Διεθνής Αμνηστία: Νέα επίθεση με Predator που αποδίδεται στην Intellexa – Τα μηνύματα που έλαβε δημοσιογράφος από την Ανγκόλα

Νέα επίθεση με το κακόβουλο λογισμικό Predator –που χρησιμοποιήθηκε εκτεταμένα και στην Ελλάδα– απέναντι σε γνωστό δημοσιογράφο καταγράφηκε στην Ανγκόλα, σύμφωνα με το εργαστήριο ασφαλείας της Διεθνούς Αμνηστίας.

Ειδικότερα, σύμφωνα με τη Διεθνή Αμνηστία, το κακόβουλο λογισμικό που αναπτύχθηκε από την Intellexa, εντοπίστηκε να έχει στοχεύει τον Τεϊσέιρα Κάντιντου (Teixeira Cândido), πρώην γενικό γραμματέα του συνδικάτου δημοσιογράφων της Ανγκόλας, δημοσιογράφο και νομικό. Πρόκειται για την πρώτη επιβεβαιωμένη περίπτωση χρήσης του Predator στη χώρα.

Υπενθυμίζεται ότι στη δίκη για τις υποκλοπές που βρίσκεται σε εξέλιξη στην Ελλάδα, ο πρώην εργαζόμενος της Intellexa, Παναγιώτης Κούτσιος, είχε παραδεχθεί ότι η εταιρεία πραγματοποιούσε πωλήσεις και παρουσιάσεις σε κρατικούς φορείς, μεταξύ άλλων και στην Αφρική. Όπως είχε καταθέσει, ο ίδιος είχε ταξιδέψει στην Κένυα, ενώ το Predator έχει εντοπιστεί και στο Σουδάν. Στην ίδια χώρα, όπως και τη Μαδαγασκάρη, η εταιρεία Krikel -που συνδέεται με το σκάνδαλο των υποκλοπών- είχε καταθέσει άδειες εξαγωγής για το Predator από το ελληνικό υπουργείο Εξωτερικών. Ταυτόχρονα, αναφορές για χρήση του Predator υπάρχουν και στην Αίγυπτο.

Ο δημοσιογράφος τόνισε πως «νιώθω γυμνός γνωρίζοντας ότι ήμουν στόχος παραβίασης της ιδιωτικής μου ζωής. Δεν ξέρω τι πληροφορίες έχουν στη διάθεσή τους για τη ζωή μου. Τώρα κάνω και λέω μόνο ό,τι είναι απαραίτητο. Δεν εμπιστεύομαι τις συσκευές μου. Ανταλλάσσω αλληλογραφία, αλλά δεν ασχολούμαι με προσωπικά ζητήματα μέσω των συσκευών μου. Νιώθω πολύ περιορισμένος». Παράλληλα, έχει αντιμετωπίσει πολλαπλές επιθέσεις και εκφοβισμούς από το 2022, συμπεριλαμβανομένων ανεξήγητων διαρρήξεων στο γραφείο του.

Ο δημοσιογράφος Τεϊσέιρα Κάντιντου που έγινε στόχος του Predator

Η Διεθνής Αμνηστία επισημαίνει ότι η συγκεκριμένη επίθεση, σε συνδυασμό με εκείνη που καταγράφηκε σε δικηγόρο ανθρωπίνων δικαιωμάτων στην επαρχία Μπαλουχιστάν του Πακιστάν, προσφέρει «πρόσθετα στοιχεία ότι το σύστημα spyware της Intellexa παρέμενε λειτουργικό έως και το 2025, σε περιοχές που μέχρι σήμερα δεν είχαν καταγραφεί».

Ωστόσο, τονίζει ότι «προς το παρόν δεν είναι δυνατόν να προσδιοριστεί με βεβαιότητα ο πελάτης που ευθύνεται για αυτές τις εκστρατείες επιθέσεων», ούτε να αποδοθούν σε συγκεκριμένους κυβερνητικούς φορείς. Υπενθυμίζεται ότι η Intellexa επαναλαμβάνει πως διαθέτει τα προϊόντα της αποκλειστικά σε κυβερνήσεις και όχι σε ιδιώτες. Σημειώνεται, τέλος, ότι και στην Ελλάδα το Predator έχει χρησιμοποιηθεί για τη στοχοποίηση σειράς δημοσιογράφων.

Ακόμη, η Διεθνής Αμνηστία υπογραμμίζει πως η ανάλυση και η παρακολούθηση υποδομών δείχνουν ότι το Predator είναι ενεργό, με επίκεντρο την Ανγκόλα τουλάχιστον από τις αρχές του 2023.

Πώς έγινε η στόχευση

Σύμφωνα με τη Διεθνή Αμνηστία, ο Τεϊσέιρα Κάντιντου δέχθηκε, από τον Απρίλιο έως τον Ιούνιο του 2024, κατά τους τελευταίους μήνες της θητείας του ως γενικός γραμματέας του συνδικάτου δημοσιογράφων, σειρά μηνυμάτων στην εφαρμογή WhatsApp στο iPhone του από άγνωστο αριθμό της Ανγκόλα.

Ο αποστολέας χρησιμοποίησε κοινό όνομα της χώρας για τον λογαριασμό του και προσποιήθηκε ότι ήταν μέλος ομάδας φοιτητών που ενδιαφέρονταν για τα κοινωνικά και οικονομικά ζητήματα της Ανγκόλας. Μετά από περίοδο σταδιακής οικοδόμησης εμπιστοσύνης, ο φερόμενος εισβολέας απέστειλε τον πρώτο κακόβουλο σύνδεσμο με Predator στις 3 Μαΐου, στις 16:18 τοπική ώρα, με στόχο τη μόλυνση της συσκευής του δημοσιογράφου.

Όπως επισημαίνει η Διεθνής Αμνηστία, το ίδιο μοτίβο συνεχίστηκε για εβδομάδες, με την αποστολή πρόσθετων κακόβουλων συνδέσμων, οι οποίοι εμφανίζονταν ως άρθρα ειδήσεων ή ως σύνδεσμοι προς φαινομενικά αξιόπιστους ιστότοπους. Παράλληλα, νέα μηνύματα παρότρυναν συστηματικά τον δημοσιογράφο να τους ανοίξει.

Στις 4 Μαΐου 2024, ο Τεϊσέιρα Κάντιντου φαίνεται να άνοιξε έναν από τους κακόβουλους συνδέσμους, γεγονός που εκτιμάται ότι οδήγησε στην επιτυχή μόλυνση του τηλεφώνου του με το Predator. Μετά την εγκατάσταση του λογισμικού, ο εισβολέας θα μπορούσε να αποκτήσει απεριόριστη πρόσβαση στη συσκευή και στα δεδομένα της.

Τα μηνύματα που έλαβε ο δημοσιογράφος, όπως τα δημοσιεύει η Διεθνής Αμνηστία:

Το μήνυμα στα Πορτογαλικά και η μετάφραση στα αγγλικά. Περιλαμβάνει παραποιημένο σύνδεσμο με κακόβουλο λογισμικό, σύμφωνα με τη Διεθνή Αμνηστία

Το μήνυμα στα Πορτογαλικά και η μετάφραση στα αγγλικά. Περιλαμβάνει παραποιημένο σύνδεσμο με κακόβουλο λογισμικό, σύμφωνα με τη Διεθνή Αμνηστία

Το μήνυμα στα Πορτογαλικά και η μετάφραση στα αγγλικά. Περιλαμβάνει παραποιημένο σύνδεσμο με κακόβουλο λογισμικό, σύμφωνα με τη Διεθνή Αμνηστία

Στάλθηκαν πάνω από δέκα σύνδεσμοι μόλυνσης με Predator

Το εργαστήριο ψηφιακής ασφάλειας της Διεθνής Αμνηστία ανέλυσε το τηλέφωνο του Τεϊσέιρα Κάντιντου και, όπως επισημαίνει, «εντόπισε εγκληματολογικά ίχνη δικτυακών επικοινωνιών που πραγματοποιήθηκαν από το κακόβουλο λογισμικό στις 4 Μαΐου, επιβεβαιώνοντας ότι το Predator εγκαταστάθηκε και λειτουργούσε στο τηλέφωνο του δημοσιογράφου εκείνη την ημέρα. Αυτά τα εγκληματολογικά ίχνη, εκτός από τους γνωστούς τομείς μόλυνσης από το Predator που χρησιμοποιούνται στους συνδέσμους μόλυνσης, επιτρέπουν την απόδοση αυτής της επίθεσης στο Predator της Intellexa».

Η μόλυνση στο τηλέφωνό του φαίνεται να αφαιρέθηκε μετά από επανεκκίνηση της συσκευής το βράδυ της 4ης Μαΐου. Η μόλυνση από το Predator φαίνεται να διήρκεσε λιγότερο από μία μέρα, καθώς η μόλυνση αφαιρέθηκε όταν το τηλέφωνο του δημοσιογράφου επανεκκινήθηκε το βράδυ της 4ης Μαΐου 2024. Ωστόσο, μεταξύ 4 Μαΐου και 16 Ιουνίου 2024, ο εισβολέας απέστειλε ακόμη 11 συνδέσμους μόλυνσης με Predator. Οι επακόλουθες απόπειρες επίθεσης φαίνεται να απέτυχαν, πιθανώς επειδή οι σύνδεσμοι δεν άνοιξαν από τον Τεϊσέιρα Κάντιντου.

«Η επίθεση με λογισμικό κατασκοπείας στον Τεϊσέιρα Κάντιντου αποτελεί σοβαρή παραβίαση των δικαιωμάτων του στην ιδιωτικότητα και την ελευθερία της έκφρασης, τα οποία από μόνα τους επηρεάζουν μια σειρά από άλλα δικαιώματα», υπογραμμίζει η Διεθνής Αμνηστία, σημειώνοντας ότι τέτοιες επιθέσεις έχουν αποθαρρυντικό αντίκτυπο στην ικανότητα των δημοσιογράφων να επιτελούν το έργο τους.

Παράλληλα, επισημαίνει ότι «η επίθεση λαμβάνει χώρα εν μέσω ενός αυστηρότερου αυταρχικού περιβάλλοντος στην Ανγκόλα υπό την κυβέρνηση του προέδρου Ζοάο Λουρένσο, το οποίο χαρακτηρίζεται από την καταστολή ειρηνικών διαμαρτυριών και τη συστηματική χρήση υπερβολικής ή περιττής βίας, αυθαίρετες συλλήψεις και κρατήσεις, καθώς και καταχρήσεις κατά την κράτηση και εξαφανίσεις ατόμων».

Σε επιστολή που απέστειλε στην Intellexa στις 27 Ιανουαρίου 2026, η Διεθνής Αμνηστία παρουσίασε τα ευρήματα της έρευνάς της και ζήτησε πληροφορίες για τις διαδικασίες και τις πρακτικές που εφαρμόζει η εταιρεία. Μεταξύ άλλων, ρώτησε αν είχε γνώση της επίθεσης του 2024, αν είχε πρόσβαση στο σύστημα εξυπηρέτησης πελατών που χρησιμοποιήθηκε στην Ανγκόλα, καθώς και σε τεχνικές ή άλλες πληροφορίες σχετικά με τον στόχο.

Μέχρι τη δημοσίευση της έκθεσης της Διεθνούς Αμνηστίας, η Intellexa δεν είχε απαντήσει.