Evropská unie i Spojené státy se snaží regulovat působení firem, které vyrábějí komerční spyware. Zároveň ale státy po celém světě této invazivní technologie zneužívají ke sledování novinářů, opozice nebo aktivistů. Stopy Intellexy vedou i do Česka, kde tato firma muži z Krnova během tří let vyplatila desítky milionů korun. Není ovšem jasné za co.
K tomuto tématu jsme vydali podcast Odposlech.
Řecký novinář Thanasis Koukakis měl už delší dobu podezření, že jeho telefon je „napíchnutý“. Dokud však v březnu 2022 neobdržel výsledky analýzy výzkumníků z Citizen Lab, netušil, o jak velký zásah do jeho soukromí šlo. Minimálně deset týdnů mohl spyware Predator sledovat doslova každou aktivitu jeho profesního i soukromého života. V létě 2021 mu totiž přišla smska: „Thanasisi, víš o tomhle“ a odkaz na web, jenž na první pohled vypadal úplně stejně jako řecký zpravodajský blog. Tím ovšem nebyl a odkaz poskytl spywaru Predator přístup do Koukakisova telefonu.
Výrobcem spywaru Predator je společnost Cytrox, která sídlí v Maďarsku a spadá pod konsorcium Intellexa, přičemž v Řecku má sídlo společnost Itellexa SA – jedna z firem konsorcia uvedená na americkém sankčním seznamu. Za vývoj, provoz a distribuci komerčního špionážního softwaru, jenž „se používá k útokům na americké občany, vládní úředníky a novináře“, byli sankcionováni i majitelé Intellexy.
Co je Predator?
Predator je typ vysoce invazivního spywaru. To znamená, že po infiltraci do zařízení má neomezený přístup k jeho mikrofonu i kameře a rovněž ke všem datům, jako jsou kontakty, zprávy, fotografie a videa, zatímco uživatel o tom vůbec neví. Podle zprávy Amnesty International nelze tento typ spywaru v současné době nezávisle kontrolovat ani omezit jeho působení pouze na ty funkce, které jsou nezbytné a přiměřené konkrétnímu použití – například právě k boji proti terorismu.
„Pořád ještě řešíme, jak to ovlivnilo nás jako novináře, ale i naše zdroje,“ říká pro investigaci.cz ekonomický novinář Thanasis Koukakis, jehož příběh o napadení spywarem proběhl světovými médii a vzbudil zájem i v institucích EU. „Zdroje se teď bojí s námi mluvit a nedůvěřují nám. Nejhorší je ale fakt, že Intellexa v Řecku operovala naprosto bezskrupulózním způsobem a své produkty odtud prodávala do celého světa.“
Podezření ze špehování novináře padlo na řecké tajné služby (EYP), ty jej totiž sledovaly už v minulosti. Letos na konci července však případ řecká prokuratura, která jej začala vyšetřovat v roce 2022, odložila pro nedostatek důkazů. Prokuratura sice nepopřela, že byl Koukakis cílem špehování, ale podle jejího rozhodnutí žádná řecká státní instituce Predator nepoužila. Prokuratura se však na základě vyšetřování rozhodla stíhat představitele a majitele Intellexy, a to pro trestný čin porušení listovního tajemství (to se týká i elektronické komunikace). Soud by měl začít příští rok.
Prokuratura v rámci vyšetřování také nařídila policii vypracovat zprávu o společnostech navázaných na Intellexu – investigace.cz má tento dokument k dispozici.
Součástí zprávy je i tabulka dodavatelů Itellexy. Jedním z nich je muž jménem Dvir Horef Hazan, žijící v Česku.
Kouzelník z Krnova
Podle sociálních sítí se jedná o emigranta z Izraele, který bydlí ve slezském Krnově. Má rád whisky a dobré jídlo a nabízí své služby jako fotograf. Na svém profesním účtu na Instagramu se prezentuje fotkami přírody, portréty nebo ženskými akty.
„Já dop*dele nevím, co je Intellexa,“ tvrdí Hazan do telefonu. Zároveň ale na svém profilu na LinkedIn Intellexu sleduje.
Na Hazanově linkedinovém profilu lze také objevit příspěvek o tom, že svět programování a marketingu opustil na začátku loňského roku a začal se věnovat bistru, kavárně a pekárně. Podle zprávy řecké policie v té samé době obdržela jedna z jeho společností poslední ze série plateb od Intellexy a dvou na ni napojených firem.
Hazan, prezentující se jako „Magic Maker“ (Kouzelník), vlastní v Česku osm společností. Čtyři z nich poskytují služby v oblasti marketingu, konzultací a poradenství ohledně informačních technologií. Rozmanitost jeho podnikatelských aktivit dokládají další firmy – jedna uvádí, že obchoduje s konopným olejem, dvě jsou pak propojeny s jeho gastropodnikáním, další zase mezi lety 2020 a 2021 nakupovala telefony s příslušenstvím od ukrajinské firmy.
Všechny firemní weby přitom mají jeden společný rys: jedná se o jednoduché stránky, které obsahují jen pár základních informací a příliš mnoho nesdělují o samotných společnostech.
Tři z těchto firem – Zambrano Trade s.r.o., Hadastech s.r.o. a Shilo s.r.o. – a osobně i podnikatel Hazan obdrželi od roku 2020 až do začátku roku 2023 od řecké Intellexy a společností na ni napojených celkem 2,9 milionu eur (zhruba 74 milionů korun), což uvádí zpráva řecké policie. Neuvádí však, za co Hazanovi platili.
„Hazan byl jedním z nejdůležitějších a nejlépe placených dodavatelů Intellexy,“ říká i novinář Koukakis.
Hazanovy společnosti, které měly od firem spojených s Intellexou obržet během tří let nemalé obnosy peněz, však tyto platby v několika případech nereflektovaly jako tržby ve svých účetních závěrkách – vykazované tržby totiž byly nižší než částky, jež měly být firmám vypláceny. Například u firmy Hadastech, která v letech 2020 a 2021 měla obdržet v přepočtu 11,6 milionu korun, uvádí účetní závěrky za oba roky tržby ve výši 9,6 milionu korun.
Podle specialistky na daňové právo Nelly Vostré to však ještě nemusí nic znamenat. „To, že víme, že dané platby proběhly, ještě neznamená, že to byly výnosy nebo náklady,“ vysvětluje advokátka. „Mohlo se například jednat o zálohy za budoucí služby.“ V dalších letech u společností Shilo a Zambrano Trade už je ale možné, že platby byly součástí tržeb – například Zambrano Trade měla v roce 2022 obdržet v přepočtu 38,3 milionu korun a její tržby činily něco přes 67 milionů.
Zároveň lze z účetnictví Hazanových firem vyčíst, že jejich příjmy a náklady jsou v podstatě stejné, tedy že společnosti sice mají vysoké tržby, ale ve výsledku jim mnoho peněz nezůstane. Je tedy možné, že společnosti fungují jako zprostředkovatelé nějaké služby – v případě Zambrano Trade jsou za rok 2023 vykázány služby za téměř sto milionů korun.
Propojeni prací a přátelstvím
Dalším pojítkem mezi Hazanem a Intellexou je fakt, že jeho e-mail horef@shilo.eu byl přítomen v registračních informacích pro IP adresu (173.236.173), na které byl umístěn malý počet webových stránek, včetně řecké verze webu společnosti Intellexa nebo stránek Hazanovy firmy shilo.eu. IP adresa byla pronajata skrze českou společnost Master.
S otázkami ohledně propojení Hazana se spywarovou firmou jsme se obrátili na Juliana-Ferdinanda Vögela, výzkumníka ze skupiny Insikt společnosti Recorded Future, jež analyzuje kybernetické hrozby. Redakci sdělil, že „samotný fakt, že dvě webové stránky byly hostované na stejné IP adrese a ve stejné době, ještě nestačí k tomu, abychom mohli říct, že jsou mezi sebou propojené nebo že jsou vlastněny jedním subjektem.“
Když však vezmeme v úvahu další faktory, jako je historie hostování těchto domén, změna IP adres ve stejnou dobu a údaje o zapojených subjektech, včetně například finančních informací, pravděpodobnost, že propojení je náhodné, se výrazně sníží.
Během prvního telefonátu reportérů investigace.cz podnikatel Hazan své napojení na spywarové firmy popřel. Dementoval i to, že by kdy spolupracoval se společnostmi, které jeho firmám podle řecké policejní zprávy několik let platily velké částky. Následně jsme se na tyto platby zeptali mailem. Poté jsme s krnovským podnikatelem mluvili ještě dvakrát, kdy mimo jiné potvrdil, že e-mail obdržel. Během posledního telefonického hovoru řekl, že se už nebude vyjadřovat. Na další e-mail s konkrétními otázkami do vydání článku nereagoval.
Hazan přes jednu ze svých firem vlastní v Krnově nemovitost. V oranžovém dvoupodlažním domě nedaleko centra sídlí kromě sedmi Hazanových firem několik dalších společností. Jednou z nich je FoxITech.
Název společnosti je uveden u stejné IP adresy, na které byl mimo jiné hostován web Intellexy. U registračních údajů je zároveň e-mail michali@shilo.eu.
Právě tento e-mail představuje jedno z pojítek mezi majitelem společnosti FoxITech, Michalem Ikonomidisem, a Hazanem. Prvně jmenovaný muž je Čech žijící v Krnově. S Hazanem zřejmě spolupracoval, navíc je podle sociálních sítí i jeho kamarádem – alespoň takto Hazana popisuje na společné fotografii z roku 2019. Ostatně FoxITech v roce 2022 při založení firmy zastupovala u notáře stejná zmocněnkyně jako Hazana při založení jeho první firmy.
Ikonomidise jsme se nakonec rozhodli kontaktovat skrze datovou schránku jeho firmy, oficiální e-mail společnosti totiž nefunguje. Zpráva, že tato adresa neexistuje, přišla z e-mailu jedné z dalších Hazanových firem. Telefonní čísla, která FoxITech uvádí jako kontaktní, pro změnu patří radnici v Ostravě, druhé je nedostupné. Na naše dotazy pan Ikonomidis do vydání textu neodpověděl. Do datovky se dva dny před publikací přihlásila oprávněná osoba.
Intellexa
Rotem Farkash a Abraham Rubinstein založili v roce 2017 dvě společnosti – Cytrox Holdings v Maďarsku a dceřinou Cytrox Software v Severní Makedonii. Farkash, jenž svou podnikatelskou kariéru zahájil jako hacker, se později stal jednou z nejvýznamnějších postav konsorcia Intellexa.
Tato společnost vznikla v roce 2019 spojením Intellexy s francouzskou skupinou Nexa. V tiskové zprávě oznamující zrod aliance se uvádí, že jejími členy jsou společnosti Nexa Technologies, Advanced Middle East Systems, WiSpear a Senpai Technologies. V roce 2019 Intellexa rovněž dokončila akvizici značky Cytrox.
Konsorcium Intellexa založil bývalý velitel izraelských obranných sil Tal Dilian, který je úzce spojen s další kontroverzní společností, NSO Group, a jejím špionážním softwarem Pegasus.
Součástí francouzské skupiny Nexa byla i česká firma Setco Technology Solutions, s. r. o. Firma byla z rozhodnutí majitelů letos v dubnu zrušena.
Investigace.cz už loni na základě informací ze severomakedonského obchodního rejstříku zjistila, že ředitelkou tamní firmy Cytrox byla penzistka z vesnice nedaleko Ostravy. Ta však reportérům tvrdila, že o své funkci nic neví. Když ale dostala otázku, zda zná Dvira Hazana, přitakala s tím, že jde o známého rodiny její dcery.
Manželem penzistčiny dcery je Izraelec Amos Uzan, který podle svého profilu na LinkedIn pracoval v letech 2003–2009 pro izraelskou vládu. Jednalo se o „bezpečnostní“ funkci pro úřad izraelského premiéra v letech 2003–2006 a následně měl od ledna 2008 do dubna 2009 působit jako „mluvčí“ parlamentu.
V tomto období zastával řadu ministerských funkcí politik Ehud Olmert, přičemž od počátku roku 2006 do jara 2009 byl izraelským premiérem. Olmert novinářům z listu Haaretz před časem prozradil, že donedávna pracoval jako konzultant pro společnost Intellexa.
O Predatorovi ještě uslyšíme
Ačkoli se některé země snaží působení spywarových firem nějakou formou limitovat – například v USA již skupina Intellexa a NSO Group nesmí podnikat –, společnosti tyto překážky různě obcházejí. Navíc je na libovůli jednotlivých států, kde spywarové firmy zrovna sídlí, zda jim udělí exportní licence. V rámci poskytování exportních licencí se 25 zemí – včetně například Severní Makedonie – zavázalo, že bude zvažovat, zda služba, jejíž vývoz povoluje, potenciálně neporušuje lidská práva. Jedná se ale o dobrovolný kodex.
Mezitím se o zneužívání spywaru objevují další a další zprávy – vietnamská vláda se snažila nabourat do telefonů členů amerického Kongresu, indická vláda špehovala novináře, který tamnímu premiérovi položil nepříjemné otázky, a spyware typu Predator ve velkém používaly i ruské tajné služby.
V Česku se nyní řeší ukotvení evropského zákona o svobodě médií (EMFA), jehož součástí je i regulace používání spywaru proti novinářům.
„Po zveřejněném odhalení aktivit Intellexy a uvalení sankcí nastal v aktivním používání Predatoru útlum,“ uvedla ve své zprávě výzkumná organizace Recorded Future. Podle její poslední analýzy jsme ale o Predatoru zdaleka neslyšeli naposled.