Ook als u nergens op klikt bent u gezien

Geavanceerde Israëlische spionagesoftware, in licentie gegeven aan overheden om terroristen en criminelen op te sporen, is gebruikt om 37 smartphones van onder meer journalisten en mensenrechtenactivisten wereldwijd te hacken. Dat blijkt uit het Pegasus Project. In onderstaande acht antwoorden leest u alles wat u moet weten over dit internationale onderzoek naar cyberspionage.

1. Wat is Pegasus?

Pegasus is een programma om smartphones te hacken, ontworpen en verkocht door het Israëlische bedrijf NSO Group. Alles wat je op je smartphone doet, kan Pegasus stiekem gadeslaan. Wachtwoorden, sms’jes, foto’s, contactenlijsten, oproepen, websitebezoeken, locatiegegevens… Pegasus kan ook je microfoon en camera op afstand inschakelen of ongezien screenshots maken. De spyware kan zelfs encryptie omzeilen, waardoor apps als Signal of WhatsApp nutteloos worden.

2. Hoe werkt Pegasus?

De eerste stap is de spyware in het geviseerde gsm-toestel inbrengen. Aanvankelijk gebeurde dat door gebruikers een gepersonaliseerd sms’je te sturen met daarin een link. Door daarop de klikken, werd je smartphone geïnfecteerd. Recent zien onderzoekers meer en meer zero click-aanvallen opduiken: daarbij hoef je niet eens op een link te klikken om geïnfecteerd te raken. Voor de hacker volstaat het dus je gsm-nummer te kennen om in je leven binnen te dringen.

Stap twee is informatie van het toestel halen. Stap drie is die data doorsturen naar de aanvallers. Dat kan zodra je smartphone is verbonden met het internet.

3. Wat weten we over NSO Group, het bedrijf dat Pegasus heeft ontwikkeld?

Het Israëlische bedrijf is in 2010 opgericht met als missie ‘regeringen helpen om onschuldigen te beschermen tegen terrorisme en misdaad door hen te voorzien van de beste inlichtingentechnologie’. Bij NSO – dat opereert vanuit Israël, Bulgarije en Cyprus – werken zo’n 750 mensen. Naast Pegasus ontwikkelde NSO ook search-and-rescue-technologie om slachtoffers van natuurrampen te lokaliseren, en technologie om surveillance door drones tegen te gaan.

NSO benadrukt dat het Pegasus zelf níét ontplooit: het levert enkel Pegasus-licenties aan landen. Het bedrijf zegt dat het géén inkijk heeft in het gebruik ervan – enkel bij vermeend misbruik kan het daarover naar eigen zeggen verdere informatie opvragen.

4. Wie zijn de klanten van NSO Group?

NSO zegt alleen te verkopen aan overheden die het bedrijf grondig heeft doorgelicht. Het heeft 60 klanten in 40 landen. Zowat de helft zijn inlichtingendiensten, gevolgd door wetshandhavingsinstanties (4 op de 10 klanten) en militaire instanties (1 op de 10). Welke overheden klant zijn, is een goed bewaard geheim. Uit het Pegasus Project blijkt dat de volgende 10 landen klant zijn of waren van NSO: Mexico, Azerbeidzjan, Kazachstan, Hongarije, India, de Verenigde Arabische Emiraten, Saudi-Arabië, Bahrein, Marokko en Rwanda. Een aantal van die landen hebben een bedenkelijke reputatie op het vlak van mensenrechten. Verschillende landen, waaronder Rwanda en Marokko, betwisten formeel dat ze Pegasus gebruiken.

Het onderzoek begon met een datalek van 50.000 telefoonnummers van onder meer journalisten, mensenrechtenactivisten en politici.

Volgens NSO heeft het sinds 2016 vijf klanten van het Pegasus-systeem afgesloten, na een onderzoek in verband met misbruik. NSO heeft ook een lijst met 55 landen waaraan het géén cyber intelligence-producten verkoopt, wegens ‘mensenrechten, corruptie en regelgevende beperkingen’. Bovendien moet elke export van NSO-technologie goedgekeurd worden door de controlediensten van Israël, Bulgarije en Cyprus. Het bedrijf gaat er prat op ethisch te werken en internationale normen te volgen, zoals de UN Guiding Principles on Business and Human Rights.

5. Wat is dan eigenlijk het probleem?

Pegasus is ontworpen om criminelen en terroristen op te sporen, maar wordt door klanten van NSO ook ingezet tegen journalisten, activisten en diplomaten. Het Pegasus Project toont aan dat misbruik van de spyware wijdverspreid is. Het onderzoek ging van start nadat Forbidden Stories (een non-profitplatform in Parijs dat het werk van bedreigde of vermoorde journalisten voortzet) en mensenrechtenorganisatie Amnesty International toegang kregen tot een groot datalek. Het gaat om een lijst met meer dan 50.000 telefoonnummers uit een vijftigtal landen die sinds 2016 door NSO-klanten zijn geselecteerd als potentieel doelwit. Ook een dozijn Belgische gsm-nummers staan erop.

Dat een telefoonnummer op de lijst voorkomt, betekent niet noodzakelijk dat het toestel in kwestie ook daadwerkelijk aangevallen of geïnfecteerd is met spyware van NSO. Het gegevenslek was dan ook slechts het startpunt van het onderzoek. 17 internationale media hebben maandenlang uitgevlooid aan wie de telefoonnummers toebehoren. In meer dan 1000 gevallen is dat gelukt. Het ging onder meer om 180 journalisten, tal van mensenrechtenactivisten, advocaten, vakbondsleiders, politici en zelfs een tiental staatshoofden en regeringsleiders. Vervolgens hebben we een aantal van die mensen benaderd om na te gaan of er op hun gsm’s inderdaad ook sporen van Pegasus-infectie waren achtergebleven.

6. Pegasus opereert toch onzichtbaar?

Dat is de bedoeling, maar minieme aanwijzingen over netwerkactiviteit in de logs over het batterijgebruik van het toestel verraden toch zijn aanwezigheid, ontdekten IT-specialisten.

Het Security Lab van Amnesty International onderzocht de voorbije maanden 67 telefoons waarvan de nummers op de gelekte lijst stonden, op zoek naar forensisch bewijs van de Pegasus-spyware. Resultaat? 37 telefoons vertoonden sporen van Pegasus-activiteit: 23 telefoons waren met succes geïnfecteerd, en 14 vertoonden indicaties van een poging tot infectie. Voor de overige 30 telefoons gaf de forensische analyse geen uitsluitsel – in verschillende gevallen omdat ze intussen waren vervangen.

Vijftien van de geanalyseerde telefoons waren Android-toestellen. Op geen enkel van die toestellen konden bewijzen van een succesvolle infectie worden aangetroffen. In tegenstelling tot iPhones slaan Androids niet het soort informatie op dat nodig is voor Amnesty’s speurwerk.

7. Hoe reageert NSO Group op het Pegasus Project?

NSO Group ontkent dat de gelekte lijst met telefoonnummers ook maar iets te maken heeft met zijn Pegasus-systeem. Volgens NSO gaat het helemaal niet om een potentiële doelwittenlijst. Het bedrijf stelt ook de forensische analyse door Amnesty International Security Lab ter discussie. Het bekritiseert de berichtgeving van het Pegasus Project, ‘vol verkeerde veronderstellingen en niet-bevestigde theorieën’.

Wel beloofde Shalev Hulio, ceo van NSO Group, dat hij alle mogelijke aanwijzingen van misbruik zou onderzoeken. ‘Elke beschuldiging van misbruik van het systeem baart me zorgen’, aldus Hulio. ‘Het schendt het vertrouwen dat we de klant geven.’

Op de gelekte lijst met telefoonnummers staat ook de precieze timing waarop het nummer werd geselecteerd. Wanneer we die timing vergelijken met de sporen van Pegasus die Amnesty International Security Lab aantrof op de toestellen in kwestie, dan zijn de overeenkomsten sprekend. Bij 29 van de 37 toestellen met sporen van Pegasus-activiteit gebeurde de infectie héél kort nadat het telefoonnummer geselecteerd was, in sommige gevallen zelfs minder dan één minuut later.

Reageren op dit artikel kan u door een e-mail te sturen naar lezersbrieven@knack.be. Uw reactie wordt dan mogelijk meegenomen in het volgende nummer.

Partner Content