Oprogramowanie Pegasus – jak działa najgroźniejszy spyware?

Oprogramowanie Pegasus jest uważane za jedno z najpotężniejszych i najbardziej kontrowersyjnych narzędzi szpiegowskich na świecie. Stworzone przez izraelską firmę NSO Group, miało służyć rządom do walki z terroryzmem i zorganizowaną przestępczością. Szybko jednak okazało się, że jego zastosowanie wykracza poza pierwotne założenia, stając się narzędziem do inwigilacji dziennikarzy, aktywistów i polityków. Czym dokładnie jest ten zaawansowany system szpiegowski, jak działa i dlaczego budzi tak ogromne obawy na arenie międzynarodowej?

Czym jest oprogramowanie Pegasus i kto za nim stoi?

Oprogramowanie Pegasus to zaawansowane narzędzie szpiegowskie (spyware) stworzone przez izraelską firmę NSO Group, działające w modelu „inwigilacji jako usługi” (Spyware-as-a-Service). Model ten przeniósł ciężar rozwoju skomplikowanych eksploitów z agencji rządowych na prywatnego dostawcę.

Firma deklaruje, że sprzedaje swoje produkty wyłącznie zweryfikowanym rządom i ich agencjom w celu zapobiegania poważnym przestępstwom. W praktyce jednak liczne śledztwa dziennikarskie, w tym głośny „Pegasus Project” z 2021 roku, ujawniły, że narzędzie to było wykorzystywane do śledzenia obrońców praw człowieka, opozycjonistów politycznych i dziennikarzy.

Pegasus definiuje nową erę w cyberprzestrzeni, w której prywatność urządzenia mobilnego stała się iluzoryczna w starciu z budżetami państwowymi.

FIG_01 // VISUAL_REF

Jak działa Pegasus? – wektory infekcji i mechanizm „Weird Machine”

Sekretem skuteczności Pegasusa jest zdolność do infekowania urządzeń mobilnych (z systemami iOS i Android) w sposób niemal niemożliwy do wykrycia. System Pegasus wykorzystuje do tego zaawansowane metody, często opierające się na nieznanych publicznie lukach w zabezpieczeniach systemów operacyjnych (zero-day).

Ewolucja tych ataków przeszła od prostych linków do technologicznych majstersztyków, takich jak mechanizm „Weird Machine”. Główne wektory ataku to:

• Ataki typu zero-click (KISMET, FORCEDENTRY, BLASTPASS) - to najbardziej wyrafinowana metoda, która nie wymaga żadnej interakcji ze strony ofiary. Infekcja może nastąpić poprzez odebranie wiadomości w iMessage lub WhatsApp. Przykładowo, eksploit FORCEDENTRY wykorzystywał fałszywy plik GIF, który uruchamiał wirtualny procesor zbudowany z bramek logicznych wewnątrz pliku graficznego, omijając zabezpieczenia BlastDoor firmy Apple.
• Ataki typu one-click - bardziej tradycyjna metoda, stosowana m.in. w wczesnej erze Trident, polegająca na skłonieniu ofiary do kliknięcia w złośliwy link wysłany w wiadomości SMS (np. z informacją o rzekomych torturach w więzieniach) lub e-mailu. Link prowadzi do strony, która po cichu instaluje spyware.
• Instalacja z bliskiej odległości - w rzadkich przypadkach agent może zainstalować oprogramowanie, uzyskując fizyczny dostęp do urządzenia lub wykorzystując fałszywą stację bazową (BTS) do manipulacji ruchem sieciowym.

Po udanej instalacji Pegasus zyskuje dostęp na poziomie administratora (root w Androidzie lub omijając zabezpieczenia iOS), co daje mu pełną kontrolę nad urządzeniem. W nowoczesnych wersjach (od 2021 roku) oprogramowanie często działa w trybie „non-persistent”, rezydując jedynie w pamięci RAM, co sprawia, że znika po restarcie telefonu, utrudniając analizę śledczą.

Co potrafi Pegasus po zainfekowaniu telefonu?

Po uzyskaniu pełnego dostępu do smartfona, inwigilacja za pomocą Pegasusa staje się wszechstronna i niemal nieograniczona, obejmując tzw. inwigilację środowiskową (ambient surveillance).

Możliwości oprogramowania obejmują:

• Monitorowanie komunikacji szyfrowanej - przechwytywanie wiadomości z aplikacji takich jak Signal, WhatsApp czy Telegram. Pegasus działa na punktach końcowych, pobierając dane z pamięci RAM, zanim zostaną one zaszyfrowane (lub tuż po odszyfrowaniu), co czyni szyfrowanie End-to-End bezużytecznym.
• Podsłuch otoczenia (Hot Mic) - zdalne włączanie mikrofonu w celu nagrywania rozmów prowadzonych w pobliżu telefonu, nawet gdy urządzenie jest zablokowane i leży na stole.
• Pobieranie danych chmurowych - przechwytywanie tokenów uwierzytelniających z pęku kluczy (Keychain), co pozwala operatorowi na pobranie pełnej kopii zapasowej chmury ofiary (iCloud, Google Drive) na własny serwer.
• Śledzenie lokalizacji i multimediów - dostęp do danych GPS w czasie rzeczywistym, zdjęć, filmów oraz zdalne aktywowanie aparatu fotograficznego bez wiedzy użytkownika.

Ile kosztuje Pegasus? – cena oprogramowania i model biznesowy

Dostęp do tak zaawansowanego narzędzia jest ściśle limitowany i niezwykle kosztowny. Z ujawnionych cenników i kontraktów wynika, że koszt wdrożenia systemu Pegasus to inwestycja rzędu dziesiątek milionów dolarów. Model biznesowy opiera się na opłatach instalacyjnych oraz licencjach zależnych od liczby celów. Poniższa tabela przedstawia szacunkowe koszty związane z zakupem i utrzymaniem systemu:

Model ten sprawia, że Pegasus nie jest narzędziem do inwigilacji masowej, lecz bronią precyzyjną, wymierzoną w jednostki o wysokiej wartości wywiadowczej lub politycznej. NSO Group sprzedaje ten system wyłącznie podmiotom państwowym.

Trudności w wykrywaniu – MVT i problem z iOS 26

Jednym z kluczowych wyzwań jest to, jak wykryć oprogramowanie Pegasus, ponieważ zaprojektowano je tak, by działało w całkowitym ukryciu. Standardowe antywirusy są tutaj bezradne. Przełomem stało się opublikowanie przez Amnesty International narzędzia Mobile Verification Toolkit (MVT), które analizuje kopie zapasowe telefonów w poszukiwaniu specyficznych artefaktów. Jednakże, od wprowadzenia systemu iOS 26 w drugiej połowie 2025 roku, wykrycie śladów infekcji stało się znacznie trudniejsze.

Nowy system nadpisuje plik shutdown.log przy każdym restarcie, niszcząc kluczowe dowody historyczne, co badacze określili mianem „katastrofy kryminalistycznej”. Dlatego w przypadku podejrzenia infekcji, zaleca się wykonanie zrzutu danych przed restartem urządzenia.

System Pegasus w Polsce – afera Funduszu Sprawiedliwości

Kwestia użycia systemu Pegasus w Polsce stała się jedną z najgłośniejszych spraw politycznych, bezpośrednio powiązaną z wyborami w 2019 roku. System został zakupiony w 2017 roku przez CBA za 25 milionów złotych, a środki na ten cel pochodziły z Funduszu Sprawiedliwości, przeznaczonego ustawowo na pomoc ofiarom przestępstw.

Śledztwa potwierdziły drastyczne przypadki nadużyć:

• Inwigilacja szefa sztabu wyborczego - telefon senatora Krzysztofa Brejzy był hakowany 33 razy w trakcie kampanii wyborczej w 2019 roku, a wykradzione treści były manipulowane i wykorzystywane przez media publiczne do dyskredytacji polityka.
• Ataki na wymiar sprawiedliwości - ofiarą systemu padła również prokurator Ewa Wrzosek (po wszczęciu śledztwa w sprawie wyborów kopertowych) oraz adwokat Roman Giertych.

Sprawa ta doprowadziłą do powołania sejmowej komisji śledczej i wywołała debatę o braku nadzoru nad służbami specjalnymi w Polsce.

Alternatywy i nowe zagrożenia – Predator i Landfall

Problemy wizerunkowe NSO Group doprowadziły do fragmentacji rynku i pojawienia się nowych graczy. Głównym konkurentem Pegasusa stał się system Predator (firmy Cytrox/Intellexa), używany m.in. przeciwko politykom w Grecji.

Równie niepokojące jest odkrycie z końcówki 2025 roku – kampania Landfall. Wymierzona w urządzenia Samsung Galaxy, wykorzystuje pliki graficzne DNG przesyłane przez WhatsApp do przejmowania kontroli nad systemem Android, co pokazuje, że rynek ofensywnej inżynierii cybernetycznej stale się rozwija, oferując alternatywy dla Pegasusa.

Etyczne i prawne konsekwencje inwigilacji

Konsekwencje używania oprogramowania Pegasus są głęboko niepokojące i wiążą się z fundamentalnymi naruszeniami prawa do prywatności. Używany bez odpowiednich mechanizmów nadzoru sądowego, Pegasus stwarza fundamentalne zagrożenie dla podstaw demokracji i praworządności, co potwierdzają przypadki z tzw. CatalanGate w Hiszpanii czy inwigilacja w Meksyku.

Brak jasnych ram prawnych oraz globalny wyścig zbrojeń w cyberprzestrzeni prowadzą do sytuacji, w której bezpieczeństwo każdego użytkownika smartfona zależy od szczelności kodu producentów takich jak Apple czy Google.

Oprogramowanie Pegasus - najczęściej zadawane pytania