Nikolas Vanhecke schetste vorig weekend in De Standaard een beeld van de Israëlische NSO Group, een van de topspelers uit de surveillance-industrie. Aanleiding was het recent ontdekte afluisterlek in WhatsApp. De berichtendienst merkte begin mei dat er een kwetsbaarheid in de software zat waarmee hackers afluistersoftware konden installeren op telefoons en andere toestellen. De spyware gebruikt WhatsApps ‘voice calling’ functie om het toestel van het doelwit te bellen. Daarbij wordt de software geïnstalleerd, ook als het doelwit niet opneemt. Het gemiste gesprek zou ook vaak verdwijnen uit de gespreksgeschiedenis. WhatsApp heeft het zelf over een doelgerichte aanval van een “geavanceerde cyberorganisatie” tegenover een “klein aantal” gebruikers. Onder meer een Britse advocaat, die betrokken is bij een rechtszaak tegen de NSO Group, zou via het beveiligingslek zijn aangevallen.
Volgens de Financial Times (FT) werd de spionagesoftware ontwikkeld door de NSO Group, een Israëlisch bedrijf dat spyware verkoopt aan overheden. De producten van NSO Group werden onder meer gevonden op de iPhone van een mensenrechtenactivist die ondertussen in de gevangenis zit in de Verenigde Arabische Emiraten. De software is ook al opgedoken op telefoons van journalisten, dissidenten en meer.
In die context is de omschrijving van een “lek” op zijn minst verwarrend. Het gaat hier veeleer om een exploit (de manier waarop een lek wordt uitgebuit) en de ontdekking betreft eigenlijk vooral de manier waarop spyware door overheden doelbewust wordt ingezet om – zoals het woord het zegt – mensenrechtenactivisten, politici en journalisten te bespioneren. De spyware waar het hier over gaat, werd verkocht door NSO Group, die het achterpoortje ofwel zelf heeft ontdekt ofwel de informatie van een hacker heeft gekocht. In beide gevallen is het duidelijk dat de informatie bewust niet werd doorgegeven aan Facebook, maar integendeel door NSO werd gebruikt om zijn spyware op smartphones te smokkelen. Wat je op zijn zachtst gezegd onverantwoord kan noemen. Maar wat eigenlijk best omschreven kan worden als crimineel gedrag – zeker als je weet dat NSO haar spyware ook verkoopt aan een heleboel autoritaire regimes.
Handelaars in bugs en malware
Tot woensdag was de Israëlische NSO Group een naam die voornamelijk onder veiligheidsdiensten en privacy-experts een belletje deed rinkelen. In alle stilte werkt het bedrijf sinds 2010 aan, dixit zijn website, ’technologie die inlichtingen- en veiligheidsdiensten in staat stelt om terrorisme en misdaad op te sporen en te voorkomen’. Maar nu is een vijfde van de wereldbevolking door een Whatsapp-update geconfronteerd met de gevolgen van het werk van de NSO Group. Concreet had het bedrijf een lek gevonden in Whatsapp dat toeliet om met één telefoontje, dat zelfs niet eens moest worden beantwoord, bijna volledige toegang te krijgen tot de smartphone van het doelwit door er spionagesoftware op te installeren.
Het bekendste product van NSO Group, dat ongeveer een miljard dollar waard is, heet Pegasus en laat toe om zelfs de microfoon en camera over te nemen. Veiligheidsdiensten over de hele wereld hebben Pegasus aangekocht. Het Canadese CitizenLab, verbonden aan de universiteit van Toronto, brengt de exploten van NSO al langer in kaart en kon doelwitten in 45 landen lokaliseren. Het gaat om een aantal westerse naties zoals Nederland, de VS en Frankrijk. (De federale politie gaf om operationele redenen geen commentaar bij de vraag van De Standaard of Pegasus ook hier wordt gebruikt.) Maar NSO Group leverde ook aan autoritaire regimes in het Midden-Oosten en elders, zoals Libië, Saudi-Arabië, Bahrein en de Verenigde Arabische Emiraten.
Moord op Khashoggi
Gevraagd om een reactie, mailde een woordvoerder van NSO dat het bedrijf alleen in zee gaat met overheden na een ’rigoureuze licentie- en doorlichtingsprocedure’. ‘Inlichtingen- en veiligheidsdiensten bepalen hoe ze de technologie gebruiken. We onderzoeken elke geloofwaardige beschuldiging en indien nodig leggen we hun gebruik weer stil. In geen geval is NSO betrokken bij de selectie van doelwitten.’
Het bedrijf verwijst niet toevallig naar die selectie van doelwitten. Pegasus werd al in verband gebracht met de moord op de journalist Jamal Khashoggi, die kritisch berichtte
over het Saudische regime. Een Saudische dissident met wie Khashoggi in contact stond, zegt dat hun gesprekken werden gemonitord via Pegasus. Ook een groep experten die de verdwijning van 43 Mexicaanse studenten onderzocht, was een doelwit. Tegelijk zegt NSO dat zijn technologie al tienduizenden levens heeft gered en speelde Pegasus een rol in de opsporing van de Mexicaanse drugsbaron El Chapo.
Veiligheidsbeurzen
NSO is verre van de enige ontwikkelaar van dit soort software. Een paar jaar geleden lekten gegevens van het Duitse FinFisher en het Italiaanse HackingTeam. Vandaag zijn, volgens het zakenblad Forbes, ook bedrijven als Vupen, Zerodium of Area in de gaten te houden. Ze ontmoeten hun klanten op veiligheidsbeurzen. Om historische redenen zijn Israëli’s daar zeer actief.
‘Europa heeft geprobeerd om de verkoop van die software te reguleren, maar die poging is gestrand’, zegt Mathias Vermeulen, privacy-onderzoeker aan de VUB. ‘Dat heeft te maken met de focus op de strijd tegen terreur maar ook met de vaststelling dat landen zoals Saudi-Arabië belangrijke geopolitieke partners zijn. Ook vanuit de techindustrie was er druk om dit niet te fel te reguleren. De markt blijft heel ondoorzichtig, terwijl het gaat om wapens die makkelijker zijn te transporteren dan tanks of geweren.’
Handelaars in bugs en malware – Nikolas Vanhecke in De Standaard, 16 mei 2019
Meer lezen