รัฐบาลซาอุดิอาระเบียเป็นลูกค้าอีกรายของบริษัท เอ็นเอสโอ กรุ๊ป (NSO) ผู้ผลิตเพกาซัส สปายแวร์สอดส่องสัญชาติอิสราเอล มีเป้าหมายเป็นผู้เห็นต่างที่วิจารณ์ราชวงศ์อัล ซะอูด (Al Saud) ของซาอุดิอาระเบีย ต่อมาในปี 2019 กาเนม อัล มาซาริร (Ghanem Al masarir) หนึ่งในเหยื่อการสอดแนมด้วยเพกาซัส สปายแวร์เป็นโจทก์ยื่นฟ้องคดีแพ่งต่อซาอุดิอาระเบีย (Kingdom of Saudi Arabia) ที่ศาลในสหราชอาณาจักร เริ่มแรกซาอุดิอาระเบียแต่งตั้งทนายมาต่อสู้ในประเด็นเอกสิทธิ์การคุ้มกันแห่งรัฐเพื่อไม่ให้คดีดำเนินกระบวนพิจารณาต่อไปได้ ในเดือนสิงหาคม 2022 ศาลปัดตกข้อโต้แย้งดังกล่าวทำให้คดีดำเนินต่อไปได้ หลังจากนั้นซาอุดิอาระเบียถอนทนายและปัจจุบันคดีสิ้นสุดลงแล้ว
ใครคือกาเนม อัล มาซาริร เป้าหมายสอดส่องของรัฐบาลซาอุฯ
กาเนม อัล มาซาริร เป็นนักกิจกรรมสิทธิมนุษยชนชาวซาอุดิอาระเบีย พำนักในลอนดอน สหราชอาณาจักรตั้งแต่ปี 2003 มีการทำวิดีโอที่เสียดสีและวิจารณ์ราชวงศ์อัล ซะอูด โดยเฉพาะอย่างยิ่งกษัตริย์ซัลมานและมกุฎราชกุมารโมฮัมเหม็ด บิน ซัลมาน ปี 2012 กาเนมยื่นขอลี้ภัยในอังกฤษ ต่อมาวันที่ 31 สิงหาคม 2018 กาเนมถูกติดตามและทำร้ายที่ไนท์บริดจ์ ลอนดอน เหตุการณ์เริ่มจากที่กาเนมดื่มกาแฟกับเพื่อนแถวห้างสรรพสินค้าแฮร์รอด หลังจากพวกเขาออกจากคาเฟ่ก็มีชายสองคนเข้ามาหาพวกเขาถามทำนองว่า คุณเป็นใครถึงได้มาพูดเกี่ยวกับราชวงศ์อัล ซะอูด มีการขู่ว่าจะให้บทเรียนและกล่าวคำพูดดูหมิ่นแม่และคนในครอบครัวของกาเนมด้วยคำหยาบคาย[3]
ในเดือนตุลาคม 2018 กาเนมได้รับสถานะผู้ลี้ภัยและมีการตรวจสอบไอโฟนทั้งสองเครื่องของเขาพบว่า ถูกโจมตีจากสปายแวร์เพกาซัส จากการตรวจสอบทางเทคนิคชี้ให้เห็นถึงความเกี่ยวข้องกับการใช้งานของซาอุดิอาระเบีย ปีถัดมากาเนม ในฐานะโจทก์ยื่นฟ้องแพ่งต่อซาอุดิอาระเบียต่อศาลในสหราชอาณาจักร ข้อกล่าวหาโดยสรุปคือ หนึ่ง การใช้ข้อมูลส่วนตัวในทางที่ไม่ถูกต้อง (Misuse of private information) กล่าวคือ การใช้งานสปายแวร์ทำให้เข้าถึงและส่งต่อข้อมูลจากไอโฟนของเขาโดยปราศจากความยินยอม สอง การคุกคามที่หมายรวมตั้งแต่การส่งข้อความที่เป็นอันตราย (Malicious message) เข้ามาในไอโฟน การโจมตีด้วยสปายแวร์ การสอดส่องและการทำร้ายที่ไนท์บริดจ์ สาม การบุกรุกทรัพย์สิน (Trespass to good) และสี่ การเรียกร้องค่าเสียหายจากการบาดเจ็บส่วนบุคคล คือ การบาดเจ็บทางจิตใจที่เป็นผลพวงมาจากการทราบว่า ข้อความที่ส่งมายังไอโฟนของโจทก์นั้นเป็นการกระทำโดยหรือกระทำในนามของรัฐบาลซาอุดิอาระเบีย การรับรู้ว่า ตัวเองตกเป็นเป้าของการสอดส่องและการโจมตีที่ไนท์บริดจ์ และการบาดเจ็บทางกายภาพจากการถูกทำร้ายที่ไนท์บริดจ์
ผลตรวจทางเทคนิค-ข้อมูลแวดล้อมชี้ชัดไปที่รัฐบาลซาอุฯ
คดีนี้กาเนมมีผู้เชี่ยวชาญคอมพิวเตอร์คือ บิล มาร์แซค (Bill Marczak) จาก Citizen Lab ให้การเพื่อสนับสนุนว่า ไอโฟนของกาเนมถูกแฮ็กจากเพกาซัส สปายแวร์ที่เกี่ยวข้องกับซาอุดิอาระเบีย จากคำให้การของบิลเล่าถึงภูมิหลังการใช้งานสปายแวร์สอดส่อง ซึ่งรวมถึงสปายแวร์เพกาซัสของซาอุดิอาระเบียว่า ช่วงประมาณปี 2012-2015 มีหน่วยงานของซาอุดิอาระเบียสามแห่งใช้งานสปายแวร์ที่ผลิตโดยแฮ็คกิ้ง ทีม (Hacking team) ที่มีฐานในอิตาลี ในปี 2014 และ 2015 ในซาอุดิอาระเบียมีเซิร์ฟเวอร์หลายแห่งมีการใช้งานซอฟต์แวร์ที่ผลิตโดยฟินฟิชเชอร์ (FinFisher GmbH and/or the Gamma Group) ที่อนุมานได้ว่า เป็นการใช้งานของซาอุดิอาระเบีย ในฤดูร้อนปี 2017 รัฐบาลซาอุดิอาระเบียได้มีการลงนามในข้อตกลงเพื่อให้ได้สปายแวร์ตัวนี้มาใช้งานและในช่วงเดือนตุลาคม 2018 ผู้บริหารของ NSO ยอมรับโดยปริยายว่า ซาอุดิอาระเบียเป็นลูกค้า
ประเด็นการตรวจสอบทางเทคนิคเริ่มจากวันที่ 6 พฤศจิกายน 2018 บิลได้รับการติดต่อจากนักข่าวของนิตยสารฟอร์บส (Forbes) แจ้งเตือนเขาเกี่ยวกับคดีของกาเนม ในวันถัดมานักข่าวคนดังกล่าวได้ส่งภาพข้อความในเครื่องของกาเนมที่มีลิงค์ของเว็บไซต์ซึ่งเป็นหนึ่งในลิงค์ที่บิลเคยระบุว่า มีความเกี่ยวข้องกับระบบปฏิบัติการที่ชื่อว่า “KINGDOM” และวันที่ 16 ธันวาคม 2018 บิลตรวจไอโฟนของกาเนมทั้งสองเครื่องและมีหลักฐานที่ชี้ว่า ทั้งสองเครื่องถูกโจมตีจากเพกาซัสโดยระบบปฏิบัติการ “KINGDOM” รวมทั้งยังตรวจสอบพบว่า ไอโฟนทั้งสองเครื่องของกาเนมไม่สามารถอัพเดทซอฟต์แวร์ได้ กลไกการอัพเดทของโทรศัพท์ถูกปิดใช้งานก็ต่อเมื่อดาวน์โหลดสปายแวร์ขั้นสุดท้าย (ขั้นที่ 3) สำเร็จแล้วเท่านั้น
บิลอธิบายถึงเป้าหมาย (เหยื่อ) ของ “KINGDOM” ที่ปรากฏต่อสาธารณะอีกห้าคนได้แก่ หนึ่ง โอมาร์ อับดุลอาซิส (Omar Abdulaziz) ที่มีการทำโชว์เสียดสีและมีความใกล้ชิดกับจามาล คาชอกกี นักข่าวชาวซาอุดิอาระเบียที่ถูกสังหารในสถานกงสุลซาอุดิอาระเบียในอิสตันบูล ซึ่งในภายหลังซีไอเอระบุว่า เป็นการสั่งการจากมกุฎราชกุมารโมฮัมเหม็ด บิน ซัลมาน สอง ยะห์ยา อัซซิริ (Yahya Assiri) เป็นทหารอากาศเก่าและเป็นผู้ก่อตั้งองค์กรด้านสิทธิมนุษยชนในลอนดอน สาม เบน ฮับบาร์ด (Ben Hubbard) หัวหน้าสำนักงานกรุงเบรุต เลบานอนของนิวยอร์กไทมส์ ตอนที่เขาตกเป็นเป้าหมายกำลังเขียนงานเรื่องการขึ้นสู่อำนาจของมกุฎราชกุมารโมฮัมเหม็ด บิน ซัลมาน สี่ นักกิจกรรมชาวซาอุดิอาระเบีย และห้า ลูกจ้างของแอมเนสตี้ อินเตอร์เนชั่นแนล เห็นได้ว่า ภูมิหลังและความสนใจของเป้าหมายของ “KINGDOM” แทบทั้งหมดเกี่ยวพันกับซาอุดิอาระเบีย
ข้อเท็จจริงทางเทคนิคและพยานแวดล้อมอีกประการคือ ลักษณะของข้อความที่โจทก์ได้รับ สปายแวร์เพกาซัสสามารถติดตั้งในอุปกรณ์ในหลายรูปแบบรวมถึงการที่ผู้ใช้ของอุปกรณ์ดังกล่าวกดไปที่ลิงค์ที่มีข้อความอันประกอบด้วยเนื้อหาที่จะกระตุ้นหรือเร้าความสนใจเป็นการเฉพาะของผู้ใช้ เช่น กรณีของฮับบาร์ดที่ได้รับเนื้อหาและลิงค์ทำนองว่า “เบน ฮับบาร์ดและเรื่องของราชวงศ์ซาอุฯ” หรือเจ้าหน้าที่แอมเนสตี้ที่ได้รับข้อความถามถึงความเป็นได้ว่า “เขาจะรายงานเกี่ยวกับการชุมนุมเพื่อพี่น้องของคุณที่ถูกคุมขังในซาอุดิอาระเบียที่หน้าสถานทูตซาอุฯ ในกรุงวอร์ชิงตัน ดีซี?”
ตามล่า “ลายนิ้วมือ” ปลายทางเป็น NSO
ทั้งนี้เมื่อสปายแวร์ถูกติดตั้งลงบนโทรศัพท์การทำงานของสปายแวร์จะเป็นลักษณะที่ทำให้อุปกรณ์ดังกล่าวเชื่อมโยงกับเซิร์ฟเวอร์ควบคุมและสั่งการ (command and control (C&C) server) ที่ควบคุมโดยปลายทางผ่านทางเซิร์ฟเวอร์ตัวกลาง (Proxy server) ที่ทำให้ไม่สามารถตรวจสอบโค้ดของสปายแวร์ที่จะชี้ปลายทางไปยังเซิร์ฟเวอร์ควบคุมและสั่งการได้ อย่างไรก็ตามการทำงานสืบสวนการใช้งานสปายแวร์เพกาซัสของบิลและ Citizen Lab มีมาอย่างยาวนาน เขาศึกษาและตรวจสอบทางเทคนิคการสอดส่องโดยสปายแวร์ที่เกิดขึ้นในหลายประเทศทั่วโลก ชิงไหวชิงพริบกันตลอดมา เช่นเดียวกันกับกรณีนี้ที่เซิร์ฟเวอร์ตัวกลางอาจซ่อนการตรวจสอบถึงประเทศผู้ใช้ปลายทางได้แต่ไม่ตลอดไป
ย้อนกลับไปในปี 2016 บิลเชื่อมโยง NSO กับลิงค์ในข้อความที่ส่งมายังเครื่องเป้าหมายได้เป็นครั้งแรกต่อสาธารณะ จากการวิเคราะห์พฤติกรรมของอุปกรณ์ที่กดลิงค์ ซึ่งอะห์เหม็ด มันซูร (Ahmed Mansoor) นักปกป้องสิทธิมนุษยชนในสหรัฐอาหรับเอมิเรตส์ได้รับนั้นบิลพบว่า มันมีลายนิ้วมือหรือรูปแบบชัดเจนที่มีการเชื่อมโยงและตอบสนองกับชุดไอพีแอดเดรส บางส่วนของไอพีแอดเดรสนั้นชี้ไปที่ชื่อโดเมนที่จดทะเบียนโดย NSO นอกจากนี้ในการใช้เทคนิคการสืบสวนระบบชื่อโดเมน (DNS probing) สามารถค้นหาและระบุเซิร์ฟเวอร์ที่เกี่ยวข้องกับการปฏิบัติการของสปายแวร์เพกาซัส และด้วยวิธีการเดียวกันนี้เขาสามารถค้นหาอุปกรณ์อื่นๆ ที่ค้นหาเซิร์ฟเวอร์ของสปายแวร์เพกาซัส และอุปกรณ์ที่อาจจะถูกโจมตีหรือติดสปายแวร์ดังกล่าว ซึ่งวิธีการนี้ทำให้เขาสามารถระบุได้ว่า โทรศัพท์ของโอมาร์ อัลดุลอาซิส (Omar Abdulaziz) ถูกโจมตีจากเพกาซัสด้วย
จากการสืบสวนทางเทคนิคบิลแบ่งเซิร์ฟเวอร์ออกเป็น 36 กลุ่มหรือระบบปฏิบัติการที่แต่ละกลุ่มนั้นจะเป็นตัวแทนของเซิร์ฟเวอร์ตัวกลางที่สื่อสารกับเซิร์ฟเวอร์ที่ควบคุมและสั่งการของเพกาซัส จากการตรวจสอบบิลสามารถระบุว่า เซิร์ฟเวอร์บางกลุ่มเชื่อมโยงกับประเทศใดประเทศหนึ่งเป็นการเฉพาะ การระบุมีการอ้างอิงจากข้อมูลเช่น ชื่อโดเมนที่เกี่ยวข้องกับแต่ละระบบปฏิบัติการ อัตลักษณ์ของเป้าหมายที่ได้รับข้อความที่มีลิงค์ไปสู่ชื่อโดเมนที่เกี่ยวข้องกับแต่ละระบบปฏิบัติการ และการตรวจสอบแคชของระบบชื่อโดเมน (DNS cache probing) ที่สามารถแสดงประเทศที่มีระบบปฏิบัติการที่อาจจะกำลังทำงานสอดส่องอยู่ บิลระบุว่า มีระบบปฏิบัติการหนึ่งที่เชื่อมโยงกับซาอุดิอาระเบียชื่อว่า “KINGDOM” จากผลการตรวจแคชของระบบชื่อโดเมนพบว่า “KINGDOM” เป็นระบบปฏิบัติการเดียวที่มีชื่อโดเมนซึ่งแสดงให้เห็นการโจมตีในซาอุดิอาระเบีย (this was the only operator whose domain names showed likelyinfections in Saudi Arabia based on Dr Marczak’s DNS Cache Probing results) เป้าหมายล้วนทำงานในประเด็นที่เกี่ยวข้องกับซาอุดิอาระเบีย และชื่อโดเมนที่ใช้ในระบบปฏิบัติการนี้มีการบ่งชี้ถึงราชอาณาจักรอาหรับ