Regimes bespioneren journalisten en activisten met spyware die mobieltjes overneemt


Journalisten, activisten, politici. Allemaal staan ze op een lijst met 50.000 telefoonnummers, en mogelijk waren ze allemaal doelwit van misschien wel de meest geraffineerde spyware die er bestaat: Pegasus.


De telefoons van tienduizenden activisten, journalisten, advocaten en politici zijn mogelijk het doelwit geworden van spionageactiviteiten van autoritaire regimes, dankzij spyware ontwikkeld door het Israëlische techbedrijf NSO Group, zo blijkt uit een onderzoek.

Het is niet de eerste keer dat het bedrijf in opspraak raakt; het is al langer bekend dat het spyware verkoopt aan autocratische regimes zoals Saudi-Arabië en de Verenigde Arabische Emiraten. Drie jaar geleden kreeg het nog een rechtszaak aan de broek van de Saudische dissident Omar Abdulaziz, die in Canada woont en wiens telefoon geïnfecteerd werd door de spyware, Pegasus genaamd.

Een groot datalek van het bedrijf geeft nu inzicht in hoe breed Pegasus wereldwijd wordt ingezet, en wie er mogelijk allemaal mee op de korrel zijn genomen. De gelekte gegevens zijn in bezit van de Franse journalistieke organisatie Forbidden Stories, die hier samen met een brede groep van internationale kranten zoals The Washington Post, The Guardian en Die Zeit de voorbije tijd onderzoek naar heeft gedaan, onder de noemer The Pegasus Project. Onderdeel van de gelekte documenten is een lijst met meer dan 50.000 telefoonnummers van onder andere prominente journalisten, activisten, advocaten, vakbondsleden en politici van over de hele wereld. Het vermoeden is dat iedereen die op deze lijst werd gezet een potentieel doelwit was voor Pegasus.


Controle over je hele telefoon

Pegasus is een van de meest geraffineerde stukken spionagesoftware die er bestaan. Zodra het op je telefoon staat, hebben de gebruikers toegang tot alles: je smsjes, telefoongesprekken, je foto’s, je e-mails en al je contacten. Maar ook de berichten die versleuteld zijn op apps zoals Whatsapp, Signal en Telegram. Ook krijgen de hackers de controle over je microfoon en je camera, die aangezet kunnen worden om mee te kijken of te luisteren, zelfs als de telefoon op dat moment niet wordt gebruikt.

Je kunt niet voorkomen dat je telefoon geïnfecteerd wordt door goed op te letten dat je niet op een verdachte link in een mail of sms klikt. In eerdere versies maakte Pegasus nog veel gebruik van deze manieren van spyware installeren, maar tegenwoordig is het in staat om via ‘zero click’-aanvallen binnen te dringen in een telefoon. Dit betekent dat de gebruiker nergens op hoeft te klikken om de spyware toegang te geven tot het toestel. Deze aanvallen maken gebruik van fouten in de besturingssystemen van Apple en Android die vaak nog niet ontdekt of verholpen zijn door de fabrikanten zelf, waardoor de spyware via een ‘achterdeurtje’ naar binnen kan.


Forensisch onderzoek

Maar wie zit er achter al die hackpogingen? De lijst van mogelijke daders is beperkt; de enigen die van Pegasus gebruik kunnen maken, zijn regeringen en overheidsinstanties die de spyware hebben gekocht van de NSO Group. Volgens het bedrijf levert het aan veertig landen, maar het wil niet prijsgeven welke dat zijn. Door te kijken naar welke individuen getarget worden, zegt het Pegasus Project zeker tien landen te hebben geïdentificeerd die verantwoordelijk zijn voor het vullen van de lijst met doelwitten: Saudi-Arabië, de Verenigde Arabische Emiraten, Mexico, Hongarije, Marokko, India, Bahrein, Rwanda, Azerbaijan en Kazakhstan.

Ook heeft het Pegasus Project forensisch onderzoek uitgevoerd op telefoons van een aantal journalisten en activisten die op de lijst stonden. Van de 67 telefoons bevatte er 37 sporen van de spyware, volgens de onderzoekers een steekproef die aantoont dat een groot deel van de nummers op de lijst daadwerkelijk doelwit zijn geweest. En de onderzoekers ontdekten dat een telefoon vaak werd geïnfecteerd kort nadat het nummer op de lijst was gezet, soms slechts enkele seconden erna.


Geïnfecteerd vier dagen na de dood van Khashoggi

Een van de onderzochte telefoons was van Hatice Cengiz, de verloofde van de vermoorde Saudische journalist Jamal Khashoggi. Slechts vier dagen na zijn dood werd haar telefoon geïnfecteerd met Pegasus, zo ontdekten de onderzoekers. De spyware werd ook ontdekt op de telefoons van vrienden van Khashoggi, en het telefoonnummer van de hoofdaanklager van Turkije – die het onderzoek naar de moord van de journalist leidde – stond op de lijst van nummers die mogelijk doelwit waren van Pegasus. Of zijn telefoon daadwerkelijk geïnfecteerd is, kon niet worden bevestigd, omdat de onderzoekers zijn telefoon niet hebben gekregen om forensisch onderzoek uit te voeren.

Het Israëlische techbedrijf zelf zegt dat het alle ‘cliënten’ aan wie het de spyware heeft verkocht van te voren grondig gescreend heeft, en dat Pegasus alleen wordt ingezet om criminelen en terroristen op te sporen. De onthullingen zijn ook gênant voor de Israëlische regering. Want het ministerie van defensie van het land houdt toezicht op de NSO Group, en voor elke nieuwe ‘cliënt’ waaraan het techbedrijf de spyware wil verkopen, moet het ministerie toestemming geven. Het heeft nog niet gereageerd op de aantijgingen.


‘Straks heb je geen 50.000 doelwitten, maar 50 miljoen’

Het onderzoek benadrukt hoe kwetsbaar de veiligheid van telefoons - en daarmee de privacy van burgers - maar weer blijkt te zijn. Maar of het een ‘wake-up call’ voor de burger is wat betreft digitale veiligheid is nog maar de vraag, denkt digitaal strateeg Ilyaz Nasrullah. “Neem bijvoorbeeld Edward Snowden, die acht jaar geleden de afluisterpraktijken van de NSA blootlegde. Ik denk dat die casus veel meer impact had op het bewustzijn van mensen over digitale privacy, maar het veranderde weinig aan hun gedrag. Misschien is het niet zozeer een wake-up call voor de burgers, maar wel voor de politiek: er moet internationaal beleid komen dat dit soort surveillance aan banden legt.”

Snowden zelf heeft wel een idee hoe dat beleid eruit zou moeten zien; in een reactie op het onderzoek roept de klokkenluider op tot een wereldwijde opschorting van de handel in spyware. “Als niemand iets doet om de verkoop van dit soort technologie te stoppen, dan heb je het straks niet meer over 50.000 doelwitten, maar 50 miljoen - en dat zal veel sneller gebeuren dan we verwachten.”


Blog Trouw, 19-07-2021 (Isabel Bolle)