Την ώρα που πολιτικοί, δημοσιογράφοι, ακτιβιστές, φωνές με κριτική διάθεση απέναντι σε φορείς εξουσίας προσπαθούσαν να ξεφύγουν από τα δίχτυα του Pegasus της NSO, ένα άλλο λογισμικό κατασκοπείας ψάρευε πληροφορίες από τα κινητά τηλέφωνά τους. Το Predator (αρπακτικό) της Cytrox, που προκαλεί κλυδωνισμούς στην ελληνική πολιτική σκηνή, απασχολεί έντονα ήδη από το 2021.
Η πρώτη αποκάλυψη
Τον Δεκέμβριο του περασμένου έτους το Citizen Lab αποκάλυψε ότι θύματα του λογισμικού είχαν πέσει δύο Αιγύπτιοι - ο εξόριστος πολιτικός Άιμαν Νουρ και ένας παρουσιαστής δημοφιλούς ειδησεογραφικής εκπομπής, σφοδρός επικριτής του Αλ Σίσι (που θέλησε να διατηρήσει την ανωνυμία του). Και οι δύο δέχθηκαν την επίθεση του Predator τον Ιούνιο του 2021. Μάλιστα το κινητό του Νουρ είχε μολυνθεί ταυτόχρονα από το Predator και το Pegasus με δύο διαφορετικούς κυβερνητικούς πελάτες να τον κατασκοπεύουν. Σε εκείνη την έρευνα το Citizen Lab προειδοποιούσε πως ν το λογισμικό κατασκοπείας πιθανόν να χρησιμοποιείται από κυβερνητικούς πελάτες σε Αρμενία, Ελλάδα, Σερβία, Ινδονησία, Μαδαγασκάρη και Ομάν, όπως επίσης από την Αίγυπτο και τη Σαουδική Αραβία. Η Meta (Facebook) την ίδια περίοδο αποκάλυπτε με ξεχωριστή έρευνα πως το Predator είχε πελάτες σε Βιτενάμ, Φιλιππίνες και Γερμανία.
H Cytrox και οι διασυνδέσεις της
Το Predator είναι προϊόν της εταιρείας Cytrox, που ιδρύθηκε το 2017 ως start -up της Βόρειας Μακεδονίας. Έχει σημαντική παρουσία τόσο στο Ισραήλ όσο και στην Ουγγαρία. Οι ισραηλινές θυγατρικές της Cytrox ιδρύθηκαν επίσης το 2017 ως Cytrox EMEA και Cytrox Ltd. Και οι δύο μετονομάστηκαν το 2019 σε Balinese Ltd και Peterbald Ltd αντίστοιχα. Η ουγγρική θυγατρική ονομάζεται Holdings Zrt. Σε άρθρο του Forbes το 2019 αναφέρεται ότι η Cytrox "διεσώθη" από τον Ταλ Ντίλιαν, πρώην διοικητή των ισραηλινών ενόπλων δυνάμεων, του οποίου η εταιρεία WiSpear (φαίνεται να έχει πλέον μετονομαστεί σε Passitora) έχει έδρα την Κύπρο. Ο Ντίλιαν, σύμφωνα με την έρευνα του Citizen Lab, είναι επίσης ιδρυτής της εταιρείας δικτύων παρακολούθησης Circles και επικεφαλής της Intellexa. H τελευταία, όπως αναφέρεται στην έρευνα, είχε αρχικά έδρα της την Κύπρο, αλλά τώρα έχει παρουσία στην Ελλάδα και την Ιρλανδία. H ίδια η εταιρεία αναφέρει στην ιστοσελίδα της ότι εδρεύει στην ΕΕ και υπόκειται σε ρυθμιστικό πλαίσιο, ενώ διατηρεί εργαστήρια ανά την Ευρώπη.
Πώς λειτουργεί το λογισμικό
Ο Νουρ, που ζει στην Τουρκία, άρχισε να υποπτεύεται ότι κάτι δεν πάει καλά όταν η συσκευή του (iPhone) άρχισε να θερμαίνεται υπερβολικά. Το Citizen Lab βρήκε αρχικά ότι το κινητό είχε προσβληθεί από το Pegasus της NSO και στη συνέχεια ανακάλυψε ότι ήταν θύμα ακόμη ενός λογισμικόυ κατασκοπείας, του Predator. Το κινητό τόσο του Νουρ όσο και του Αιγύπτιου δημοσιογράφου «έτρεχαν» σε iOS 14.6.
To Predator μοιράζεται αρκετά κοινά στοιχεία με το Pegasus, αλλά απαιτεί διάδραση με τον στόχο του. Ο χρήστης του κινητού πρέπει να πατήσει σε έναν σύνδεσμο (link), που τoυ έρχεται ως μήνυμα στο email ή σε εφαρμογές. Στον Νουρ εστάλη μέσω του WhatsApp. Όταν το άνοιξε, αυτό απέκτησε πρόσβαση στην κάμερα, το μικρόφωνο και κωδικούς του κινητού, ενώ είχε τη δυνατότητα να εξάγει δεδομένα από αυτό. Σύμφωνα με το Citizen Lab το «αρπακτικό» είναι αρκετά «ανθεκτικό» αφού επιβιώνει ακόμη και σε περίπτωση ενός reboot στο iPhone. Κάτι ανάλογο επιχειρήθηκε να γίνει και στηνπ περίπτωση του Νίκου Ανδρουλάκη. Ωστόσο ο σύνδεσμος δεν πατήθηκε και έτσι το κινητό τελικά δεν παγιδεύτηκε με το συγκεκριμένο λογισμικό (η παρακολούθηση από την ΕΥΠ έγινε με άλλα μέσα).
Το Predator και η Ελλάδα
Στις 11 Απριλίου 2022 το inside story αποκάλυψε ότι επί τουλάχιστον δέκα εβδομάδες το κινητό του δημοσιογράφου Θανάση Κουκάκη ήταν παγιδευμένο με το Predator. Ο δημοσιογράφος κατέθεσε τον Ιούνιο μήνυση για να μάθει ποιος τον παρακολουθούσε. Είχε προηγηθεί τον Μάιο η δημοσιοποίηση επίσημου εγγράφου της Google, στο οποίο η εταιρεία επικαλούμενη την έρευνα του Citizen Lab ανέφερε ότι η Ελλάδα ήταν μεταξύ των χωρών που πιθανότατα προμηθεύτηκαν το λογισμικό. Όπως εξηγούσε το λογισμικό εκμεταλλεύτηκε πέντε προηγουμένως άγνωστα τρωτά σημεία του Android, καθώς και γνωστά ελαττώματα που είχαν διαθέσιμες επιδιορθώσεις, αλλά τα θύματα δεν τις είχαν αξιοποιήσει. Ο κυβερνητικός εκπρόσωπος Γιάννης Οικονόμου διέψευσε κατηγορηματικά την όποια σύνδεση της ελληνικής κυβέρνησης με το λογισμικό, τονίζοντας ότι ελληνικές κρατικές υπηρεσίες ουδέποτε το αγόρασαν ή χρησιμοποίησαν. Η παρακολούθηση Κουκάκη έγινε από ιδιώτη, είναι η θέση της κυβέρνησης.
Στις 28 Ιουνίου η υπηρεσία CERT της Ευρωβουλής ενημερώθηκε πως υπήρξε «κρίσιμο εύρημα» στη συσκευή κινητής τηλεφωνίας του προέδρου του ΠΑΣΟΚ, Νίκου Ανδρουλάκη. Η όλη υπόθεση ήρθε στο φως στις 3 Αυγούστου όταν ο κ. Ανδρουλάκης κατέθεσε μηνυτήρια αναφορά στον Άρειο Πάγο για προσπάθεια παγίδευσης του κινητού τηλεφώνου του με το Predator.
Η μηνυτήρια αναφορά έφερε τη σύγκληση της Επιτροπής Θεσμών και Διαφάνειας της Βουλής, στην οποία κατέθεσε και ο διοικητής της ΕΥΠ, Παναγιώτης Κοντολέων. Ο τελευταίος υπέβαλε την παραίτησή του στις 5 Αυγούστου για «λανθασμένες ενέργειες που διαπιστώθηκαν στη διαδικασία των νόμιμων επισυνδέσεων». Όπως έγινε γνωστό η ΕΥΠ επί τρεις μήνες παρακολουθούσε τον Νίκο Ανδρουλάκη. Η παρακολούθηση έληξε δύο ημέρες μετά την εκλογή του στην προεδρία του ΠΑΣΟΚ.