia medialne, iż oprogramowanie szpiegujące Graphite firmy Paragon prowadzi „szczegółowe dzienniki” na terenie klientów rządowych. Biorąc pod uwagę obawy związane z publicznie znanymi celami we Włoszech, rejestry te powinny być naturalnym celem wszelkich oficjalnych dochodzeń w sprawie doniesień o nadużyciach. Mogą one również pomóc w lepszym zrozumieniu zakresu i skali stosowania we Włoszech.

Nawet jeżeli najemne oprogramowanie szpiegowskie zostało nabyte w głównym celu, takim jak prowadzenie dochodzeń w sprawie zorganizowanych grup przestępczych, doświadczenie pokazuje, iż z biegiem czasu pokusa wykorzystania tych potężnych technologii do celów politycznych jest znacząca. Przypadek Meksyku jest dobrą ilustracją tego zjawiska, ponieważ nadużycia związane z oprogramowaniem szpiegującym Pegasus są powiązane z dwoma kolejnymi rządami.

Podczas gdy śledztwa takie jak to mogą skrupulatnie gromadzić przypadki i podejrzenia wdrożenia, istnieje inne miejsce, w którym istnieją sygnały dotyczące używania (i nadużyć) systemu szpiegującego: u klientów rządowych firm zajmujących się oprogramowaniem szpiegującym. Nasza analiza infrastruktury ujawniła dowody na istnienie wielu podejrzanych klientów Paragon i uważamy, iż jest ich więcej. jeżeli kraj został zidentyfikowany jako klient, prawodawcy i instytucje nadzorcze nie powinny czekać, aż pojawią się doniesienia o nadużyciach, aby zacząć zadawać pytania dotyczące jego wykorzystania.

Odpowiedź Paragona

Przed publikacją Citizen Lab wysłało do Paragon Solutions list podsumowujący najważniejsze wnioski z naszego dochodzenia i zaoferowało opublikowanie wszelkich odpowiedzi, jakie mogą mieć, w całości. Prezes wykonawczy Paragon Solutions, John Fleming, odpowiedział następującą wiadomością:

Odpowiedzieliśmy panu Flemingowi z prośbą o dalsze szczegóły na temat rzekomych nieścisłości i otrzymaliśmy następującą odpowiedź:

Zdajemy sobie sprawę, iż firma Paragon Solutions mogła podjąć się ochrony tożsamości swoich klientów, ale zauważamy również długą historię najemnych firm zajmujących się oprogramowaniem szpiegującym, takich jak NSO Group, które twierdziły, iż są podobnie nieprzejrzyste w połączeniu z twierdzeniami o nieokreślonych nieścisłościach, aby udaremnić odpowiedzialność, odmówić ofiarom dostępu do wymiaru sprawiedliwości i próbować odizolować się od szkód wyrządzonych dzięki ich technologii.

Citizen Lab z zadowoleniem przyjmuje wszelkie wyjaśnienia, których Paragon Solutions pragnie udzielić na temat nieścisłości, których odmówili sprecyzowania, po przeczytaniu pełnego raportu.

… I pytania kanadyjskie

Citizen Lab już wcześniej informował o potrzebie kompleksowych reform w celu rozwiązania problemu rosnącej liczby zaawansowanych technologii nadzoru, które są używane w Kanadzie. W listopadzie 2022 r. kanadyjski Stały Komitet ds. Dostępu do Informacji, Prywatności i Etyki opublikował raport dotyczący korzystania przez RCMP z ODIT, który zawierał liczne zalecenia mające na celu zaradzenie „luce legislacyjnej dotyczącej stosowania nowych technologicznych narzędzi śledczych”. Do tej pory żadne z zaleceń komisji dotyczących reformy prawa nie zostało wdrożone przez rząd federalny. Rząd Kanady jest również sygnatariuszem wspólnego oświadczenia USA z 2023 r. w sprawie wysiłków na rzecz przeciwdziałania rozprzestrzenianiu i niewłaściwemu użyciu komercyjnego systemu szpiegowskiego. Nie przedstawiła jednak jeszcze żadnych konkretnych przepisów zakazujących nabywania systemu szpiegującego od firm, których technologia stanowi zagrożenie dla bezpieczeństwa narodowego lub jest zaangażowana w łamanie praw człowieka za granicą, tak jak zrobiły to Stany Zjednoczone w rozporządzeniu wykonawczym 14093. W świetle oczywistego wykorzystywania systemu szpiegującego przez organy ścigania w Ontario, ważne jest, aby rząd kanadyjski wdrożył przepisy, zanim stanie się kolejną demokracją z problemem nadużywania systemu szpiegującego.

Potwierdzenia

Wyrażamy uznanie i dziękujemy ofiarom, które zdecydowały się współpracować z nami w tym śledztwie i zgłosiły się. Bez ich udziału i zaangażowania te badania, podobnie jak wiele innych prac związanych z oprogramowaniem szpiegującym, po prostu nie byłyby możliwe.

Specjalne podziękowania dla Artura Papyana z Cyber HUB-AM za pomoc w tym śledztwie oraz dla Access Now, a zwłaszcza dla zespołu infolinii, za wyjątkową pomoc w tej sprawie.

Specjalne podziękowania dla naszych kolegów z Citizen Lab, Coopera Quintina i Jeffreya Knockela za zapewnienie wewnętrznej recenzji i informacji zwrotnych na temat raportu, Adama Senfta za pomoc w pisaniu i redagowaniu oraz Alyson Bruce za pomoc w komunikacji i redagowaniu raportu.

Specjalne podziękowania dla Censys.

Specjalne podziękowania dla Arl3cchino i TNG.