Spyware je zbraň, která by měla být prodávána pouze vládám. Použití tohoto špionážního programu by se mělo aplikovat jen v případech ohrožení národní bezpečnosti, při potírání terorismu nebo organizovaného zločinu. Přesto se spyware využívá proti novinářům a politické opozici po celém světě, byť se jedná o hrubé porušování lidských práv. Jednou ze společností, jež spyware vyrábí, je severomakedonská firma Cytrox. Její ředitelkou, právně zodpovědnou za společnost s mnohamilionovými zisky vyvážející špionážní software Predator, byla až do loňského léta penzistka z České republiky. Dokud jsme ji nenavštívili, své funkce si zřejmě nebyla vědoma.
Tento text si můžete poslechnout i v audioverzi.
Audioverze vybraných článků investigace.cz odebírejte zde.
V Beskydech, zhruba hodinu od Ostravy, leží obec čítající přes 300 obyvatel. Je víkendové odpoledne a ve vsi panuje klid. Nedaleko autobusové zastávky, která jako by označovala střed obce, stojí nově postavený domek s béžovou fasádou a černou střechou. Před ním je menší udržovaná zahrada. Muž opravující potrubí před domem reportérce z investigace.cz potvrdí, že je na správném místě – ano, tady bydlí paní Morávková. Netrvá to dlouho a dveře se otevřou, na prahu stojí zmíněná žena, usměje se a pozve návštěvu do útulného obývacího pokoje.
Píše se konec května 2023 a paní Morávková, sedmdesátiletá dáma a na první pohled spokojená penzistka z Beskyd, podle severomakedonského obchodního rejstříku zároveň šéfuje technologické společnosti Cytrox, která vyvinula špionážní software Predator. Ředitelkou se stala v roce 2022, v dokumentech společnosti je uvedeno její jméno i adresa. Dokonce je tam i kopie jejího pasu. Na otázku, zda někdy o společnosti Cytrox slyšela, přesto odpovídá: „Ne, nikdy.“ Potom se zeptá, jak se název firmy píše.
Není spyware jako spyware
Na rozdíl od známějšího spywaru Pegasus, vytvořeného izraelskou společností NSO Group, není software Predator nasazován pomocí takzvaných zero-click exploits. V případě Predatoru tak cíl musí škodlivý software sice nevědomky, ale nějak aktivovat – například kliknout na odkaz. Z pohledu obchodních čísel je proto Predator levnější.
Cytrox však s tímto technologickým handicapem dokáže velmi dobře pracovat a využívá kreativní způsoby, jak nutnost interakce s infikovanými odkazy obejít. Jedním z nich je přímá spolupráce s poskytovateli internetových nebo mobilních sítí v konkrétní zemi. Jelikož klienty společností, jako je Cytrox, by měly být pouze vlády, mohou se v nedemokratických zemích vládnoucí politici či přímo autokraté domluvit na nasazení tohoto zařízení přímo do sítě. Dalším způsobem, jak cílové zařízení infikovat, je dostat telefon zvolené oběti do těsné blízkosti se zařízením, které na něj spyware nasadí. Existuje však i jednodušší způsob v podobě zaslání infikovaného odkazu prostřednictvím e-mailu, případně může být k infikování zařízení použit speciálně upravený obrázek.
V Řecku vyšlo najevo nasazení Predatoru proti politikům, podnikatelům a mediálně známým osobám v srpnu 2022 a vyvolalo skandál. Řecký úřad pro ochranu osobních údajů provedl vyšetřování, které odhalilo, že 92 chytrých telefonů, které patřily podnikatelům, novinářům, státním zástupcům, politikům, ministrům a jejich spolupracovníkům, bylo zacíleno pomocí programu Predator, a to skrze 350 esemesek zaslaných prostřednictvím online služeb pro zasílání zpráv.
Lidská práva versus plné kapsy
V současné době v Řecku probíhá soudní řízení s novináři, kteří nasazení Predatoru zveřejnili, a to na základě žaloby pro pomluvu, kterou podal synovec tamního premiéra, v roce 2019 jmenovaný do čela řecké národní zpravodajské služby (EYP). Právě tato instituce mohla za tehdejším nasazení Predatoru stát. Případ byl označen za urážku svobody slova a pokus umlčet nezávislou žurnalistiku v zemi.
Ať už se zkrátka jednalo o Pegasus, nebo Predator, špionážní softwary byly používány vládními subjekty proti novinářům, aktivistům a opozičním představitelům po celém světě. Ten, kdo si zakoupil služby společnosti, jako je Cytrox, jejím prostřednictvím získal neomezený přístup do soukromého i profesního života vybrané osoby. Spyware totiž může skenovat a odesílat všechny informace zevnitř zařízení, které napadl, ale také například zapnout kameru a mikrofon a takto poskytnout živé pokrytí, přesněji řečeno přímý přenos veškerých aktivit napadeného. Což může být posléze využito jako materiál pro případné vydírání, nebo dokonce trestní stíhání oběti spywaru. Získanými informacemi lze navíc ohrozit osoby, s nimiž se cíl setkává – například novinářské zdroje.
Amnesty International ve své rozsáhlé studii The Predator Files uvádí, že používání špionážního softwaru představuje porušení základních lidských práv. „Aliance Intellexa, tedy evropští vývojáři Predatoru a dalších sledovacích produktů, neudělala nic pro to, aby omezila, kdo a za jakým účelem může tento spyware používat. Místo toho si plní kapsy a ignorují závažné důsledky pro lidská práva… Jedinou účinnou reakcí je státy zavedený okamžitý celosvětový zákaz vysoce invazivního spywaru,“ uvádí Amnesty International.
Kdo stojí za Predatorem
Podle informací, jež získal Balkan Investigative Reporting Network (BIRN), byla severomakednoská společnost Cytrox založena jako akciovka v březnu 2017 pěti izraelskými státními příslušníky a jedním Maďarem. V roce 2018 Cytrox koupila společnost WiSpear.
V roce 2020 přešlo vlastnictví společnosti Cytrox na maďarskou společnost Cytrox Holding. Cytrox je také součástí aliance společností spadajících pod značku Intellexa. Ta vznikla v roce 2019 spojením společností Intellexa s francouzskou skupinou Nexa. V tiskové zprávě oznamující zrod této aliance se uvádí, že jejími členy jsou společnosti Nexa Technologies, Advanced Middle East Systems, WiSpear a Senpai Technologies.
Skupinu společností Intellexa založil v roce 2018 bývalý velitel izraelských obranných sil Tal Dilian, který je úzce spojen s další kontroverzní společností NSO Group a jejím špionážním softwarem Pegasus. Stalo se tak v roce 2014, kdy se Dilianova první společnost zabývající se sledovacím softwarem s NSO Group spojila.
Součástí francouzské skupiny Nexa je i česká společnost, která se do začátku roku 2022 jmenovala Nexa Technologies CZ, s. r. o. Současný název zní Setco Technology Solutions, s. r. o., a jediným společníkem je opět francouzská společnost FLANDRIN TECHNOLOGIES S.A.S. Česká firma zaměstnává méně než deset lidí a sídlí v Brně.
Fiktivní ředitelé
„Ano, je to můj pas. Nerozumím tomu,“ říká paní Morávková poté, co jí reportérka investigace.cz ukázala dokumenty společnosti Cytrox s jejím jménem, adresou a kopií pasu. Adresa uvedená v dokumentech firmy je už ale neplatná, v původním místě bydlela, než se asi před půl rokem přestěhovala do domu, kde sedíme. Jak se mohla ocitnout v severomakedonském obchodním rejstříku coby ředitelka společnosti na vývoj špionážního softwaru, si paní Morávková podle svých slov nedokáže nijak vysvětlit.
Na druhou stranu není neobvyklé, že společnosti po celém světě využívají nastrčené nebo takzvané profesionální ředitele. Ať už s jejím vědomím, nebo ne, takováto osoba je jmenována, aby společnost formálně zastupovala, ačkoli její role je pouze na papíře a nemá žádnou skutečnou moc firmu ovlivňovat ani jakýkoli osobní profit z jejích zisků. U offshorových a skořápkových společností jsou nominálními řediteli obvykle profesionálové, kteří dostávají zaplaceno za formální zastávání této funkce, což někdy provádějí i ve stovkách společností. Vyskytly se však případy, kdy ředitelé společností neměli vůbec tušení, že tuto funkci zastávají – mohli například podepsat dokumenty, kterým nerozuměli, nebo jim byla ukradena identita. Nominální ředitel většinou představuje nástroj, jak formálně naplnit zákony o transparentnosti vlastnictví společností, aniž se odhalí skutečný majitel nebo řídicí struktury.
„Poslední tři roky jsem kvůli covidu nikam necestovala,“ pokračuje paní Morávková. „Předtím jsem párkrát byla v Izraeli, když jsem pomáhala dceři rozjet podnikání. Víte, její manžel je původem z Izraele, zavolám jim,“ vstane a vyjde ven prosklenými dveřmi vedoucími na terasu.
Dcera paní Morávkové vlastní v Česku se svou obchodní partnerkou kosmetickou značku, která nabízí výrobky od bahna z Mrtvého moře po různé pleťové vody a šampony, dovážené z Izraele. Dcera také vyučuje hebrejštinu. Její manžel je majitelem společnosti, jež se zabývá „obchodním poradenstvím a investicemi do nemovitostí na izraelském a českém trhu“. „Zeť ani dcera o firmě nic nevědí,“ říká paní Morávková po návratu z terasy. Při loučení dostala kontakt na redakci investigace.cz, aby napsala nebo zavolala, až si s rodinou o tomto tématu znovu promluví. Od té doby se neozvala. Když se redakce pokusila spojit s její dcerou prostřednictvím jejího kosmetického podniku, nikdo neodpověděl.
Nová šéfka
Několik dní poté, co reportérka investigace.cz navštívila paní Morávkovou, se ředitelka Cytroxu změnila. Na základě kopie oficiálních záznamů této společnosti funkci nyní zastává pětadvacetiletá Sylwia Jastrzębska z Polska. Kolega z polského média Frontsotry.pl se vydal na její adresu ve Varšavě, uvedenou v dokumentech společnosti. Byt se nachází v činžovním domě sovětského stavebního slohu v centru města.
Na adrese bydliště Sylwie Jastrzębské novinář z Fronstory.pl zaklepal na dveře bytu uvedeného ve firemních dokumentech, otevřel mu ale muž a po dotazu vysvětlil, že tam bydlí se svou partnerkou. O slečně Jastrzębské nikdy neslyšel, stejně jako muž na recepci domu nebo majitelka bytu, která ho pronajímá.
Slečnu Jastrzębskou se nám podařilo najít na sociálních sítích a potvrdit její totožnost porovnáním fotografie z jejího pasu – který je součástí dokumentů společnosti Cytrox – s jejími fotografiemi na internetu. Náš kolega z Fronstory.pl ji pak kontaktoval prostřednictvím jejího účtu na Instagramu. Sdělil jí, že je uvedena jako ředitelka severomakedonské společnosti Cytrox, a požádal o rozhovor. „Hmm, myslím, že je to omyl nebo shoda jmen,“ odepsala. Když jí kolega vysvětlil, že je v dokumentech uvedena i její varšavská adresa, zeptala se, co chce vědět. Požádal ji, aby mu zavolala, Sylwie Jastrzębská ale reagovala tím, že dává přednost napsaným otázkám. Poslal jí proto následující dotazy: „Jak se dostala do vedení společnosti Cytrox? Ví, čím se společnost zabývá, a slyšela někdy o Predatoru?“ Zprávy si přečetla a neodpověděla. Krátce po této konverzaci svůj účet na Instagramu deaktivovala. Nyní je zpět s jiným uživatelským jménem.
Na základě jejího účtu na Instagramu není jasné, čím se slečna Jastrzębska živí a kde skutečně žije. Většina obsahu na jejím profilu se točí kolem cestování po celém světě. Není také jasné, zda o své práci ředitelky výrobce špionážního softwaru věděla.
Společnost Cytrox na otázky investigace.cz, které jsme zaslali po návštěvě u paní Morávkové, neodpověděla.
Evropská komise v reakci na používání špionážního softwaru proti novinářům navrhla úplný zákaz této praxe. Eurokomisařka Věra Jourová k tomu ale redakci investigace.cz současně řekla, že se i novinář může stát součástí aktivit, jež ospravedlňují vyšetřování. „Nikdy nemůžeme vyloučit, že se jednoho dne špion nebo zločinec rozhodne získat novinářský průkaz a zneužít ho.“ Několik zemí včetně České republiky zároveň návrh Evropské komise odmítlo.
Poslechněte si nový díl podcastu ODPOSLECH | investigace.cz
Spyware je zbraň, která by měla být prodávána pouze vládám. Špionážní programy by se měly používat jen v případech ohrožení národní bezpečnosti, při potírání terorismu nebo organizovaného zločinu. Přesto se spyware využívá proti novinářům a politické opozici po celém světě, byť se jedná o hrubé porušování lidských práv. Jednou ze společností, které spyware vyrábí, je severomakedonská firma Cytrox. Její ředitelkou, právně zodpovědnou za firmu vyvážející špionážní software Predator, byla až do loňského léta penzistka z České republiky. Dokud ji reportérka Zuzana Šotová nenavštívila, své funkce si zřejmě nebyla vědoma.
Hosté:
Zuzana Šotová – redaktorka investigace.cz
Jan Cibulka – datový novinář Českého rozhlasu, který se věnuje kyberbezpečnosti v žurnalistice
Podcast připravil Jiří Slavičínský.
Líbil se vám tento text? Podpořte redakci investigace.cz