- Pragnę zwrócić uwagę na ogromną skalę ataków na urządzenia pracowników NIK. Nie sposób przyjąć, że ataki te miały charakter zgodny z prawem i zalegalizowany przez właściwe organy – mówił na konferencji radca prezesa NIK Janusz Pawelczyk.
- Mamy do czynienie z atakiem nieznanym od 103 lat historii Najwyższej Izby Kontroli - powiedział Pawelczyk.
„Jednym z podstawowych aspektów, które trzeba wyjaśnić jest to, jak działają licencje na oprogramowanie Pegasus. Wiele osób uważa, że potrzeba jest ich tyle, ile osób było inwigilowanych. Niestety, jest inaczej. Licencja nie ogranicza sumarycznej liczby zainfekowanych urządzeń, jedynie ogranicza jednoczesne inwigilowanie określonej liczby urządzeń” – mówił zewnętrzy ekspert, który postanowił zachować anonimowość, tłumacząc to względami bezpieczeństwa.
"Bardzo typowym objawem jest zarejestrowanie znacznie większej liczby prób infekcji, zdarzeń niepokojących i stanowiących zagrożenie niż liczby rzeczywistych infekcji, które miały miejsce. Na szczęście działania oprogramowania szpiegującego nie są niewidzialne i pozostawiają ślady. Mamy możliwość znalezienia takich śladów nie tylko na zainfekowanym urządzeniu, ale też np. w sieci, w której znajdowała się infrastruktura będąca częścią systemu do inwigilacji."
I dodał. "W wypadku podejrzewanych o infekcję urządzeń, będą one wysyłane do niezależnych ekspertów Citizen Lab."
Kierownik wydziału bezpieczeństwa NIK Grzegorz Marczak przedstawił zestawienie zdarzeń, jakie miały miejsce w infrastrukturze urządzeń mobilnych w NIK. „Są to wybrane zdarzenia prowadzące do zewnętrznych serwerów z zawartością potencjalnie niebezpieczną. Jest to 7300 zdarzeń w okresie od 23 marca 2020 r. do 23 stycznia 2022 r. na 545 urządzeń NIK. Na obecnym etapie naszych analiz nie jesteśmy w stanie wykluczyć, że to był atak Pegasusa. We współpracy z Citizen Lab przeprowadzamy analizy zaistniałych zdarzeń. Na dziś mamy podejrzenia, że były zainfekowane trzy urządzenia osób z najbliższego otoczenia prezesa Mariana Banasia”.
Jednym z tych urządzeń jest telefon doradcy społecznego – Jakuba Banasia. Telefon ten zostanie przekazany do Citizen Lab do dalszych badań.
Rzecznik NIK Łukasz Pawelski sprecyzował, że tzw. peaki, czyli nasilenia ataków, następowały w newralgicznych momentach dla Izby. Pierwsze zaobserwowano w czasie kontroli wyborów korespondencyjnych, a kolejne przy okazji publikacji wyników kontroli Funduszu Sprawiedliwości. Zaobserwowano je też w momencie dokonywania zmian kadrowych w NIK oraz gdy odbywało się posiedzenie Kolegium NIK dotyczące planu kontroli na 2020 r.
Na pytanie, czy wobec przedstawicieli NIK użyto Pegasusa, anonimowy ekspert zewnętrzny odpowiedział: „Na chwilę obecną nie możemy wykluczyć żadnego scenariusza. Dane robocze wskazują na anomalia. Hipotezą robocza jest użycie tego typu oprogramowania”. Nie stwierdził też, kto mógłby stać za ewentualnymi atakami. „Przypisanie cyberataków konkretnym instytucjom czy osobom jest najtrudniejszym elementem informatyki śledczej. Na tym etapie nie jesteśmy w stanie powiedzieć niczego, co nie byłoby czystą spekulacją” – wyjaśnił.
Dyrektor biura informatyki NIK Michał Czech przekazał, że nie można ujawnić szczegółów technicznych badań. „Trwają w tej chwili analizy” – dodał.