8479 - Kẻ chuyên quyền trong iPhone của bạn

Ronald J. Deibert

Ảnh Daniel Stolle

Vào mùa hè năm 2020, một âm mưu của Rwanda nhằm bắt giữ thủ lĩnh phe đối lập lưu vong Paul Rusesabagina đã thu hút sự chú ý của quốc tế. Rusesabagina được biết đến nhiều nhất với tư cách là người bảo vệ nhân quyền và người nhận Huân chương Tự do của Tổng thống Hoa Kỳ, người đã che chở hơn 1.200 người Hutus và Tutsis trong một khách sạn trong cuộc diệt chủng ở Rwanda năm 1994. Nhưng trong những thập kỷ sau cuộc diệt chủng, ông cũng trở thành một nhà phê bình nổi tiếng ở Hoa Kỳ đối với Tổng thống Rwandan Paul Kagame. Vào tháng 8 năm 2020, trong thời gian quá cảnh ở Dubai, Rusesabagina đã bị dụ lên máy bay đến Kigali, thủ đô của Rwandan, nơi chính quyền ngay lập tức bắt giữ anh ta vì liên kết với một nhóm đối lập. Năm sau, một tòa án ở Rwanda đã kết án anh ta 25 năm tù, khiến các nhóm nhân quyền quốc tế, Nghị viện Châu Âu và Quốc hội Hoa Kỳ lên án.

Tuy nhiên, vào thời điểm đó ít được chú ý hơn là hoạt động xuyên biên giới trắng trợn này cũng có thể đã sử dụng hoạt động giám sát kỹ thuật số rất tinh vi. Sau khi Rusesabagina bị tuyên án, Tổ chức Ân xá Quốc tế và Phòng thí nghiệm Công dân tại Đại học Toronto, một nhóm nghiên cứu bảo mật kỹ thuật số do tôi thành lập và trực tiếp phát hiện ra rằng điện thoại thông minh của một số thành viên gia đình Rusesabagina cũng sống ở nước ngoài đã bị tấn công bởi một chương trình phần mềm gián điệp tiên tiến có tên Pegasus . Được sản xuất bởi Tập đoàn NSO có trụ sở tại Israel, Pegasus cung cấp cho nhà điều hành quyền truy cập gần như toàn bộ vào dữ liệu cá nhân của mục tiêu. Phân tích pháp y cho thấy chiếc điện thoại của Carine Kanimba, con gái của Rusesabagina, đã bị nhiễm phần mềm gián điệp vào khoảng thời gian cha cô bị bắt cóc và một lần nữa khi cô đang cố gắng bảo đảm việc thả ông và đang gặp các quan chức cấp cao ở Châu Âu và Bộ Ngoại giao Hoa Kỳ. , trong đó có đặc phái viên Hoa Kỳ về vấn đề con tin. Tập đoàn NSO không công khai danh tính các khách hàng chính phủ của mình và chính phủ Rwanda đã phủ nhận việc sử dụng Pegasus, nhưng bằng chứng tình huống mạnh mẽ chỉ ra chế độ Kagame.

Trên thực tế, vụ việc chỉ là một trong hàng chục trường hợp Pegasus hoặc công nghệ phần mềm gián điệp tương tự khác được phát hiện trên thiết bị kỹ thuật số của các nhân vật đối lập chính trị nổi tiếng, nhà báo và nhà hoạt động nhân quyền ở nhiều quốc gia. Cung cấp khả năng xâm nhập một cách bí mật ngay cả những điện thoại thông minh cập nhật nhất—phiên bản phần mềm gián điệp “không nhấp chuột” mới nhất có thể xâm nhập vào một thiết bị mà không cần bất kỳ hành động nào của người dùng—Pegasus đã trở thành công cụ giám sát kỹ thuật số được lựa chọn cho các chế độ đàn áp khắp nơi thế giới. Nó đã được sử dụng để chống lại những người chỉ trích chính phủ ở Các Tiểu vương quốc Ả Rập Thống nhất (UAE) và những người biểu tình ủng hộ dân chủ ở Thái Lan. Nó đã được triển khai bởi Ả Rập Saudi của Mohammed bin Salman và Hungary của Viktor Orban.

Nhưng việc sử dụng phần mềm gián điệp hầu như không chỉ giới hạn ở những nhà độc tài trên thế giới. Như các nhà nghiên cứu đã tiết lộ, trong thập kỷ qua, nhiều nền dân chủ, bao gồm cả Tây Ban Nha và Mexico, cũng đã bắt đầu sử dụng phần mềm gián điệp theo những cách vi phạm các quy tắc đã được thiết lập rõ ràng về nhân quyền và trách nhiệm giải trình trước công chúng. Các tài liệu của chính phủ Hoa Kỳ được The New York Times tiết lộ vào tháng 11 năm 2022 cho thấy FBI không chỉ mua lại các dịch vụ phần mềm gián điệp từ NSO, có thể cho mục đích phản gián, mà còn dự tính triển khai chúng, bao gồm cả các mục tiêu của Hoa Kỳ. (Một phát ngôn viên của FBI nói với tờ Times rằng “không có hoạt động sử dụng sản phẩm NSO nào để hỗ trợ bất kỳ cuộc điều tra nào của FBI.”)

Sự ra đời của phần mềm gián điệp tiên tiến đã làm thay đổi thế giới gián điệp và giám sát. Kết hợp một ngành công nghiệp phần lớn không được kiểm soát với hệ sinh thái kỹ thuật số xâm lấn theo thiết kế, trong đó điện thoại thông minh và các thiết bị cá nhân khác chứa đựng những thông tin chi tiết nhất về cuộc sống của con người, công nghệ mới có thể theo dõi hầu hết mọi người, ở mọi nơi trên thế giới. Các chính phủ đã chú ý. Đối với Israel, quốc gia phê duyệt giấy phép xuất khẩu cho Pegasus của Tập đoàn NSO, việc bán phần mềm gián điệp cho các chính phủ nước ngoài đã mang lại ảnh hưởng ngoại giao mới ở các quốc gia khác nhau như Ấn Độ và Panama; một cuộc điều tra của New York Times cho thấy các thỏa thuận của NSO đã giúp Thủ tướng Israel Benjamin Netanyahu ký Hiệp định Abraham với Bahrain, Maroc và UAE. Đổi lại, các quốc gia khách hàng đã sử dụng Pegasus để chống lại không chỉ các nhóm đối lập, nhà báo và các tổ chức phi chính phủ (NGO) mà còn cả các đối thủ địa chính trị. Vào năm 2020 và 2021, Citizen Lab đã phát hiện ra rằng một số thiết bị của các quan chức trong Văn phòng Phát triển và Thịnh vượng chung nước ngoài của Vương quốc Anh đã bị tấn công bằng Pegasus và một khách hàng của Tập đoàn NSO ở UAE đã sử dụng phần mềm gián điệp để xâm nhập vào một thiết bị đặt tại Số 10 phố Downing, nơi ở của thủ tướng Anh. Vào tháng 11 năm 2021, gã khổng lồ công nghệ Apple đã thông báo cho 11 nhân viên của đại sứ quán Hoa Kỳ ở Uganda rằng iPhone của họ đã bị hack bằng Pegasus.

Trước những tiết lộ này, các công ty phần mềm gián điệp thường phủ nhận trách nhiệm về hành vi lạm dụng của khách hàng hoặc từ chối bình luận. Trong một tuyên bố với The New Yorker vào tháng 4 năm 2022, NSO Group cho biết: “Chúng tôi đã nhiều lần hợp tác với các cuộc điều tra của chính phủ, nơi có những cáo buộc đáng tin cậy và đã rút ra bài học từ mỗi phát hiện cũng như báo cáo này, đồng thời cải thiện các biện pháp bảo vệ trong công nghệ của chúng tôi”. Công ty Israel cũng cho biết công nghệ của họ được thiết kế để giúp các chính phủ điều tra tội phạm và khủng bố. Nhưng phần mềm gián điệp tiên tiến hiện nay có liên quan đến vi phạm nhân quyền và hoạt động gián điệp xuyên bang ở hàng chục quốc gia, và các công ty phần mềm gián điệp có rất ít nghĩa vụ pháp lý hoặc khuyến khích đối với sự minh bạch hoặc trách nhiệm giải trình trước công chúng. NSO Group chưa cung cấp bất kỳ thông tin cụ thể nào để phản bác bằng chứng chi tiết về hành vi lạm dụng của Citizen Lab.

Hậu quả của cuộc cách mạng phần mềm gián điệp là sâu sắc. Ở những quốc gia có ít nguồn lực, lực lượng an ninh giờ đây có thể theo đuổi các hoạt động công nghệ cao bằng cách sử dụng công nghệ sẵn có gần như dễ dàng mua được như tai nghe từ Amazon. Trong các nền dân chủ, công nghệ đã trở thành một công cụ không thể cưỡng lại được và có thể được triển khai mà không cần giám sát nhiều; Chỉ riêng trong năm ngoái, các cơ quan an ninh ở ít nhất bốn quốc gia châu Âu—Hy Lạp, Hungary, Ba Lan và Tây Ban Nha—đã dính líu đến các vụ bê bối trong đó các cơ quan nhà nước bị cáo buộc triển khai phần mềm gián điệp chống lại các nhà báo và các nhân vật đối lập chính trị. Thị trường phần mềm gián điệp toàn cầu cũng có nghĩa là các hình thức giám sát và gián điệp từng chỉ giới hạn ở một số cường quốc giờ đây có sẵn ở hầu hết mọi quốc gia và thậm chí có thể áp dụng cho nhiều công ty tư nhân hơn. Nếu không được kiểm soát, sự phổ biến của công nghệ này có nguy cơ làm xói mòn nhiều thể chế, quy trình và giá trị mà trật tự quốc tế tự do phụ thuộc vào.

CHÚNG TÔI SẼ LÀM GIÁN ĐIỆP CHO BẠN

Cuộc cách mạng phần mềm gián điệp đã nổi lên như một sản phẩm phụ của sự hội tụ đáng chú ý của sự phát triển công nghệ, xã hội và chính trị trong thập kỷ qua. Điện thoại thông minh và các thiết bị kỹ thuật số khác dễ bị giám sát vì ứng dụng của chúng thường có sai sót và vì chúng liên tục truyền dữ liệu qua mạng di động và Internet không an toàn. Mặc dù các nhà sản xuất nền tảng công nghệ này thuê kỹ sư để tìm và vá các lỗ hổng nhưng họ có xu hướng ưu tiên phát triển sản phẩm hơn là bảo mật. Bằng cách khám phá và trang bị vũ khí cho “zero day”—các lỗ hổng phần mềm mà các nhà thiết kế của chúng chưa biết đến—các công ty phần mềm gián điệp khai thác sự bất an cố hữu của thế giới tiêu dùng kỹ thuật số.

Nhưng sự tăng trưởng phi thường của thị trường phần mềm gián điệp cũng được thúc đẩy bởi một số xu hướng rộng lớn hơn. Đầu tiên, phần mềm gián điệp lợi dụng nền văn hóa kỹ thuật số toàn cầu được hình thành xung quanh các điện thoại thông minh luôn kết nối và luôn bật. Bằng cách hack một thiết bị cá nhân, phần mềm gián điệp có thể cung cấp cho người điều hành toàn bộ mô hình cuộc sống của người dùng trong thời gian thực. Thứ hai, phần mềm gián điệp cung cấp cho các cơ quan an ninh một cách tinh tế để phá vỡ mã hóa đầu cuối, vốn đã trở thành rào cản ngày càng tăng đối với các chương trình giám sát hàng loạt của chính phủ phụ thuộc vào việc thu thập dữ liệu viễn thông và Internet. Bằng cách xâm nhập vào bên trong thiết bị của người dùng, phần mềm gián điệp cho phép người điều hành đọc tin nhắn hoặc nghe cuộc gọi trước khi chúng được mã hóa hoặc sau khi chúng được giải mã; nếu người dùng có thể nhìn thấy nó trên màn hình thì phần mềm gián điệp cũng vậy. Yếu tố thứ ba thúc đẩy sự phát triển của ngành là sự gia tăng của các phong trào phản kháng được hỗ trợ bằng kỹ thuật số. Những biến động phổ biến như các cuộc cách mạng màu ở các quốc gia thuộc Liên Xô cũ trong thập kỷ đầu tiên của thế kỷ này và Mùa xuân Ả Rập năm 2010–11 đã khiến nhiều nhà độc tài bất ngờ và những người tổ chức thường sử dụng điện thoại để huy động người biểu tình. Bằng cách cung cấp một cách gần như thần thánh để xâm nhập vào mạng lưới các nhà hoạt động, phần mềm gián điệp đã mở ra một phương pháp mới mạnh mẽ để các chính phủ giám sát những người bất đồng chính kiến ​​và thực hiện các bước để vô hiệu hóa nó trước khi các cuộc biểu tình lớn xảy ra.

Cuối cùng, ngành công nghiệp phần mềm gián điệp cũng được thúc đẩy bởi quá trình tư nhân hóa an ninh quốc gia ngày càng tăng. Giống như các chính phủ đã chuyển sang thuê các nhà thầu tư nhân cho các hoạt động quân sự phức tạp hoặc gây tranh cãi, họ phát hiện ra rằng họ có thể thuê ngoài hoạt động giám sát và gián điệp cho các chủ thể tư nhân được trang bị tốt hơn và ít bị phát hiện hơn. Giống như những người lính may mắn, các công ty phần mềm gián điệp tiên tiến có xu hướng đặt doanh thu lên trên đạo đức, bán sản phẩm của họ mà không quan tâm đến chính trị của khách hàng—làm nảy sinh thuật ngữ “phần mềm gián điệp đánh thuê”—và giống như các nhà thầu quân sự, giao dịch của họ với các cơ quan an ninh chính phủ rất thường được che giấu bí mật để tránh sự giám sát của công chúng. Hơn nữa, giống như các nhà thầu quân sự đã cung cấp các công việc sinh lợi trong khu vực tư nhân cho các cựu chiến binh của quân đội và cơ quan tình báo, các công ty phần mềm gián điệp và các cơ quan an ninh của chính phủ cũng đang xây dựng các mối quan hệ đối tác cùng có lợi tương tự, thúc đẩy ngành này trong quá trình này. Ví dụ, nhiều thành viên cấp cao của Tập đoàn NSO là cựu chiến binh của tình báo Israel, bao gồm cả Ban Giám đốc Tình báo Quân đội ưu tú.

Mặc dù sự thiếu minh bạch khiến ngành công nghiệp phần mềm gián điệp đánh thuê khó đo lường nhưng các nhà báo ước tính nó trị giá khoảng 12 tỷ USD mỗi năm. Trước những khó khăn tài chính gần đây do số lượng vụ kiện ngày càng tăng, Tập đoàn NSO được định giá 2 tỷ USD và có những công ty lớn khác trên thị trường. Nhiều công ty hiện sản xuất phần mềm gián điệp tinh vi, bao gồm Cytrox (được thành lập ở Bắc Macedonia và hiện hoạt động ở Hungary và Israel), Cyberbit và Candiru có trụ sở tại Israel, Hacking Team có trụ sở tại Ý (hiện không còn tồn tại) và Nhóm Gamma Anh-Đức. Mỗi công ty này theo giả thuyết có thể phục vụ nhiều khách hàng. Ví dụ: các chính phủ dường như đã sử dụng phần mềm gián điệp Predator của Cytrox bao gồm Armenia, Ai Cập, Hy Lạp, Indonesia, Madagascar và Serbia. Vào năm 2021, Bộ trưởng An ninh và An toàn Công cộng Mexico, Rosa Icela Rodríguez, nói rằng chính quyền Mexico trước đây đã ký nhiều hợp đồng với NSO Group, tổng trị giá 61 triệu USD, để mua phần mềm gián điệp Pegasus, và như các nhà nghiên cứu Mexico và quốc tế đã chỉ ra, chính phủ đã giữ nguyên. sử dụng Pegasus bất chấp sự đảm bảo công khai của ban lãnh đạo hiện tại rằng điều đó sẽ không xảy ra. (Vào tháng 10 năm 2022, Tổng thống Mexico Andrés Manuel López Obrador đã phủ nhận phát hiện này, nói rằng chính quyền của ông không sử dụng phần mềm gián điệp để chống lại các nhà báo hoặc đối thủ chính trị.)

Trên cơ sở những thỏa thuận béo bở như vậy, các công ty phần mềm gián điệp đã nhận được sự hỗ trợ từ các quỹ cổ phần tư nhân lớn, chẳng hạn như công ty Francisco Partners ở San Francisco và Novalpina Capital có trụ sở tại London, do đó củng cố nguồn lực của họ. Francisco Partners, người có cổ phần kiểm soát tại NSO Group trong 5 năm, nói với Bloomberg News vào năm 2021, “[Chúng tôi] cam kết sâu sắc về các hoạt động kinh doanh có đạo đức và chúng tôi đánh giá tất cả các khoản đầu tư của mình thông qua lăng kính đó”. Novalpina, cùng với những người sáng lập NSO đã mua lại cổ phần của Francisco Partners vào năm 2019, cho biết họ sẽ khiến công ty phần mềm gián điệp này “hoàn toàn phù hợp với các nguyên tắc hướng dẫn của Liên hợp quốc về kinh doanh và nhân quyền”, nhưng những tiết lộ về hành vi lạm dụng Pegasus vẫn tiếp tục và thư từ được xuất bản bởi The Guardian vào năm 2022 chỉ ra rằng Novalpina đã tìm cách làm mất uy tín của những người chỉ trích Tập đoàn NSO, bao gồm cả tác giả này. (Luật sư của Novalpina nói với The Guardian rằng đây là “những cáo buộc hời hợt và không có căn cứ.”) Sau tranh chấp giữa các đối tác sáng lập của Novalpina, công ty đã mất cổ phần kiểm soát trong NSO Group vào năm 2021.

Nhưng ngành công nghiệp phần mềm gián điệp cũng bao gồm các công ty kém phức tạp hơn nhiều ở các quốc gia như Ấn Độ, Philippines và Síp. Là cơ quan giám sát tương đương với các cửa hàng sửa chữa điện thoại ở trung tâm thương mại, những cơ sở như vậy có thể thiếu khả năng xác định ngày 0, nhưng họ vẫn có thể hoàn thành mục tiêu thông qua các phương tiện đơn giản hơn. Họ có thể sử dụng lừa đảo thông tin xác thực—bằng cách giả mạo, thường là qua email hoặc tin nhắn văn bản, để lấy mật khẩu kỹ thuật số của người dùng hoặc thông tin cá nhân nhạy cảm khác—hoặc họ có thể chỉ đơn giản là mua các lỗ hổng phần mềm từ các tin tặc khác trên thị trường chợ đen. Và những công ty nhỏ hơn này có thể sẵn sàng hơn để thực hiện các hoạt động bất hợp pháp thay mặt cho khách hàng tư nhân vì họ nằm ngoài khu vực tài phán mà nạn nhân cư trú hoặc vì việc thực thi lỏng lẻo.

Thật khó để đánh giá quá cao phạm vi tiếp cận và sức mạnh của phần mềm gián điệp thương mại mới nhất. Ở dạng tiên tiến nhất, nó có thể âm thầm xâm nhập vào mọi thiết bị dễ bị tấn công ở bất kỳ đâu trên thế giới. Hãy lấy ví dụ về cách khai thác zero-day, zero-click mà các nhà nghiên cứu của Citizen Lab đã phát hiện vào năm 2021 trên một chiếc iPhone bị nhiễm Pegasus. Bằng cách sử dụng cách khai thác mà các nhà nghiên cứu gọi là ForcedEntry, kẻ điều hành phần mềm gián điệp có thể lén lút chặn các tin nhắn và cuộc gọi điện thoại, bao gồm cả những tin nhắn được mã hóa bởi các ứng dụng như Signal hoặc WhatsApp; bật micrô và máy ảnh của người dùng; theo dõi chuyển động thông qua GPS của thiết bị; và thu thập ảnh, ghi chú, danh bạ, email và tài liệu. Nhà điều hành có thể thực hiện hầu hết mọi việc mà người dùng có thể làm và hơn thế nữa, bao gồm định cấu hình lại cài đặt bảo mật của thiết bị và lấy mã thông báo kỹ thuật số được sử dụng để truy cập an toàn vào tài khoản đám mây để có thể tiếp tục giám sát mục tiêu ngay cả khi việc khai thác đã bị xóa khỏi thiết bị —tất cả đều không có nhận thức của mục tiêu. Sau khi Citizen Lab chia sẻ ForcedEntry của Pegasus với các nhà phân tích tại Apple và Google, các nhà phân tích của Google đã mô tả nó là “một trong những cách khai thác tinh vi nhất về mặt kỹ thuật mà chúng tôi từng thấy”, lưu ý rằng nó cung cấp các khả năng mà “trước đây được cho là chỉ có một số người mới có thể truy cập được”. một số quốc gia dân tộc.”

Bắn tin nhắn

Trong thập kỷ qua, sự trỗi dậy của các chế độ độc tài ở nhiều nơi trên thế giới đã đặt ra những câu hỏi mới về tính bền vững của trật tự quốc tế tự do. Như đã được lưu ý rộng rãi, nhiều tầng lớp cầm quyền đã có thể trượt sang chủ nghĩa độc tài bằng cách hạn chế hoặc kiểm soát những người bất đồng chính kiến, giới truyền thông, tòa án và các tổ chức khác của xã hội dân sự. Tuy nhiên, người ta lại ít chú ý đến vai trò lan rộng của ngành công nghiệp phần mềm gián điệp đánh thuê trong quá trình này. Sự lơ là này một phần là kết quả của việc chúng ta biết rất ít về phần mềm gián điệp, trong nhiều trường hợp, bao gồm cả danh tính của các cơ quan chính phủ cụ thể đang sử dụng nó. (Do tính chất bí mật của các giao dịch phần mềm gián điệp, việc xác định nạn nhân dễ dàng hơn nhiều so với những kẻ điều hành.) Tuy nhiên, có rất ít nghi ngờ rằng phần mềm gián điệp đã được sử dụng để làm suy thoái một cách có hệ thống các thực tiễn và thể chế dân chủ tự do.

Một trong những ứng dụng thường xuyên nhất của công nghệ là thâm nhập vào các phong trào đối lập, đặc biệt là trong thời gian chuẩn bị bầu cử. Các nhà nghiên cứu đã xác định được các trường hợp trong đó các nhân vật đối lập bị nhắm tới, không chỉ ở các quốc gia độc tài như Ả Rập Saudi và UAE mà còn ở các nước dân chủ như Ấn Độ và Ba Lan. Thật vậy, một trong những trường hợp nghiêm trọng nhất đã xảy ra ở Tây Ban Nha, một quốc gia có nền dân chủ nghị viện và là thành viên Liên minh Châu Âu. Từ năm 2017 đến năm 2020, Citizen Lab đã phát hiện ra rằng Pegasus đã được sử dụng để nghe lén một bộ phận lớn xã hội dân sự và chính phủ Catalan. Các mục tiêu bao gồm mọi thành viên Catalan của Nghị viện Châu Âu, những người ủng hộ nền độc lập cho Catalonia, mọi tổng thống Catalan kể từ năm 2010, và nhiều thành viên của các cơ quan lập pháp Catalan, bao gồm nhiều chủ tịch của quốc hội Catalan. Đáng chú ý, một số vụ nhắm mục tiêu diễn ra trong bối cảnh các cuộc đàm phán nhạy cảm giữa chính phủ Catalan và Tây Ban Nha về số phận của những người ủng hộ nền độc lập của Catalan đang bị cầm tù hoặc lưu vong. Sau khi phát hiện này thu hút sự chú ý của quốc tế, Paz Esteban, người đứng đầu Trung tâm Tình báo Quốc gia Tây Ban Nha, đã thừa nhận với các nhà lập pháp Tây Ban Nha rằng phần mềm gián điệp đã được sử dụng để chống lại một số chính trị gia người Catalan và Esteban sau đó đã bị sa thải. Nhưng vẫn chưa rõ cơ quan chính phủ nào phải chịu trách nhiệm và luật nào, nếu có, được sử dụng để biện minh cho một hoạt động gián điệp nội địa quy mô lớn như vậy.

Ở một số quốc gia, phần mềm gián điệp đã được chứng minh là có hiệu quả tương đương đối với các nhà báo đang điều tra những người nắm quyền lực, gây ra những hậu quả sâu rộng cho cả mục tiêu và nguồn tin của họ. Vào năm 2015, một số thiết bị của nhà báo Mexico Carmen Aristegui và một thành viên trong gia đình cô đã được gửi liên kết khai thác Pegasus trong khi cô đang điều tra tham nhũng liên quan đến Tổng thống Mexico khi đó là Enrique Peña Nieto. Không có bằng chứng cụ thể nào xác định được bên chịu trách nhiệm, mặc dù bằng chứng tình huống mạnh mẽ cho thấy có cơ quan chính phủ Mexico. Năm 2021, một nhà báo Hungary đang điều tra tham nhũng trong nội bộ của Tổng thống Viktor Orban đã bị hack bằng Pegasus. (Chính phủ Hungary sau đó thừa nhận rằng họ đã mua công nghệ này.) Và cùng năm đó, điện thoại di động của phóng viên Ben Hubbard của tờ New York Times về Trung Đông đã bị nhiễm Pegasus khi ông đang viết một cuốn sách về nhà lãnh đạo trên thực tế của Ả Rập Saudi, Thái tử. Mohammed bin Salman.

Với phần mềm gián điệp, chính phủ có thể ngăn chặn các cuộc biểu tình trước khi chúng xảy ra.

Hầu như thường xuyên, phần mềm gián điệp đã được sử dụng để làm suy yếu các quan chức tư pháp và các tổ chức xã hội dân sự đang cố gắng buộc các chính phủ phải chịu trách nhiệm. Lấy trường hợp của Alberto Nisman, một công tố viên chống tham nhũng nổi tiếng người Argentina, người đang điều tra một âm mưu tội phạm được cho là của các quan chức cấp cao Argentina. Vào tháng 1 năm 2015, Nisman được phát hiện đã chết trong hoàn cảnh đáng ngờ — cái chết của anh ta sau đó được coi là một vụ giết người — một ngày trước khi anh ta phải cung cấp lời khai trước Quốc hội về việc tổng thống Argentina lúc đó là Cristina Fernández de Kirchner và bộ trưởng ngoại giao của bà, Héctor Hẹn giờ, trong một trang bìa - cáo buộc Iran có liên quan đến vụ đánh bom năm 1994 vào một trung tâm Do Thái ở Buenos Aires. Cuối năm đó, Citizen Lab đã ghi lại cách một nhóm hack-for-hire ở Nam Mỹ đã ký hợp đồng để nhắm mục tiêu vào Nisman bằng phần mềm gián điệp trước khi anh ta chết, cho thấy rằng ai đó có quyền lực rất muốn theo dõi cuộc điều tra của anh ta. Tại Mexico vào năm 2017, một hoặc nhiều cơ quan chính phủ vẫn chưa được xác định danh tính đã sử dụng phần mềm gián điệp Pegasus để chống lại các nhóm nhân quyền và các nhà điều tra quốc tế đang truy tìm những hành vi che đậy tiềm ẩn của chính phủ về vụ mất tích khét tiếng và vụ sát hại khủng khiếp 43 sinh viên ở Iguala, Mexico. Các báo cáo sau đó cho thấy chính phủ Mexico đã làm hỏng cuộc điều tra một cách tồi tệ và nhân viên chính phủ đã dính líu đến một vụ che đậy—những phát hiện có thể không bao giờ được đưa ra ánh sáng nếu không có nỗ lực của các cơ quan giám sát xã hội dân sự.

Các mục tiêu phổ biến khác của Pegasus là các luật sư liên quan đến các vụ án nổi bật hoặc nhạy cảm về mặt chính trị. Ở hầu hết các nền dân chủ tự do, đặc quyền của luật sư-khách hàng là bất khả xâm phạm. Tuy nhiên, Citizen Lab đã xác định được nhiều trường hợp trong đó phần mềm gián điệp đã được sử dụng để hack hoặc nhắm mục tiêu vào thiết bị của luật sư. Vào năm 2015, chiến thuật này đã được sử dụng để chống lại hai luật sư ở Mexico đại diện cho gia đình của Nadia Vera, một nhà phê bình chính phủ và người ủng hộ quyền phụ nữ bị sát hại. Gần đây hơn, nhiều luật sư đại diện cho những người Catalan nổi tiếng đã trở thành mục tiêu trong chiến dịch giám sát của Tây Ban Nha. Và ở Ba Lan, phần mềm gián điệp Pegasus đã được sử dụng nhiều lần để hack thiết bị của Roman Giertych, cố vấn pháp lý cho Donald Tusk, cựu thủ tướng và lãnh đạo đảng đối lập chính của đất nước. (Đầu năm 2022, Phó Thủ tướng Ba Lan Jaroslaw Kaczynski đã công khai thừa nhận rằng chính phủ đã mua phần mềm gián điệp Pegasus nhưng phủ nhận việc nó đã được sử dụng để chống lại phe đối lập Ba Lan.)

Khi sự sẵn có của phần mềm gián điệp ngày càng tăng, các khách hàng thuộc khu vực tư nhân cũng bắt đầu hành động. Hãy xem xét các hoạt động của BellTroX, một công ty hack-cho-thuê của Ấn Độ chịu trách nhiệm thực hiện hoạt động gián điệp trên diện rộng thay mặt cho các khách hàng tư nhân trên toàn thế giới. Từ năm 2015 đến năm 2017, ai đó đã sử dụng dịch vụ của BellTroX để chống lại các tổ chức phi lợi nhuận của Mỹ đang nỗ lực công khai những tiết lộ rằng công ty dầu mỏ ExxonMobil đã che giấu nghiên cứu của mình về biến đổi khí hậu trong nhiều thập kỷ. BellTroX cũng đã được sử dụng để nhắm mục tiêu vào các tổ chức Hoa Kỳ hoạt động dựa trên tính trung lập ròng, có lẽ là theo lệnh của một khách hàng khác hoặc các khách hàng phản đối cải cách đó. BellTroX cũng có hoạt động kinh doanh đang phát triển trong thế giới pháp lý; các công ty luật ở nhiều quốc gia đã sử dụng dịch vụ của công ty để theo dõi luật sư đối lập. Vào tháng 4 năm 2022, một thám tử tư người Israel đóng vai trò là nhà môi giới cho BellTroX đã nhận tội trước tòa án Hoa Kỳ về tội lừa đảo qua đường dây, âm mưu thực hiện hành vi hack và làm trầm trọng thêm hành vi trộm cắp danh tính, nhưng các nhà điều hành BellTroX có trụ sở tại Ấn Độ vẫn nằm ngoài tầm pháp luật. (Được Reuters yêu cầu vào năm 2020 để phản hồi về những phát hiện này, người sáng lập công ty, Sumit Gupta, đã phủ nhận mọi hành vi sai trái và từ chối tiết lộ khách hàng của mình.)

KHÔNG NƠI NÀO ĐỂ TRỐN

Việc sử dụng phổ biến phần mềm gián điệp chống lại các mục tiêu chính trị và xã hội dân sự ở các nền dân chủ tiên tiến là đủ đáng lo ngại. Tuy nhiên, điều đe dọa hơn nữa có thể là những cách mà công nghệ đã cho phép các chế độ độc tài mở rộng sự đàn áp của họ vượt xa biên giới của chính họ. Trong những thập kỷ qua, những kẻ chuyên quyền đã phải đối mặt với những rào cản đáng kể trong việc đàn áp những công dân phải sống lưu vong. Tuy nhiên, với phần mềm gián điệp, kẻ điều hành có thể xâm nhập vào toàn bộ mạng lưới của một người lưu vong chính trị mà không cần đặt chân vào quốc gia tiếp nhận mục tiêu và với rất ít rủi ro và chi phí liên quan đến hoạt động gián điệp quốc tế thông thường.

Ví dụ về hình thức đàn áp xuyên quốc gia mới này rất đa dạng. Bắt đầu từ năm 2016, Cyberbit đã được sử dụng để nhắm mục tiêu vào các nhà bất đồng chính kiến, luật sư, sinh viên và những người khác ở Ethiopia ở gần 20 quốc gia. Vào năm 2021, điện thoại của hai người Ai Cập nổi tiếng—chính trị gia đối lập lưu vong Ayman Nour, người đang sống ở Thổ Nhĩ Kỳ và là người dẫn chương trình tin tức nổi tiếng (người đã yêu cầu giấu tên vì sự an toàn của bản thân) —đã bị tấn công bằng phần mềm gián điệp Predator của Cytrox . Trên thực tế, điện thoại của Nour, người thẳng thắn chỉ trích Tổng thống Ai Cập Abdel Fattah el-Sisi, đã bị nhiễm đồng thời cả Predator và phần mềm gián điệp Pegasus của Tập đoàn NSO, mỗi phần mềm dường như được vận hành bởi các khách hàng chính phủ riêng biệt—Ai Cập trong trường hợp của Predator và một trong hai Ả Rập Saudi hoặc UAE trong trường hợp của Pegasus. Trong một tuyên bố với Vice News, Cyberbit nói rằng chính phủ Israel giám sát công nghệ của họ và “các cơ quan tình báo và quốc phòng mua những sản phẩm này có nghĩa vụ sử dụng chúng theo quy định của pháp luật”. Trong vụ hack ở Ai Cập, Giám đốc điều hành của Cytrox, Ivo Malinkovski, từ chối bình luận; theo tin tức của VICE, sau đó anh ấy đã xóa các tham chiếu đến Cytrox trong hồ sơ LinkedIn của mình. (Chính phủ Ai Cập, Ethiopia, Ả Rập Saudi và UAE đã từ chối bình luận về những phát hiện này.)

Đặc biệt sâu rộng là chiến dịch phần mềm gián điệp xuyên quốc gia của chính phủ Saudi. Năm 2018, chiếc điện thoại của Ghanem al-Masarir, một nhà bất đồng chính kiến ​​người Saudi sống ở Vương quốc Anh, đã bị hack bằng phần mềm gián điệp Pegasus. Trùng hợp với việc thiết bị của mình bị lây nhiễm, al-Masarir bị các đặc vụ Saudi theo dõi và hành hung ở London. Phần mềm gián điệp cũng có thể đóng một vai trò trong vụ sát hại khét tiếng nhà báo Ả Rập Saudi lưu vong Jamal Khashoggi tại lãnh sự quán Ả Rập Xê Út ở Thổ Nhĩ Kỳ. Vào năm 2018, một chiếc điện thoại thuộc sở hữu của Omar Abdulaziz — một nhà hoạt động người Ả Rập Xê Út, thường trú nhân Canada và là bạn thân tín của Khashoggi — đã bị hack bằng phần mềm gián điệp Pegasus. Abdulaziz và Khashoggi đã thảo luận về hoạt động của họ chống lại chế độ Saudi về những gì họ nhầm tưởng là nền tảng liên lạc an toàn. Sau khi Khashoggi bị sát hại, phân tích pháp y cho thấy thiết bị của một số người thân cận nhất với Khashoggi, bao gồm cả người vợ Ai Cập và vị hôn thê người Thổ Nhĩ Kỳ của ông, cũng đã bị nhiễm virus. Hiện chưa rõ điện thoại của Khashoggi bị hack ở mức độ nào vì vợ sắp cưới của ông đã giao chúng cho chính quyền Thổ Nhĩ Kỳ, những người đã không cho phép phân tích độc lập, nhưng những liên hệ thân cận nhất của ông đều bị giám sát, cung cấp cho các đặc vụ Ả Rập Xê Út những cánh cửa vào cuộc sống cá nhân, hoạt động chính trị của Khashoggi. , và những chuyển biến trong những tháng dẫn đến vụ sát hại anh ta. (Chính phủ Ả Rập Xê Út đã từ chối bình luận về những tiết lộ này. Vào năm 2021, NSO Group nói với The Guardian, “Công nghệ của chúng tôi không liên quan gì đến vụ sát hại dã man Jamal Khashoggi.”)

Trên thực tế, việc nhắm mục tiêu vào những người chỉ trích chế độ ở nước ngoài bằng phần mềm gián điệp chỉ là một trong nhiều cách mà chính phủ Saudi đã sử dụng công nghệ kỹ thuật số để vô hiệu hóa những người bất đồng chính kiến. Ví dụ, theo bản cáo trạng liên bang của Hoa Kỳ, cố vấn hàng đầu của Thái tử Ả Rập Saudi Mohammed bin Salman đã trả cho một nhân viên Twitter 300.000 USD và cung cấp các món quà khác vào năm 2014 và 2015, rõ ràng là để đổi lấy việc theo dõi những người bất đồng chính kiến ​​​​trên nền tảng này. Nhân viên này, người đã rời Twitter vào năm 2015, đã bị kết án tại tòa án Hoa Kỳ vào năm 2022. Khi những chiến thuật như vậy được sử dụng kết hợp với kiểu giám sát mang tính xâm phạm cao mà phần mềm gián điệp gây ra, những người bất đồng chính kiến ​​​​có thể phải chịu áp lực tâm lý đặc biệt. Nhiều nạn nhân của vụ hack đã trải qua cú sốc suy nhược khi biết rằng các thiết bị bị xâm nhập của họ cũng khiến bạn bè và cộng sự gặp nguy hiểm và mọi hành động của họ đều bị theo dõi. Một nhà hoạt động nữ người Ả Rập Xê Út giải thích rằng việc trở thành mục tiêu kỹ thuật số là một hình thức “chiến tranh tâm lý và cảm xúc” khiến cô “sợ hãi và lo lắng vô tận”. Bằng cách sử dụng phần mềm gián điệp, những kẻ chuyên quyền và những kẻ chuyên quyền do đó có thể kiểm soát các mạng xã hội dân sự vượt ra ngoài biên giới của chính họ ngay cả khi họ củng cố chế độ chuyên quyền ở trong nước.

Mặc dù có rất nhiều tài liệu về việc lạm dụng phần mềm gián điệp trên khắp thế giới, nhưng có một số lý do khiến công nghệ này dường như còn trở nên phổ biến hơn nữa. Đầu tiên, mặc dù việc giám sát chặt chẽ các công ty phần mềm gián điệp đánh thuê liên quan đến hợp đồng của họ với các cơ quan chính phủ quốc gia, nhưng nhiều công ty tiếp thị cho nhiều khách hàng ở một quốc gia nhất định, bao gồm cả cơ quan thực thi pháp luật địa phương. Ví dụ: trong một chuyến đi tìm hiểu thực tế tới Israel vào mùa hè năm 2022, các quan chức của Nghị viện Châu Âu được biết rằng Tập đoàn NSO có ít nhất 22 khách hàng ở 12 quốc gia Châu Âu, cho thấy rằng một số lượng đáng kể trong số những khách hàng này là các cơ quan địa phương. Những thỏa thuận như vậy đặt ra thêm câu hỏi về trách nhiệm giải trình, vì nghiên cứu đã chỉ ra rằng các cơ quan thực thi pháp luật địa phương thường dễ bị lạm dụng hơn, chẳng hạn như phân biệt chủng tộc hoặc tham nhũng, và có xu hướng kém minh bạch và giám sát không đầy đủ.

Thứ hai, mặc dù một số công ty phần mềm gián điệp đánh thuê như NSO Group tuyên bố rằng họ chỉ làm việc với các khách hàng chính phủ, nhưng có rất ít điều ngăn cản họ bán công nghệ của mình cho các công ty tư nhân hoặc các cá nhân tham nhũng. Bằng chứng cho thấy một số đã làm như vậy: vào tháng 7 năm 2022, Trung tâm Tình báo Mối đe dọa của Microsoft đã đưa ra một báo cáo về một công ty cho thuê phần mềm gián điệp và hack có trụ sở tại Áo có tên là DSIRF. Công ty này đã nhắm mục tiêu vào các cá nhân trong ngân hàng, công ty luật và công ty tư vấn ở một số quốc gia. Mặc dù Microsoft không nêu rõ loại khách hàng nào đã thuê DSIRF nhưng công ty vẫn quảng cáo các dịch vụ “thẩm định” cho các doanh nghiệp, ngụ ý rằng các hoạt động hack này được thực hiện thay mặt cho khách hàng tư nhân. Khi Reuters hỏi DSIRF về báo cáo của Microsoft, công ty này từ chối bình luận. Mặc dù việc thực hiện mà không có lệnh là bất hợp pháp, nhưng việc tấn công vào khu vực tư nhân như vậy ít có khả năng bị phát hiện khi các công ty của tin tặc nằm ngoài khu vực tài phán nơi mục tiêu xảy ra. Khi các biện pháp bảo vệ quyền riêng tư, tự do báo chí và tòa án độc lập ngày càng bị đe dọa ở nhiều quốc gia, các công ty tham nhũng hoặc đầu sỏ chính trị có thể sẽ dễ dàng triển khai phần mềm gián điệp đánh thuê mà không chịu trách nhiệm.

Thứ ba, phần mềm gián điệp đã trở thành thành phần trung tâm của một loạt các công cụ giám sát rộng hơn, chẳng hạn như theo dõi vị trí và nhận dạng sinh trắc học, được nhiều cơ quan an ninh chính phủ sử dụng. Phần mềm gián điệp càng được tích hợp vào hoạt động thu thập thông tin tình báo hàng ngày và kiểm soát thì càng khó kiểm soát nó. Đáng ngại hơn, phần mềm gián điệp có thể sớm đạt được những khả năng xâm lấn thậm chí còn mạnh hơn bằng cách khai thác các ứng dụng có thể đeo được, chẳng hạn như màn hình y sinh, công nghệ phát hiện cảm xúc và mạng lưới thần kinh kết nối Internet hiện đang được phát triển. Hiện tại, nhiều ứng dụng kỹ thuật số nhằm mục đích đi sâu hơn vào các khía cạnh tiềm thức hoặc vô thức trong hành vi của người dùng và thu thập dữ liệu về sức khỏe và sinh lý của họ. Việc hình dung phần mềm gián điệp có thể sử dụng quyền truy cập bí mật vào những dữ liệu này về hệ thống sinh học hoặc nhận thức của chúng ta để theo dõi và thậm chí thao túng hành vi cũng như sức khỏe tổng thể của nạn nhân không còn là khoa học viễn tưởng nữa.

LỆNH CẤM

Trong gần một thập kỷ, ngành công nghiệp phần mềm gián điệp đánh thuê đã có thể mở rộng phạm vi hoạt động trên toàn cầu mà không cần có quy định hoặc trách nhiệm giải trình. Nhưng đó là sự lựa chọn mà các chính phủ đã đưa ra, không phải là một kết quả tất yếu phải được chấp nhận. Khi các cơ quan giám sát của xã hội dân sự và các nhà báo đưa ra ánh sáng những hành vi lạm dụng trắng trợn, các nhà cung cấp phần mềm gián điệp lớn và khách hàng của chính phủ càng khó che giấu hoạt động của mình hơn. Ở Châu Âu và Hoa Kỳ, các ủy ban đã tổ chức các phiên điều trần về phần mềm gián điệp và các cơ quan chính phủ đã bắt đầu phát triển các chính sách mới để hạn chế việc sử dụng phần mềm này. Đáng chú ý, Bộ Thương mại Hoa Kỳ đã đưa NSO Group, Candiru và các công ty cho thuê hack khác vào danh sách hạn chế xuất khẩu, hạn chế quyền truy cập của họ vào các sản phẩm và công nghệ của Hoa Kỳ, đồng thời gửi tín hiệu mạnh mẽ đến các nhà đầu tư tiềm năng rằng các công ty phần mềm gián điệp đang bị giám sát chặt chẽ hơn. . Các nền tảng công nghệ cũng đã hành động. Meta (công ty mẹ của Facebook) và Apple đã kiện Tập đoàn NSO tại tòa án Hoa Kỳ, thông báo cho các nạn nhân về vụ lây nhiễm phần mềm gián điệp và làm việc để hỗ trợ các cơ quan giám sát xã hội dân sự. Apple cũng đã quyên góp 10 triệu USD cho hoạt động nghiên cứu giám sát mạng và cam kết sẽ làm tương tự với bất kỳ thiệt hại nào phát sinh từ vụ kiện chống lại Tập đoàn NSO.

Nhưng việc kiềm chế sự lây lan toàn cầu của phần mềm gián điệp đánh thuê sẽ đòi hỏi một cách tiếp cận toàn diện. Đầu tiên, các công ty cần dành nhiều nguồn lực hơn để xác định và loại bỏ tận gốc phần mềm gián điệp cũng như đảm bảo rằng các dịch vụ của họ được bảo mật hợp lý trước việc bị khai thác. WhatsApp và Apple đã chỉ ra cách cảnh báo nạn nhân khi phát hiện phần mềm gián điệp và buộc các nhà cung cấp phần mềm gián điệp như NSO Group phải chịu trách nhiệm pháp lý về việc vi phạm điều khoản dịch vụ của họ và các hành vi vi phạm pháp luật khác. Cho dù thông qua sự thay đổi trong văn hóa kinh doanh hay nhiều khả năng là thông qua các quy định mạnh mẽ hơn của chính phủ, các nền tảng công nghệ cũng nên chú trọng hơn vào bảo mật và thu hẹp quy mô hoạt động không ngừng nghỉ để thu thập dữ liệu người dùng. Đổi lại, các cuộc điều tra pháp y của Citizen Lab, Tổ chức Ân xá Quốc tế, các nhà báo và những người khác sẽ cần được mở rộng và bổ sung bởi các tổ chức khác thực hiện công việc tương tự, cho dù ở các tổ chức phi chính phủ, trường đại học hay các tổ chức tin tức điều tra. Khoa học pháp y kỹ thuật số và trách nhiệm giải trình kỹ thuật số phải được công nhận là một ngành nghiên cứu chính thức có thể giám sát hoạt động của phần mềm gián điệp, hỗ trợ nạn nhân và mục tiêu, đồng thời gây áp lực lên các chính phủ và tập đoàn để minh bạch hơn và chịu trách nhiệm về hành động của họ. Để một lĩnh vực như vậy xuất hiện, cần có nhiều năm hỗ trợ của nhà nước, tư nhân và từ thiện.

Cuối cùng, chính các chính phủ sẽ cần phải áp dụng một khung pháp lý mạnh mẽ cho việc sử dụng phần mềm gián điệp. Việc quản lý ngành này có thể sẽ yêu cầu ban hành một bộ quy tắc phức tạp nhằm giải quyết các khía cạnh khác nhau của thị trường phần mềm gián điệp. Ví dụ: các công ty phần mềm gián điệp có trụ sở trong nước có thể được yêu cầu tiết lộ công khai thường xuyên về hoạt động xuất khẩu của họ, và đến lượt mình, các cơ quan chính phủ có thể được yêu cầu báo cáo họ đang nhập phần mềm gián điệp từ ai và ở đâu. Các quy định xuất khẩu cần được tăng cường để ngăn chặn việc bán phần mềm gián điệp cho các chính phủ hoặc khách hàng khác có khả năng sử dụng chúng vi phạm luật nhân quyền quốc tế. Các quy tắc và tiêu chuẩn rõ ràng về giám sát việc sử dụng phần mềm gián điệp cũng cần thiết. Pháp luật cụ thể giải quyết thị trường zero-day có thể cũng sẽ cần thiết, mặc dù nó sẽ phải được xây dựng cẩn thận để nghiên cứu bảo mật hợp pháp không bị cản trở. Các chính phủ cũng có thể thông qua luật cho phép nạn nhân của phần mềm gián điệp có quyền kiện cả chính phủ nước ngoài và nhà cung cấp phần mềm gián điệp về những tổn hại do hoạt động gián điệp gây ra.

Những nỗ lực như vậy có thể được tăng cường ở cấp độ quốc tế thông qua việc phát triển cơ chế kiểm soát phần mềm gián điệp toàn cầu. Ví dụ, các hoạt động quân sự từ lâu đã chịu sự giám sát của quốc tế thông qua các cơ chế như Cơ quan đăng ký vũ khí thông thường của Liên hợp quốc và các chính sách đã được đưa ra liên quan đến tiêu chuẩn dành cho các nhà thầu quân sự và an ninh tư nhân hoặc lệnh cấm sử dụng mìn. Một quy trình tương tự có thể dẫn đến các quy định quốc tế về phần mềm gián điệp, bao gồm các yêu cầu về tính minh bạch và báo cáo về việc sử dụng nó. Tuy nhiên, những mô hình hiện tại này cho thấy rằng thành công sẽ đòi hỏi sự tham gia của một số lượng đáng kể các quốc gia và cần có nhiều áp lực hơn để thuyết phục các chính phủ và các nhà lãnh đạo thế giới rằng phần mềm gián điệp đánh thuê gây ra mối đe dọa nghiêm trọng và ngày càng tăng đối với an ninh quốc tế và trật tự quốc tế tự do. .

Không còn nghi ngờ gì nữa, các chính phủ độc tài và các cơ quan an ninh hiện đang hưởng lợi từ phần mềm gián điệp sẽ tìm cách cản trở quy định đó, nhưng những rủi ro ngày càng tăng đối với an ninh quốc gia của một thị trường không được kiểm soát có thể thúc đẩy một đánh giá tỉnh táo hơn. Vào tháng 11 năm 2022, Sir Jeremy Fleming, một quan chức tình báo hàng đầu của Anh, đã cảnh báo rằng việc các quốc gia và những kẻ bất lương thuê ngày càng phổ biến phần mềm gián điệp đánh thuê và “tin tặc cho thuê” “sẽ làm tăng mối đe dọa trong tương lai đối với an ninh mạng của Vương quốc Anh”. Nếu việc sử dụng phần mềm gián điệp đánh thuê tiếp tục gia tăng mà không được kiểm soát, thì những rủi ro đối với nền dân chủ sẽ trở nên nghiêm trọng. Nếu giới tinh hoa ở bất kỳ quốc gia nào có thể sử dụng công nghệ này để vô hiệu hóa phe đối lập chính trị hợp pháp ở bất kỳ điểm nào trên trái đất, làm im lặng những người bất đồng chính kiến ​​thông qua hoạt động gián điệp có chủ đích, làm suy yếu nền báo chí độc lập và làm xói mòn trách nhiệm giải trình của công chúng mà không bị trừng phạt, thì đó là những giá trị mà trật tự quốc tế tự do được xây dựng trên đó có thể sẽ sớm không an toàn hơn mật khẩu trên điện thoại của chúng ta.

RONALD J. DEIBERT là Giáo sư Khoa học Chính trị và Giám đốc Phòng thí nghiệm Công dân tại Trường Chính sách Công và Các vấn đề Toàn cầu Munk của Đại học Toronto.

https://www.foreignaffairs.com/world/autocrat-in-your-iphone-mercenary-spyware-ronald-deibert

The Autocrat in Your iPhone

📷Daniel Stolle

In the summer of 2020, a Rwandan plot to capture exiled opposition leader Paul Rusesabagina drew international headlines. Rusesabagina is best known as the human rights defender and U.S. Presidential Medal of Freedom recipient who sheltered more than 1,200 Hutus and Tutsis in a hotel during the 1994 Rwandan genocide. But in the decades after the genocide, he also became a prominent U.S.-based critic of Rwandan President Paul Kagame. In August 2020, during a layover in Dubai, Rusesabagina was lured under false pretenses into boarding a plane bound for Kigali, the Rwandan capital, where government authorities immediately arrested him for his affiliation with an opposition group. The following year, a Rwandan court sentenced him to 25 years in prison, drawing the condemnation of international human rights groups, the European Parliament, and the U.S. Congress.

Less noted at the time, however, was that this brazen cross-border operation may also have employed highly sophisticated digital surveillance. After Rusesabagina’s sentencing, Amnesty International and the Citizen Lab at the University of Toronto, a digital security research group I founded and direct, discovered that smartphones belonging to several of Rusesabagina’s family members who also lived abroad had been hacked by an advanced spyware program called Pegasus. Produced by the Israel-based NSO Group, Pegasus gives an operator near-total access to a target’s personal data. Forensic analysis revealed that the phone belonging to Rusesabagina’s daughter Carine Kanimba had been infected by the spyware around the time her father was kidnapped and again when she was trying to secure his release and was meeting with high-level officials in Europe and the U.S. State Department, including the U.S. special envoy for hostage affairs. NSO Group does not publicly identify its government clients and the Rwandan government has denied using Pegasus, but strong circumstantial evidence points to the Kagame regime.

In fact, the incident is only one of dozens of cases in which Pegasus or other similar spyware technology has been found on the digital devices of prominent political opposition figures, journalists, and human rights activists in many countries. Providing the ability to clandestinely infiltrate even the most up-to-date smartphones—the latest “zero click” version of the spyware can penetrate a device without any action by the user—Pegasus has become the digital surveillance tool of choice for repressive regimes around the world. It has been used against government critics in the United Arab Emirates (UAE) and pro-democracy protesters in Thailand. It has been deployed by Mohammed bin Salman’s Saudi Arabia and Viktor Orban’s Hungary.

But the use of spyware is hardly limited to the world’s authoritarians. As researchers have revealed, over the past decade many democracies, including Spain and Mexico, have begun using spyware, as well, in ways that violate well-established norms of human rights and public accountability. U.S. government documents disclosed by The New York Times in November 2022 show that the FBI not only acquired spyware services from NSO, possibly for counterintelligence purposes, but also contemplated deploying them, including on U.S. targets. (An FBI spokesperson told the Times that “there has been no operational use of the NSO product to support any FBI investigation.”)

The advent of advanced spyware has transformed the world of espionage and surveillance. Bringing together a largely unregulated industry with an invasive-by-design digital ecosystem in which smartphones and other personal devices contain the most intimate details of people’s lives, the new technology can track almost anyone, anywhere in the world. Governments have taken notice. For Israel, which approves export licenses for NSO Group’s Pegasus, the sale of spyware to foreign governments has brought new diplomatic clout in countries as disparate as India and Panama; a New York Times investigation found that NSO deals helped Israeli Prime Minister Benjamin Netanyahu seal the Abraham Accords with Bahrain, Morocco, and the UAE. In turn, client states have used Pegasus against not only opposition groups, journalists, and nongovernmental organizations (NGOs) but also geopolitical rivals. In 2020 and 2021, the Citizen Lab discovered that several devices belonging to officials in the United Kingdom’s Foreign Commonwealth and Development Office had been hacked with Pegasus, and that a client of NSO Group in the UAE had used the spyware to infiltrate a device located at 10 Downing Street, the residence of the British prime minister. In November 2021, the tech giant Apple notified 11 staff members of the U.S. embassy in Uganda that their iPhones had been hacked with Pegasus.

In response to these revelations, spyware firms have generally denied responsibility for their clients’ abuses or have declined to comment. In a statement to The New Yorker in April 2022, NSO Group said, “We have repeatedly cooperated with governmental investigations, where credible allegations merit, and have learned from each of these findings and reports and improved the safeguards in our technologies.” The Israeli company has also said that its technology is designed to help governments investigate crime and terrorism. But advanced spyware has now been implicated in human rights violations and interstate espionage in dozens of countries, and spyware companies have few legal obligations or incentives for public transparency or accountability. NSO Group has not provided any specific information to counter the Citizen Lab’s detailed evidence of abuses.

The consequences of the spyware revolution are profound. In countries with few resources, security forces can now pursue high-tech operations using off-the-shelf technology that is almost as easy to acquire as headphones from Amazon. Among democracies, the technology has become an irresistible tool that can be deployed with little oversight; in the last year alone, security agencies in at least four European countries—Greece, Hungary, Poland, and Spain—have been implicated in scandals in which state agencies have been accused of deploying spyware against journalists and political opposition figures. A global market for spyware also means that forms of surveillance and espionage that were once limited to a few major powers are now available to almost any country, and potentially to even more private firms. Left unregulated, the proliferation of this technology threatens to erode many of the institutions, processes, and values on which the liberal international order depends.

WE WILL SPY FOR YOU

The spyware revolution has emerged as a byproduct of a remarkable convergence of technological, social, and political developments over the past decade. Smartphones and other digital devices are vulnerable to surveillance because their applications often contain flaws and because they continually transmit data through insecure cellular and Internet networks. Although manufacturers of these technology platforms employ engineers to find and patch vulnerabilities, they tend to prioritize product development over security. By discovering and weaponizing “zero days”—software flaws that are unknown to their designers—spyware firms exploit the inherent insecurity of the digital consumer world.

But the extraordinary growth of the spyware market has also been driven by several broader trends. First, spyware takes advantage of a global digital culture that is shaped around always-on, always-connected smartphones. By hacking a personal device, spyware can provide its operators with a user’s entire pattern of life in real time. Second, spyware offers security agencies an elegant way to circumvent end-to-end encryption, which has become a growing barrier to government mass surveillance programs that depend on the collection of telecommunications and Internet data. By getting inside a user’s device, spyware allows its operators to read messages or listen to calls before they have been encrypted or after they have been decrypted; if the user can see it on the screen, so can the spyware. A third factor driving the industry’s growth has been the rise of digitally enabled protest movements. Popular upheavals such as the color revolutions in former Soviet states in the first decade of this century and the Arab Spring in 2010–11 took many autocrats by surprise, and the organizers often used phones to mobilize protesters. By offering an almost godlike way to get inside activist networks, spyware has opened up a powerful new method for governments to monitor dissent and take steps to neutralize it before large protests occur.

Finally, the spyware industry has also been fueled by the growing privatization of national security. Just as governments have turned to private contractors for complicated or controversial military operations, they have discovered that they can outsource surveillance and espionage to better-equipped and less visible private actors. Like soldiers of fortune, advanced spyware companies tend to put revenues ahead of ethics, selling their products without regard to the politics of their clients—giving rise to the term “mercenary spyware”—and like military contractors, their dealings with government security agencies are often cloaked in secrecy to avoid public scrutiny. Moreover, just as military contractors have offered lucrative private-sector careers for veterans of military and intelligence agencies, spyware firms and government security services have been building similarly mutually beneficial partnerships, boosting the industry in the process. Many senior members of NSO Group, for example, are veterans of Israeli intelligence, including the elite Military Intelligence Directorate.

Although lack of transparency has made the mercenary spyware industry difficult to measure, journalists have estimated it to be worth about $12 billion per year. Before recent financial setbacks brought on by a growing number of lawsuits, NSO Group was valued at $2 billion, and there are other major players in the market. Many companies now produce sophisticated spyware, including Cytrox (founded in North Macedonia and now with operations in Hungary and Israel), Israel-based Cyberbit and Candiru, Italy-based Hacking Team (now defunct), and the Anglo-German Gamma Group. Each of these firms can hypothetically serve numerous clients. Governments that appear to have used Cytrox’s Predator spyware, for example, include Armenia, Egypt, Greece, Indonesia, Madagascar, and Serbia. In 2021, Mexico’s secretary of Security and Public Safety, Rosa Icela Rodríguez, said that previous Mexican administrations had signed multiple contracts with NSO Group, totaling $61 million, to buy Pegasus spyware, and as Mexican and international researchers have shown, the government has kept using Pegasus despite the present leadership’s public assurances that it would not. (In October 2022, Mexican President Andrés Manuel López Obrador denied the findings, stating that his administration was not using the spyware against journalists or political opponents.)

On the basis of such lucrative deals, spyware firms have enjoyed backing from major private equity funds, such as the San Francisco firm Francisco Partners and the London-based Novalpina Capital, thus bolstering their resources. Francisco Partners, which had a controlling stake in NSO Group for five years, told Bloomberg News in 2021, “[We are] deeply committed to ethical business practices, and we evaluate all our investments through that lens.” Novalpina, which together with NSO’s founders acquired Francisco Partners’ stake in 2019, said it would bring the spyware firm “in full alignment with UN guiding principles on business and human rights,” but revelations of abuses of Pegasus have continued, and correspondence published by The Guardian in 2022 indicated that Novalpina sought to discredit NSO Group’s critics, including this author. (Lawyers for Novalpina told The Guardian that these were “tenuous and unsubstantiated allegations.”) After a dispute between Novalpina’s founding partners, the firm lost its controlling stake in NSO Group in 2021.

But the spyware industry also includes far less sophisticated firms in countries such as India, the Philippines, and Cyprus. As the surveillance equivalent of strip-mall phone repair shops, such outfits may lack the ability to identify zero days, but they can still accomplish objectives through simpler means. They may use credential phishing—using false pretenses, often via email or text message, to obtain a user’s digital passwords or other sensitive personal information—or they may simply purchase software vulnerabilities from other hackers on the black market. And these smaller firms may be more willing to undertake illegal operations on behalf of private clients because they are located outside the jurisdiction in which a victim resides or because enforcement is lax.

It is hard to overestimate the reach and power of the latest commercial spyware. In its most advanced forms, it can silently infiltrate any vulnerable device anywhere in the world. Take the zero-day, zero-click exploit that Citizen Lab researchers discovered in 2021 on a Pegasus-infected iPhone. Using the exploit, which researchers called ForcedEntry, a spyware operator can surreptitiously intercept texts and phone calls, including those encrypted by apps such as Signal or WhatsApp; turn on the user’s microphone and camera; track movements through a device’s GPS; and gather photos, notes, contacts, emails, and documents. The operator can do almost anything a user can do and more, including reconfigure the device’s security settings and acquire the digital tokens that are used to securely access cloud accounts so that surveillance on a target can continue even after the exploit has been removed from a device—all without the target’s awareness. After the Citizen Lab shared Pegasus’s ForcedEntry with analysts at Apple and Google, Google’s analysts described it as “one of the most technically sophisticated exploits we’ve ever seen,” noting that it provided capabilities that were “previously thought to be accessible to only a handful of nation states.”

SHOOTING THE MESSENGERS

Over the past decade, the rise of authoritarian regimes in many parts of the world has raised new questions about the durability of the liberal international order. As has been widely noted, many ruling elites have been able to slide toward authoritarianism by limiting or controlling political dissent, the media, the courts, and other institutions of civil society. Yet far less attention has been paid to the pervasive role of the mercenary spyware industry in this process. This neglect is partly the result of how little we know about spyware, including, in many cases, the identity of the specific government agencies that are using it. (Given the secretive nature of spyware transactions, it is far easier to identify victims than operators.) There is little doubt, however, that spyware has been used to systematically degrade liberal democratic practices and institutions.

One of the technology’s most frequent uses has been to infiltrate opposition movements, particularly in the run-up to elections. Researchers have identified cases in which opposition figures have been targeted, not only in authoritarian states such as Saudi Arabia and the UAE but also in democratic countries such as India and Poland. Indeed, one of the most egregious cases arose in Spain, a parliamentary democracy and European Union member. Between 2017 and 2020, the Citizen Lab discovered, Pegasus was used to eavesdrop on a large cross section of Catalan civil society and government. The targets included every Catalan member of the European Parliament who supported independence for Catalonia, every Catalan president since 2010, and many members of Catalan legislative bodies, including multiple presidents of the Catalan parliament. Notably, some of the targeting took place amid sensitive negotiations between the Catalan and Spanish governments over the fate of Catalan independence supporters who were either imprisoned or in exile. After the findings drew international attention, Paz Esteban, the head of Spain’s National Intelligence Center, acknowledged to Spanish lawmakers that spyware had been used against some Catalan politicians, and Esteban was subsequently fired. But it is still unclear which government agency was responsible, and which laws, if any, were used to justify such an extensive domestic spying operation.

In some countries, spyware has proved equally effective against journalists who are investigating those in power, with far-reaching consequences for both the targets and their sources. In 2015, several devices belonging to Mexican journalist Carmen Aristegui and a member of her family were sent Pegasus exploit links while she was investigating corruption involving then Mexican President Enrique Peña Nieto. There is no smoking gun that identifies the responsible party, though strong circumstantial evidence suggests a Mexican government agency. In 2021, a Hungarian journalist investigating corruption in President Viktor Orban’s inner circle was hacked with Pegasus. (The Hungarian government subsequently acknowledged that it had purchased the technology.) And that same year, the cellphone of New York Times Middle East correspondent Ben Hubbard was infected with Pegasus while he was working on a book about Saudi Arabia’s de facto leader, Crown Prince Mohammed bin Salman.

With spyware, governments can stop protests before they occur.

Almost as frequently, spyware has been used to undermine judicial officials and civil society organizations that are trying to hold governments to account. Take the case of Alberto Nisman, a well-known Argentine anticorruption prosecutor who was investigating an alleged criminal conspiracy by high-level Argentine officials. In January 2015, Nisman was found dead in suspicious circumstances—his death was later ruled a homicide—the day before he was to provide testimony to Congress implicating then president of Argentina Cristina Fernández de Kirchner and her foreign minister, Héctor Timerman, in a cover-up of alleged Iranian involvement in the 1994 bombing of a Jewish center in Buenos Aires. Later that year, the Citizen Lab documented how a South American hack-for-hire group had been contracted to target Nisman with spyware before his death, suggesting that someone in power was keen to peer into his investigations. In Mexico in 2017, a still unknown government agency or agencies used Pegasus spyware against human rights groups and international investigators that were tracking down potential government cover-ups of the notorious disappearance and gruesome murder of 43 students in Iguala, Mexico. Subsequent reports showed that the Mexican government had badly botched the investigations and that government personnel were implicated in a cover-up—findings that might never have come to light without the efforts of civil society watchdogs.

Other common Pegasus targets are lawyers involved with prominent or politically sensitive cases. In most liberal democracies, attorney-client privilege is sacrosanct. Yet the Citizen Lab has identified a variety of cases in which spyware has been used to hack or target lawyers’ devices. In 2015, the tactic was used against two lawyers in Mexico who were representing the families of Nadia Vera, a slain government critic and women’s rights advocate. More recently, multiple lawyers representing prominent Catalans were targeted as part of the Spanish surveillance campaign. And in Poland, Pegasus spyware was used several times to hack the device of Roman Giertych, legal counsel to Donald Tusk, a former prime minister and the leader of the country’s main opposition party. (In early 2022, Polish Deputy Prime Minister Jaroslaw Kaczynski publicly acknowledged that the government had bought Pegasus spyware but denied that it had been used against the Polish opposition.)

As the availability of spyware grows, private-sector clients are also getting in on the act. Consider the activities of BellTroX, an Indian hack-for-hire company responsible for extensive espionage on behalf of private clients worldwide. Between 2015 and 2017, someone used BellTroX’s services against American nonprofits that were working to publicize revelations that the oil company ExxonMobil had hidden its research about climate change for decades. BellTroX has also been used to target U.S. organizations working on net neutrality, presumably at the behest of a different client or clients that were opposed to that reform. BellTroX also has a burgeoning business in the legal world; law firms in many countries have used the company’s services to spy on opposing counsel. In April 2022, an Israeli private detective who acted as a broker for BellTroX pleaded guilty in U.S. court to wire fraud, conspiracy to commit hacking, and aggravated identity theft, but BellTroX’s India-based operators have remained out of reach of the law. (Asked by Reuters in 2020 to respond to the findings, the company’s founder, Sumit Gupta, denied any wrongdoing and declined to disclose his clients.)

NOWHERE TO HIDE

The proliferating use of spyware against political and civil society targets in advanced democracies is concerning enough. Even more threatening, however, may be the ways in which the technology has allowed authoritarian regimes to extend their repression far beyond their own borders. In past decades, autocrats faced significant barriers to repressing citizens who had gone into exile. With spyware, however, an operator can get inside a political exile’s entire network without setting foot inside the target’s adopted country, and with very few of the risks and costs associated with conventional international espionage.

Examples of this new form of transnational repression are manifold. Beginning in 2016, Cyberbit was used to target Ethiopian dissidents, lawyers, students, and others in nearly 20 countries. In 2021, the phones of two prominent Egyptians—exiled opposition politician Ayman Nour, who has been living in Turkey, and the host of a popular news program (who has asked to remain anonymous for his own safety)—were hacked with Cytrox’s Predator spyware. In fact, the phone of Nour, who is an outspoken critic of Egyptian President Abdel Fattah el-Sisi, was simultaneously infected with both Predator and NSO Group’s Pegasus spyware, each apparently operated by separate government clients—Egypt in the case of Predator and either Saudi Arabia or the UAE in the case of Pegasus. In a statement to Vice News, Cyberbit said that the Israeli government oversees its technology and that “the intelligence and defense agencies that purchase these products are obligated to use them in accordance with the law.” In the Egyptian hacking case, Cytrox’s CEO, Ivo Malinkovski, declined to comment; according to VICE news, he subsequently deleted references to Cytrox in his LinkedIn profile. (The governments of Egypt, Ethiopia, Saudi Arabia, and the UAE have declined to comment about the findings.)

Especially far-reaching has been the Saudi government’s transnational spyware campaign. In 2018, a phone belonging to Ghanem al-Masarir, a Saudi dissident living in the United Kingdom, was hacked with Pegasus spyware. Coinciding with the infection of his device, al-Masarir was tracked down and physically assaulted by Saudi agents in London. Spyware may have also played a part in the notorious killing of the exiled Saudi journalist Jamal Khashoggi in the Saudi consulate in Turkey. In 2018, a phone owned by Omar Abdulaziz—a Saudi activist, Canadian permanent resident, and close confidant of Khashoggi—was hacked with Pegasus spyware. Abdulaziz and Khashoggi had been discussing their activism against the Saudi regime over what they mistakenly assumed were secure communications platforms. After Khashoggi’s killing, forensic analysis revealed that the devices of several other people closest to Khashoggi, including his Egyptian wife and his Turkish fiancée, had also been infected. To what extent Khashoggi’s own phones were hacked is not known because his fiancée turned them over to Turkish authorities, who have withheld them from independent analysis, but his closest contacts were all under surveillance, providing Saudi agents with windows into Khashoggi’s personal life, political activism, and movements in the months leading up to his murder. (The Saudi government has declined to comment on the revelations. In 2021, NSO Group told The Guardian, “Our technology was not associated in any way with the heinous murder of Jamal Khashoggi.”)

In fact, targeting regime critics abroad with spyware is only one of several ways the Saudi government has employed digital technology to neutralize dissent. For example, according to a U.S. federal indictment, a top adviser to Saudi Crown Prince Mohammed bin Salman paid a Twitter employee $300,000 and provided other gifts in 2014 and 2015, apparently in exchange for spying on dissidents on the platform. The employee, who left Twitter in 2015, was convicted in U.S. court in 2022. When such tactics are used in combination with the type of highly intrusive surveillance that spyware represents, dissidents can come under extraordinary psychological pressure. Many victims of hacking have experienced debilitating shock knowing that their compromised devices have also put friends and associates at risk and that their every move is being watched. One female Saudi activist explained that being digitally targeted was a form of “psychological and emotional war” that caused her “endless fear and anxiety.” By using spyware, autocrats and despots are thus able to clamp down on civil society networks well beyond their own borders even as they strengthen autocracy at home.

Despite a large and growing body of documentation about spyware abuses around the world, there are several reasons that the technology seems likely to become even more widespread. First, although much scrutiny of mercenary spyware firms has concerned their contracts with national government agencies, many firms market to more than one client in a given country, including local law enforcement. For example, in a fact-finding trip to Israel in the summer of 2022, officials for the European Parliament learned that NSO Group has at least 22 clients in 12 European countries, suggesting that a significant number of these clients are subnational agencies. Such deals raise further questions about accountability, given that research has shown that local law enforcement agencies are often more susceptible to abuses, such as racial profiling or corruption, and tend to have poor transparency and insufficient oversight.

Second, although some mercenary spyware firms such as NSO Group claim that they deal only with government clients, there is little to prevent them from selling their technology to private firms or corrupt individuals. Evidence suggests that some already do: in July 2022, Microsoft’s Threat Intelligence Center issued a report on an Austria-based spyware and hack-for-hire firm called DSIRF that had targeted individuals in banks, law firms, and consultancies in several countries. Though Microsoft did not specify what type of clients hired DSIRF, the firm advertises “due diligence” services to businesses, implying that these hacking operations were undertaken on behalf of private clients. When Reuters asked DSIRF about the Microsoft report, the company declined to comment. Although it is illegal if done without a warrant, such private-sector hacking is less likely to be deterred when hackers’ firms are located outside the jurisdiction in which the targeting occurs. As protections for privacy rights, freedom of the press, and independent courts, come increasingly under threat in many countries, it will likely become even easier for corrupt firms or oligarchs to deploy mercenary spyware without accountability.

Third, spyware has become a central component of a broader menu of surveillance tools, such as location tracking and biometric identification, used by many government security agencies. The more that spyware is incorporated into everyday intelligence gathering and policing, the harder it will be to rein it in. More ominously, spyware may soon acquire even more invasive capabilities by exploiting wearable applications, such as biomedical monitors, emotional detection technology, and Internet-connected neural networks currently in development. Already, many digital applications aim to drill deeper into the subliminal or the unconscious aspects of users’ behavior and gather data on their health and physiology. It is no longer science fiction to envision spyware that might use covert access to these data about our biological or cognitive systems to monitor and even manipulate a victim’s behavior and overall well-being.

RESTRAINING ORDERS

For nearly a decade, the mercenary spyware industry has been able to expand its reach across the globe largely without regulation or accountability. But that is a choice governments have made, not an inevitable outcome that must simply be accepted. As civil society watchdogs and journalists have brought to light flagrant abuses, it has become more difficult for major spyware vendors and government clients to hide their operations. In Europe and the United States, committees have held hearings on spyware, and government agencies have begun to develop new policies to limit its use. Notably, the U.S. Commerce Department has placed NSO Group, Candiru, and other hack-for-hire firms on an export restriction list, limiting their access to U.S. products and technology and sending a strong signal to potential investors that spyware companies are under growing scrutiny. Technology platforms have also taken action. Meta (the parent company of Facebook) and Apple have sued NSO Group in U.S. courts, notified victims of spyware infections, and worked to support civil society watchdogs. Apple has also donated $10 million to cybersurveillance research and has pledged to do likewise with any damages awarded from its lawsuit against NSO Group.

But curbing the global spread of mercenary spyware will require a comprehensive approach. To begin with, companies need to devote far more resources to identifying and rooting out spyware and ensuring that their services are properly secured against exploitation. WhatsApp and Apple have already shown how to alert victims when spyware is detected and hold spyware vendors such as NSO Group legally responsible for violations of their terms of service and other legal offenses. Whether through a shift in business culture, or more likely through stronger government regulations, technology platforms should also put more emphasis on security and scale back the relentless quest to vacuum up user data. In turn, the forensic investigations of the Citizen Lab, Amnesty International, journalists, and others will need to be broadened and supplemented by other organizations doing similar work, whether at NGOs, universities, or investigative news organizations. Digital forensic science and digital accountability should be recognized as a formal research discipline that can monitor spyware activity, assist victims and targets, and keep pressure on governments and corporations to be more transparent and accountable for their actions. For such a field to emerge, many years of public, private, and philanthropic support will be needed.

Ultimately, governments themselves will need to adopt a robust regulatory framework for spyware use. Regulating the industry will likely require the enactment of a complex set of rules that address various aspects of the spyware market. For example, domestic-based spyware companies could be required to make regular public disclosures about their exports, and, in turn, government agencies could be required to report from whom and where they are importing spyware. Export rules need to be strengthened to prevent the sale of spyware to governments or other clients that are likely to use them in violation of international human rights law. Clear rules and standards of oversight for the use of spyware are also necessary. Specific legislation addressing the zero-day market will likely also be needed, although it will have to be carefully crafted so that legitimate security research is not hindered. Governments could also pass legislation giving victims of spyware the right to sue both foreign governments and spyware vendors for harms caused by espionage.

Such efforts could be reinforced at an international level through the development of a global spyware control regime. Military activities, for example, have long been subject to international oversight through such mechanisms as the UN’s Register of Conventional Arms and the policies that have been put in place relating to standards for private military and security contractors or the banning of land mines. A similar process could lead to the international regulation of spyware, including requirements for transparency and reporting about its use. These existing models, however, suggest that success will require the buy-in of a significant number of countries, and more pressure is needed to persuade governments and world leaders that mercenary spyware poses a serious and growing threat to international security and the liberal international order.

No doubt, authoritarian governments and security agencies that currently benefit from spyware will seek to obstruct such regulation, but the growing risks to national security of an unregulated market may prompt a more sober assessment. In November 2022, Sir Jeremy Fleming, a top British intelligence official, warned that the proliferating use of mercenary spyware and “hackers for hire” by countries and malefactors “will increase the future threat to UK cybersecurity.” Should the use of mercenary spyware continue to grow unchecked, the risks for democracy will become acute. If elites in any country can use this technology to neutralize legitimate political opposition on any point on earth, silence dissent through targeted espionage, undermine independent journalism, and erode public accountability with impunity, then the values on which the liberal international order is built may soon be no more secure than the passwords on our phones.

• RONALD J. DEIBERT is Professor of Political Science and Director of the Citizen Lab at the University of Toronto’s Munk School of Global Affairs and Public Policy.