Pegasus-spyware: iPhone van journalist Peter Verlinden gehackt

Peter Verlinden op reportage in 2008

De iPhones van journalist Peter Verlinden en zijn echtgenote Marie Bamutese zijn ‘waarschijnlijk aangevallen met Pegasus-software’. Dat schrijft de militaire inlichtingendienst ADIV in een inlichtingenrapport dat Knack en Le Soir konden inkijken. ‘De ADIV gaat ervan uit dat de intrusie zeer waarschijnlijk is geïnitieerd door Rwanda.’ Het Security Lab van Amnesty International bevestigt de sporen van infectie.

In juli onthulden Knack en Le Soir dat geavanceerde hackingsoftware verkocht door het Israëlische bedrijf NSO Group gebruikt is door autoritaire overheden om de smartphones van journalisten en mensenrechtenactivisten te bespioneren in tal van landen. Dat bleek uit het Pegasus Project, een onderzoek door 17 media gecoördineerd door het journalistencollectief Forbidden Stories. Het Security Lab van Amnesty International vond op tientallen smartphones sporen van de spyware Pegasus.

In België begon de ADIV een onderzoek naar aanleiding van de publicaties. ‘Onze dienst identificeerde verschillende Belgische burgers als potentiële doelwitten van de Pegasus-software. In dat kader zijn Peter Verlinden en Marie Bamutese gecontacteerd voor een veiligheidscontrole van hun communicatieapparaten’, schrijft de ADIV in een inlichtingenrapport met het label ‘beperkte verspreiding’ van 16 september 2021. ‘Terwijl het volledige onderzoek nog loopt, stelt onze dienst vast dat zowel de toestellen van Verlinden als van Bamutese waarschijnlijk zijn aangevallen door de Pegasus-software. Gelet op de timing van de intrusie en het profiel van de doelwitten gaat de ADIV ervan uit dat zo’n intrusie zeer waarschijnlijk door Rwanda geïnitieerd is. Gelet op de complexiteit van de Pegasus-software van NSO doet de ADIV verder onderzoek om onze eerste inschatting te bevestigen en de volledige omvang van de compromittering vast te stellen.’

Afrika-journalist van VRT

Peter Verlinden (64) werkte tot van 1987 tot 2019 als journalist bij de openbare omroep VRT en was gespecialiseerd in Afrika. Momenteel is hij nog aan de slag als freelancejournalist, onder meer voor Knack. Zijn echtgenote Marie Bamutese kwam als vluchteling uit Rwanda naar België en heeft intussen de Belgische nationaliteit. Samen hebben ze drie kinderen.

‘Midden augustus belde de ADIV met de vraag om de gsm’s van mijn vrouw en mij te mogen analyseren’, zegt Verlinden. ‘We gingen akkoord. Eind augustus hebben ze een kopie gemaakt van de toestellen, en vervolgens hebben ze de iPhones ook gedurende vijf dagen onderzocht. Gisteren volgde dan het rapport met de vaststelling dat beide toestellen waarschijnlijk met Pegasus gehackt zijn.’

Verbaasd was hij niet, zegt Verlinden, ‘gelet op mijn relatie met het Rwandese regime. Het verwonderde ons niet echt dat Rwanda probeert te achterhalen wat mijn vrouw en ik doen. De afgelopen jaren lagen we op sociale media al onder vuur door internettrollen. Daarvoor hebben we in 2018 trouwens een klacht ingediend wegens laster en eerroof. Met andere woorden: we zijn wel wat gewend van het Rwandese regime. Maar als je de uitleg van ADIV leest over wat Pegasus allemaal kan, dan is het toch wel zeer akelig. Degene die Pegasus op je afstuurt, neemt volledig bezit van je telefoon. Zelfs van de gps-tracker. Ze kunnen perfect weten waar je zit. Zelfs Signal is niet veilig. Je hebt het gevoel dat iedereen kan gadeslaan wat je doet. Het geeft een heel vies gevoel, een gevoel van onveiligheid. Daar probeerden we al mee te leven, maar dit is een serieuze slag erbovenop.’

‘De timing is bijzonder’

In het ADIV-rapport staat dat de Pegasus-spyware ‘waarschijnlijk tussen 22 en 29 september 2020 is geïnstalleerd’ op Verlindens smartphone, en ‘waarschijnlijk tussen 20 oktober en 2 november 2020’ op die van zijn echtgenote. ‘De timing van de intrusies is bijzonder’, klinkt het in het ADIV-rapport. ‘De vermelde periodes stemmen overeen met de weken volgend op de kidnapping van Paul Rusesabagina, en de internationale verontwaardiging die in westerse media aan bod kwam en de acties van Rwanda in de schijnwerpers plaatste. Gelet op de timing van de intrusie, en het profiel van de aangevallen personen gaat de ADIV ervan uit dat de intrusie zeer waarschijnlijk is geïnitieerd door Rwanda.’ Het is uitzonderlijk dat een inlichtingendienst zo ver gaat in de attributie van een cyberaanval.

Hotel Rwanda

Paul Rusesabagina in gevangenisplunje op 25 september 2020.
Paul Rusesabagina in gevangenisplunje op 25 september 2020.© Getty Images

Paul Rusesabagina (67) werd in augustus 2020 met een list naar Rwanda gelokt. De tot Belg genaturaliseerde inwoner van de VS werd wereldberoemd door de Hollywoodfilm Hotel Rwanda. Die verhaalt hoe de hotelmanager tijdens de Rwandese genocide in 1994 het leven van 1268 Hutu’s en Tutsi’s redde. Momenteel staat hij in Rwanda terecht voor onder meer terrorisme. De uitspraak wordt de komende dagen verwacht.

Peter Verlinden hoopt dat de Belgische overheid een signaal uitstuurt dat de hacking van zijn gsm ‘een stap te ver is’.

Het Pegasus Project onthulde reeds dat de iPhone X van Rusesabagina’s dochter Carine Kanimba (28) sporen van Pegasus-spyware bevat. Dat bleek uit een forensische analyse door Amnesty International Security Lab. De recentste indicaties van een cyberaanval tegen Kanimba’s smartphone dateerden van begin juli. Rwanda ontkende met klem dat het achter de hacking zat en dat het toegang zou hebben tot Pegasus-spyware. In de periode dat haar telefoon besmet was, had Kanimba – die in België verblijft – onder meer een onderhoud met minister van Buitenlandse Zaken Sophie Wilmès (MR).

Een stap te ver

Knack en Le Soir contacteerden de Rwandese overheid en NSO Group vrijdag voor een reactie op het ADIV-rapport over Verlindens smartphone.

De Rwandese ambassade in Brussel liet het volgende optekenen: ‘Rwanda is niet in het bezit van deze software en gebruikt deze software dus niet. Verlinden en zijn echtgenote, twee bekende tegenstanders van de Rwandese regering, zoeken gewoon publiciteit door een valse beschuldiging te uiten’.

De NSO Group stuurde deze verklaring: ‘We kunnen geen ernstige commentaar geven op “waarschijnlijke inschattingen” van een anonieme actor. Uit de minimale informatie die we van u ontvingen lijkt het erop dat deze vraag geen verband houdt met NSO Group of een van haar technologieën.’

Peter Verlinden met tv-ploeg in 2010
Peter Verlinden met tv-ploeg in 2010© Belga

‘Als en wanneer NSO enig geloofwaardig bewijs van misbruik ontvangt, zullen wij dit onderzoeken. Als misbruik wordt vastgesteld, heeft het bedrijf sancties ter beschikking – waaronder de totale uitschakeling van het systeem.’

‘NSO Group voorziet inlichtingen- en wetshandhavingsdiensten over de hele wereld van levensreddende technologieën met als enig doel de bestrijding van terreur en misdaad.’

Peter Verlinden hoopt dat de Belgische overheid een signaal uitstuurt dat de hacking van zijn gsm ‘een stap te ver is’. ‘De overheid moet garant staan voor de veiligheid van haar burgers.’ De journalist zal eerstdaags een klacht indienen bij de lokale politie.

De ADIV reageert dat hij ‘niet communiceert over een rapport gemarkeerd “beperkte verspreiding” zolang het onderzoek loopt’. Het kabinet van minister van Defensie Ludivine Dedonder (PS) geeft geen commentaar.

Het kabinet van minster van Buitenlandse Zaken Sophie Wilmès (MR) laat weten dat ‘de minister heeft gevraagd dat er contacten worden genomen met de Rwandezen om de zaak uit te klaren’.

Amnesty bevestigt: bekende Pegasus-processen

In samenwerking met Forbidden Stories voerde het Security Lab van Amnesty International vrijdagmiddag een bijkomende analyse uit op de iPhone van Verlinden. ‘We zien duidelijke sporen van infectie van 22 september tot 29 september 2020’, zegt onderzoeker Claudio Guarnieri van het Security Lab. ‘We troffen onder meer de bekende Pegasus-processen rlaccountd, bfrgbd en mptbd aan.’

Journalistenvereniging reageert: ‘Schrikwekkend dichtbij’

‘Het is schrikken hoe dichtbij het allemaal komt’, zo reageert Pol Deltour, nationaal secretaris van de Vlaamse Vereniging voor Journalisten (VVJ) op het nieuws. ‘We hebben iets te gemakkelijk gedacht dat Pegasus een ver-van-ons-bedshow is. Nu komt het schrikwekkend dichtbij. En Peter Verlinden is niet de enige journalist die dossiers behandelt waarin overheden een dubieuze rol spelen. Dit nieuws is heel confronterend. En het toont absoluut aan dat de Belgische overheid dit veel ernstiger moet nemen. Op het vlak van cyber security moet er veel meer gebeuren, zeker wat journalisten betreft. Cyberdreigingen tegen mediagroepen en individuele journalisten zijn een realiteit. We moeten dat aanpakken, op alle mogelijke niveaus. De overheid en mediabedrijven moeten extra inspanningen leveren en individuele journalisten moeten beter gesensibiliseerd worden over de dreiging.’

ADIV: ‘Krachtigste spyware ooit’

‘De Pegasus-software is mogelijk een van de krachtigste spyware ooit door een privébedrijf ontwikkeld’, schrijft de ADIV in zijn rapport. ‘Eens geïnstalleerd wordt de telefoon volledig gecompromitteerd en voert de spyware non-stop surveillance uit. De spyware kan berichten kopiëren die u verzendt of ontvangt, uw foto’s vastleggen en uw gesprekken opnemen. De camera van uw telefoon kan worden gebruikt om u stiekem te filmen, en de microfoon om uw gesprekken op te nemen. Het kan uw bewegingen volgen en mogelijk met wie u afspreekt. De spyware kan waarschijnlijk uw gegevens scrapen van Apple, Google, Facebook, Amazon en Microsoft, evenals van clouddiensten. De spyware kan ook verzonden berichten onderscheppen voordat ze zijn gecodeerd, en ontvangen berichten nadat ze zijn gedecodeerd.’

Volgens de ADIV kunnen smartphonegebruikers niet veel doen om zich te wapenen tegen Pegasus. ‘Behalve de software van je toestel en de apps up-to-date houden.’ De ADIV verwijst in dat verband naar de nieuwe update van het operatingsystem iOS 18.4, die Apple op 13 september 2021 publiek maakte.

Behalve Peter Verlinden en zijn echtgenote heeft de ADIV naar verluidt ook nog andere Belgen benaderd met de vraag om hun smartphone te laten analyseren op sporen van Pegasus. Het is afwachten of dat nog bijkomende aanwijzingen van infecties zal opleveren.

Partner Content