Amnesti internešenel je upravo objavio izveštaj pod nazivom „Digitalni zatvor: Nadzor i represija civilnog društva u Srbiji“ koji otkiva kako su vlasti u Srbiji preko BIA i policije nezakonito špijunirale mobilne telefone aktivista koji su organizovali proteste, članova nevladinih organizacija i nezavisnih novinara, saznaje Radar. Izveštaj je pre objavljivanja dostavljen Vladi Srbije ali ona nije, kako piše u izveštaju, dala nikakav komentar.
Nalazi otkrivaju sveprisutnu i rutinsku upotrebu invazivnog špijunskog softvera, uključujući i Pegasus špijunski softver kompanije NSO Group, zajedno sa novim domaćim sistemom špijunskog softvera NoviSpy za Android uređaje, koji je prvi put otkriven u ovom izveštaju. Konstatuju i široko rasprostranjenu zloupotrebu mobilnog forenzičkog alata UFED kompanije Cellebrite usmerenu protiv aktivista za zaštitu životne sredine i vođa protesta u Srbiji.
BIA i srpska policija su, kako navode, koristile NoviSpy i mobilne forenzičke alate kompanije Cellebrite kako bi targetirale nezavisne aktiviste iz think-tank organizacija, mirne demonstrante i nezavisne novinare. „Vlasti u Srbiji koriste ove alate sistematski protiv mirnih demonstranata koji su već prečesto zbog svog aktivizma podvrgnuti neopravdanoj kriminalizaciji. Ova nezakonita praksa digitalnog nadzora i prikupljanja podataka usmerena protiv civilnog društva krši ljudsko pravo na privatnost i zaštitu ličnih podataka, i duboko utiču na druga prava i slobode, uključujući pravo na slobodu izražavanja, udruživanja i mirnog okupljanja“.
Tajno instaliranje na mobilnim uređajima trojice aktivista
Nalazi u izveštaju zasnovani su na detaljnim intervjuima vođenim sa 13 osoba koje su direktno bile predmet špijunskog softvera ili proizvoda za ekstrakciju podataka sa mobilnih uređaja, kao i 28 predstavnika civilnog društva iz cele Srbije. Dodaje se da su „njihova svedočenja potkrepljena detaljnom forenzičkom analizom mobilnih uređaja dvadesetak aktivista i novinara koju je sprovela Sigurnosna laboratorija Amnesti internešenela“.
Izveštaj pruža, kako kažu, detaljan pregled istorijata korišćenja ili nabavke visoko invazivnog špijunskog softvera od strane srpskih vlasti tokom poslednje decenije, uključujući sisteme kompanija Finfisher, NSO Group i Intellexa.
Do zaražavanja je došlo dok su telefoni bili privremeno oduzeti vlasnicima i navodno smešteni u ormariće u policijskim stanicama. Tehnički dokazi sugerišu da je tokom poslednjih godina na desetine, ako ne i stotine jedinstvenih uređaja targetirano špijunskim softverom NoviSpy
Navode se konkretni primeri i veštačenja. Istraživanje pokazuje da je špijunski softver NoviSpy tajno instaliran na mobilnim uređajima trojice aktivista i jednog nezavisnog novinara tokom informativnih razgovora sa srpskom policijom ili BIA. Do zaražavanja je došlo dok su telefoni bili privremeno oduzeti vlasnicima i navodno smešteni u ormariće u policijskim stanicama. Tehnički dokazi sugerišu da je tokom poslednjih godina na desetine, ako ne i stotine jedinstvenih uređaja targetirano špijunskim softverom NoviSpy.
Opisuje se kako je u februaru 2024, Slaviša Milanov, nezavisni novinar iz Dimitrovgrada u Srbiji, koji se bavi temama od lokalnog značaja, priveden u policijsku stanicu nakon naizgled rutinske saobraćajne kontrole. Dodaje se da je odmah posle toga primetio da nešto nije uredu sa telefonom pa je kontaktirao Sigurnosnu laboratoriju Amnestija. „Forenzičkom analizom otkriveno je da je korišćen proizvod kompanije Cellebrite za otključavanje uređaja… Amnesti internešenel je otkrio tragove do sada nepoznatog špijunskog softvera, pod nazivom NoviSpy koji omogućava prikupljanje osetljivih ličnih podataka nakon što se željeni telefon zarazi, kao i daljinsko aktiviranje mikrofona ili kamere. Forenzički dokazi ukazuju na to da je špijunski softver instaliran uz pomoć tehnologije za otključavanje uređaja kompanije Cellebrite dok je srpska policija bila u posedu Slavišinog uređaja. Kombinacija ove dve izuzetno invazivne tehnologije korišćena je za targetiranje uređaja nezavisnog novinara, ostavljajući gotovo ceo njegov digitalni život dostupan srpskim vlastima“.
Zatim se opisuje kako je u oktobru 2024. aktivistkinja beogradske NVO Krokodil pozvana u kancelariju BIA da pruži informacije o napadu na ovu organizaciju, pa se dodaje: „Tokom razgovora, njen telefon bio je ostavljen bez nadzora van prostorije za ispitivanje. Naknadna forenzička analiza sprovedena u Sigurnosnoj laboratoriji Amnestija pronašla je dokaze da je upravo tada instaliran špijunski softver NoviSpy za Android uređaje“.
Ministarstvo spoljnih poslova Norveške navodi da smatra da je ‚zabrinjavajuća mogućnost da su digitalni forenzički alati, nabavljeni preko projekta koji je finansirala Norveška zloupotrebljeni za targetiranje predstavnika civilnog društva u Srbiji
Zatim se navodi da je analiza nekoliko uzoraka aplikacije špijunskog softvera NoviSpy pronađenog na zaraženim uređajima pokazala da su svi komunicirali sa serverima u Srbiji, kako bi primali komande i pratili podatke. „Zanimljivo je da je jedan od ovih uzoraka špijunskog softvera bio konfigurisan tako da se direktno poveže sa IP adresom koja se dovodi u vezu sa Bezbednosno-informativnom agencijom Srbije. Istraživanje je takođe pokazalo da podaci o konfiguraciji ugrađeni u uzorak špijunskog softvera vode do zaposlenog u BIA koji je ranije bio uključen u napore Srbije da nabavi Android špijunski softver od sada već nepostojeće kompanije Hacking Team“.
Pod prismotrom nevladine orgnizacije, aktivisti i nezavisni novinari
Amnesti internešenel je razgovarao, kako se navodi u izveštaju, sa devet aktivista koji su bili zadržani ili ispitivani u periodu između jula i novembra 2024, a čiji su telefoni i računari privremeno oduzeti od strane policije i podvrgnuti detaljnim pretragama. „Aktivisti sumnjaju da su ove intruzivne istražne mere, koje se čine legitimnim prema srpskom zakonodavstvu, bile pre izgovor za policiju i obaveštajne službe da saznaju više o njihovim društvenim mrežama i budućim planovima, nego namera da se bave krivičnim gonjenjem“. Konstatuje se i da se izveštaj „objavljuje u trenutku kada se državna represija pojačava, a stanje slobode izražavanja i otvorenog dijaloga u zemlji sve je nepovoljnije“.
Istraživanje je takođe pokazalo da podaci o konfiguraciji ugrađeni u uzorak špijunskog softvera vode do zaposlenog u BIA koji je ranije bio uključen u napore Srbije da nabavi Android špijunski softver od sada već nepostojeće kompanije Hacking Team
„Srbija je od 2021. doživela nekoliko velikih talasa protesta protiv vlasti, a svaki od njih izazvao je sve oštrije reakcije – od kontinuiranih i nasilnih kampanja protiv kritičnih nevladinih organizacija, medijskih kuća i novinara, do pravne represije usmerene protiv građana koji se mirno organizuju i učestvuju u političkom nezadovoljstvu“.
U poglavlju pod nazivom „Neadekvatni pravni i kontrolni okvir digitalnog nadzora u Srbiji“ opisuje sa kojim se još problemima suočavaju nevladine orgnizacije, aktivisti i nezavisni novinari.
Opisan je i efekat zastrašivanja aktivista, pa se navodi da su oni „izjavili za Amnesti internešenel kako je saznanje da su bili targetirani učinilo da se osećaju povređeno, ranjivo i usamljeno, te ih primoralo da preispitaju ili promene svoje ponašanje. Neki su postali oprezniji kada je reč o javnom izražavanju o spornim pitanjima, dok su drugi odlučili da manje istupaju ili u potpunosti prekinu sa aktivizmom“.
Sa izveštajem je pre objavljivanja bilo upoznato i Ministarstvo spoljnih poslova Norveške, koje je doniralo tehnologiju Cellebrite UFED i Kancelarija Ujedinjenih nacija za projektne usluge (UNOPS), koja je bila zadužena za nabavku za koju su korišćena sredstva norveškog granta za potrebe Ministarstva unutrašnjih poslova. Norveško ministarstvo je dalo odgovor za razliku od srpske Vlade i ako se u izveštaju konstatuje da „nisu sproveli adekvatnu dubinsku analizu kako bi procenili i ublažili potencijalne rizike ove tehnologije po ljudska prava, niti su obezbedili mere zaštite protiv njene zloupotrebe o pretnjama civilnom društvu i nezavisnim novinarima. Kritikuju se još: „norveška vlada i UNOPS imali su obavezu da vrše nadzor i sprovedu dubinsku analizu prilikom nabavke visoko invazivne tehnologije i njenog prenosa srpskim institucijama. Ovakvim propustom omogućeno je i doprinelo se kršenju ljudskih prava na privatnost, slobodu izražavanja, udruživanje i mirno okupljanje primenom nezakonitog digitalnog nadzora“.
Aktivistkinja beogradske NVO Krokodil pozvana je u kancelariju BIA da pruži informacije o napadu na ovu organizaciju, pa se dodaje: „Tokom razgovora, njen telefon bio je ostavljen bez nadzora van prostorije za ispitivanje. Naknadna forenzička analiza pronašla je dokaze da je upravo tada instaliran špijunski softver NoviSpy za Android uređaje“
Zatim se opisuje odgovor: „Ministarstvo spoljnih poslova Norveške navodi da smatra da je zabrinjavajuća mogućnost da su digitalni forenzički alati, nabavljeni preko projekta koji je finansirala Norveška zloupotrebljeni za targetiranje predstavnika civilnog društva u Srbiji‚ i dodaje da, ukoliko bi ovi navodi bili tačni, [to] bi predstavljalo očigledno kršenje principa norveške razvojne pomoći, kao i dogovorene svrhe podrške pružene srpskim vlastima u tom trenutku. Ministarstvo je dodalo da se očekuje da će UNOPS, koji je bio odgovoran za sve projektne aktivnosti, sprovesti temeljnu istragu navodnih zloupotreba“.
U zaključku izveštaja se navodi: „Srbija mora da se obaveže da će odmah prestati sa upotrebom visoko invazivnog špijunskog softvera i sprovesti hitnu, nezavisnu i nepristrasnu istragu o svim dokumentovanim i prijavljenim slučajevima nezakonitog digitalnog nadzora“.
Reakcija BCBP-a na izveštaj
Beogradski centar za bezbednosnu politiku (BCBP) u svom saopštenju je najoštrije osudio zloupotrebu digitalnih tehnologija za nadzor građana od strane srpskih vlasti.
„U jeku građanskih protesta širom Srbije, vlasti ne samo da ignorišu legitimne zahteve građana već i pojačavaju represiju kroz digitalni nadzor… To znači da tehnologije koje su razvijene za borbu protiv kriminala i koje bi trebalo da se koriste za za unapređenje bezbednosti građana, vlast u Srbiji koristi za gušenje glasova građana i zastrašivanje svih koji se usude da progovore.
Bezbedonosne institucije su zloupotrebile novčanu pomoć koju su pružili zapadni partneri za korišćenje najnaprednije tehnologije u borbi protiv organizovanog kriminala. Izveštaj ukazuje na zloupotrebu donacija koje dolaze iz inostranstva, a koje su omogućile srpskim vlastima pristup tehnologijama poput Cellebrite bez adekvatnih provera i zaštitnih mehanizama. To po ko zna koji put otvara pitanja na kakav način i sa kojim ciljem se troše donacije EU, njenih članica i drugih država. Ovaj slučaj pokazuje da se one koriste od strane korumpirane i autoritarne vlasti u Srbiji da bi se ugušila osnovna prava I slobode građana“, navodi se u saopštenju BCBP-a.
Podsećaju da je javnost u Srbiji prvi put upoznata sa nelegalnom upotrebom špijunskih softvera 2023. upravo kada je BCBP bio direktna meta pokušaja digitalnog nadzora špijunskim softverom Pegaz. Navodi se da su nakon toga BCBP „od strane režimskih medija bila označena kao strani plaćenik, dobila je anonimnu pretnju bombom i optužena da se bori protiv interesa Srbije“.
BCBP traži „da srpske vlasti odmah obustave nezakonit digitalni nadzor i istraže sve slučajeve zloupotrebe, uključujući odgovornost pojedinaca u državnim institucijama“. Zatim: „Da Evropska unija ozbiljno razmotri kako zloupotreba digitalnog nadzora u Srbiji utiče na proces evropskih integracija, posebno jer je Srbija zemlja kandidat za članstvo u EU. Vlasti Srbije ne mogu očekivati evropsku budućnost dok sistematski krše osnovne vrednosti EU, poput vladavine prava, ljudskih prava i demokratskih sloboda. Istovremeno, međunarodna zajednica mora pojačati podršku organizacijama civilnog društva, aktivistima i novinarima kako bi mogli da rade bez straha od nadzora i represije. Treći i poslednji zahtev je da: „Cellebrite i druge kompanije koje proizvode alate digitalnog nadzora prekinu saradnju sa srpskim vlastima dok se ne uspostavi pravni i transparentan okvir za korišćenje njihovih proizvoda“.
