Spyware / Pegasus / NSO group —nieuwslijn—

Spyware van het Israëlische surveillancebedrijf NSO Group werd wereldwijd gebruikt om op grote schaal mensenrechtenschendingen mogelijk te maken. Dit blijkt na een grootschalig onderzoek naar 50.000 gelekte telefoonnummers van potentiële surveillancedoelen. Het gaat onder meer om staatshoofden, activisten, journalisten en hun families.

Volg hieronder de meest recente nieuwsberichten en updates rond dit thema.

Achtergrond

Achtergrond

Snelle links

Nieuwslijn

NSO Group kondigt een grondige reorganisatie aan. Onder meer de huidige CEO treedt af en een honderdtal medewerkers wordt ontslagen. Daarmee wil de spyware-leverancier naar eigen zeggen de operaties stroomlijnen om verder te kunnen groeien.
Reuters : Israeli spyware company NSO Group CEO steps down

De telefoons van minstens dertig activisten in Thailand zijn besmet met de Pegasus-spyware. Het gaat om activisten, academici, advocaten en NGO-medewerkers. De infecties deden zich voor van oktober 2020 tot november 2021 en vallen samen met een periode van wijdverbreide protesten voor een terugkeer naar de democratie in het land. Voor het besmetten van de telefoons werd gebruik gemaakt van twee zero-click exploits, Kismet en ForcedEntry. Hierdoor was er geen enkele interactie van de slachtoffers vereist. De aanvallers hoefden alleen het telefoonnummer of Apple ID-gebruikersnaam van het slachtoffer te kennen om de telefoon te infecteren en de persoon in kwestie te bespioneren, zonder dat die dit doorhad.

Pegasus used by at least 5 EU countries, NSO Group tells lawmakers – Politico
The Israeli spyware firm NSO Group told European lawmakers at least five EU countries have used its software and the firm has terminated at least one contract with an EU member country following abuse of its Pegasus surveillance software.

Pegasus makers face EU grilling. Here’s what to ask them – Politico
Who are your clients? Which EU capitals facilitate your sales? Do NSO Group employees get access to the data? Have you purchased software vulnerabilities?

“Reigning in spyware is a key to preserving democracy,” said Human Rights Watch chief Ken Roth, adding Pegasus is just the “tip of the iceberg.” Without regulation, “we will be plagued by one Pegasus after the other.” Amnesty International Secretary-General Agnès Callamard said even governments that have been targeted by spyware, such as France, have been reluctant to do anything about it. “Initially there was some sort of response, but then they became almost sort of embarrassed” that they could be hacked, Callamard said.

Espagne. Le scandale du logiciel espion Pegasus illustre le risque que les services de renseignement agissent en toute impunité – Amnesty International France

Pegasus’ complex structure hinders EU spyware probe – Politico
Documents show how NSO Group set up a sprawling corporate structure with obscure-sounding subsidiaries in multiple countries in Europe and beyond. It is hurting lawmakers’ ability to get to the bottom of the spyware scandal.

Paz Esteban, hoofd van de Spaanse spionagedienst CNI,  is ontslagen nadat bleek dat de CNI niet had kunnen verhinderen dat de halve Spaanse regering maandenlang werd afgeluisterd door (wellicht) Marokko. Tijdens een hoorzitting in het Spaanse parlement had Esteban vorige week ook moeten toegeven dat de Spaanse inlichtingendienst effectief zo’n twintig Catalaanse politici afluisterde, onder wie ook de Catalaanse president Pere Aragonès. Het CNI gebruikte daarvoor dezelfde Pegasus spyware als haar Marokkaanse evenknie.

De mobiele telefoon van de Spaanse premier Pedro Sánchez en van minister van Defensie Margarita Robles werd tussen mei en juni 2021 gehackt met behulp van de spyware Pegasus. Er werden daarbij ook gegevens gestolen van het apparaat.

Belgische politie gebruikt Pegasus-spyware
De Belgische federale politie gebruikt de krachtige spionagesoftware Pegasus in sommige gerechtelijke onderzoeken. In een reactie aan De Standaard zegt de federale politie ‘niet te communiceren over de technische en/of tactische middelen die worden ingezet in het kader van onze onderzoeken en missies’. (…) In veiligheidskringen wordt officieus bevestigd dat België Pegasus gebruikt in de strijd tegen zware criminaliteit, zoals drugshandel, kindermisbruik en terrorisme. Volgens De Standaard gaat het om complexe dossiers, die in handen zijn van gespecialiseerde eenheden en waarbij bepaalde verdachten nauwgezet in de gaten worden gehouden. Om te vermijden dat zij hun communicatiegewoonten aanpassen, waardoor operaties in het gedrang zouden komen, geeft men geen officieel commentaar over de inzet van Pegasus. Er wordt ook op gewezen dat middelen zoals Pegasus pas worden ingezet als andere methodes niet meer werken. ‘Wij werken binnen een duidelijk wettelijk kader’, zegt de federale politie nog in haar reactie. ‘Data-interceptie (metadata of afluisteren) gebeurt door de politie volgens een strikt wettelijk kader, in een welbepaald strafrechtelijk onderzoek naar welbepaalde strafrechtelijke feiten, en steeds na goedkeuring door en onder controle van een onderzoeksrechter.’

Tussen 2017 en 2020 zijn de telefoons van 65 Catalanen geïnfecteerd met spyware en vervolgens afgeluisterd . In 63 gevallen gebeurde dat met Pegasus, in vier gevallen met Candiru, in twee gevallen werden beiden gebruikt. Onder de slachtoffers zitten juristen, leden van burgerorganisaties, Europarlementsleden en Catalaanse ex-ministers, maar in sommige gevallen ook familieleden of mensen dicht bij hen. Citizen Lab, dat het afluisterschandaal blootlegde, zegt formeel dat er geen rechtstreeks bewijs is rond wie achter de hacking zit. Maar het zegt wel dat er genoeg onrechtstreeks bewijs is dat de Spaanse overheid achter de hacking zou zitten.
Tientallen Catalaanse politici afgeluisterd met Pegasus spyware

Bij het onderzoek naar de Pegasus spyware op de iPhones van verschillende Catalanen, heeft Citizen Lab verschillende zero-click iMessage-exploits gevonden. Deze exploits maken gebruik van kwetsbaarheden in iMessage waarbij er geen enkele interactie van het slachtoffer is vereist. Een aanvaller hoeft in dit geval alleen het telefoonnummer of Apple ID-gebruikersnaam van het slachtoffer te kennen om de iPhone met spyware te infecteren. Eén van de exploits waarvan gebruik werd gemaakt was niet eerder waargenomen en wordt door de onderzoekers Homage genoemd. Deze exploit zou eind 2019 zijn ingezet tegen iPhones met iOS 13.1.3 en ouder. Er zijn geen aanvallen tegen nieuwere iOS-versies waargenomen, waardoor de onderliggende kwetsbaarheid mogelijk in iOS 13.2 is verholpen, aldus de onderzoekers.
Nieuwe zero-click iMessage-exploit gebruikt bij aanval met Pegasus-spyware

De telefoons van meerdere Britse regeringsmedewerkers zijn in 2020 en 2021 besmet geraakt met de Pegasus-spyware. Het gaat om medewerkers van het Prime Minister’s Office en het ministerie van Buitenlandse Zaken van het Gemenebest. Volgens Citizen Lab zijn de aanvallen uitgevoerd vanuit de Verenigde Arabische Emiraten, India, Cyprus en Jordanië.
UK Government Officials Infected with Pegasus

How Democracies Spy on Their Citizens (The New Yorker)
(…) “Almost all governments in Europe are using our tools,” Shalev Hulio (NSO Group’s C.E.O.) told me. A former senior Israeli intelligence official added, “NSO has a monopoly in Europe.” German, Polish, and Hungarian authorities have admitted to using Pegasus. Belgian law enforcement uses it, too, though it won’t admit it. (A spokesperson for the Belgian federal police said that it respects “a legal framework as to the use of intrusive methods in private life.”)

Stop Pegasus: Costa Rica is the first country to call for a moratorium on spyware technology – Access Now

Vijf medewerkers van de Europese Commissie zouden tussen februari en september 2021 het doelwit zijn geweest van staatshackers. Die zouden met Israëlische spyware geprobeerd hebben om op hun iPhones binnen te breken. Daaronder ook die van Didier Reynders (MR), die sinds 2019 Europees Commissaris voor Justitie is. De vier andere EU-ambtenaren worden niet bij naam genoemd. Of de aanvallen ook gelukt zijn, is niet bekend. Ook is niet duidelijk wie er achter de aanval zit. De aanvallers zouden de tool ForcedEntry hebben gebruikt, waarmee iPhones van op afstand kunnen worden overgenomen. ForcedEntry wordt gemaakt door NSO Group, al is er een gelijkaardige tool op de markt van het eveneens Israëlische QuaDream.
Senior EU officials were targeted with Israeli spyware

Victim’s iPhone hacked by Pegasus spyware weeks after Apple sued NSO
New evidence has revealed that iPhones belonging to four Jordanian human rights defenders, lawyers and journalists were hacked by government clients of NSO – which appear to be Jordanian government agencies – from August 2019 to December 2021. This happened weeks after Apple sued the Israeli company in a US court and called for it to be banned from “harming individuals” using Apple products.

Al sedert 2019 probeert Oekraïne de geavanceerde spyware van het Israëlische bedrijf NSO, Pegasus, te bemachtigen, maar zonder resultaat. Het Israëlische ministerie van defensie, dat de wereldwijde export van Israëlische spyware reguleert, heeft de verkoop meermaals geblokkeerd. De Israëlische autoriteiten vrezen dat de verkoop de verhoudingen met Rusland zou schaden.
Het Israëlische ministerie van defensie heeft in 2019 ook de toegang die Estland had tot Pegasus – het land had de spyware al aangeschaft – beperkt zodat het Navo-lid de technologie niet kon inzetten tegen Russische telefoonnummers.
Israel blocked Ukraine from buying Pegasus spyware, fearing Russia’s anger (the Guardian)

De Israëlische politie maakt massaal gebruik van Pegasus om bekendheden, journalisten en leden van oud-premier Benjamin Netanyahu’s entourage te bespioneren. Het gaat onder meer om Avner Netanyahu, media-adviseurs, toplui van grote bedrijven, burgemeesters, activisten voor de rechten van mensen met een handicap of van Israëliërs van Ethiopische origine. Vorige week hadden Israëlische media al gemeld dat de politie ervan verdacht wordt de telefoon van een sleutelgetuige in het proces tegen Netanyahu afgeluisterd te hebben. Na eerdere onthullingen moest de politie ook al toegeven dat ze zonder mandaat spionagesoftware gebruikte, zonder echter Pegasus bij naam te noemen. (bron)

Spywaremaker NSO wilde in 2017 het Amerikaanse mobiel beveiligingsbedrijf Mobileum “zakken vol geld” betalen in ruil voor toegang tot het SS7-protocol. Dat is een protocol dat operatoren helpt met het afhandelen van gesprekken en diensten wanneer hun gebruikers op andere plaatsen (zoals het buitenland) zitten. Toegang tot SS7 toegang zou het voor NSO een stuk makkelijker maken om mogelijke slachtoffers van haar Pegasus spyware te localiseren en af te luisteren en dat wereldwijd. (bron)

Volgens de Israëlische krant Haaretz voert NSO, het bedrijf achter de Pegasus spyware,  gesprekken met verschillende Amerikaanse investeringsbedrijven voor een overname. Eén daarvan, met Integrity Partners, zou heel concreet zijn. Integrity Partners zou een dochterbedrijf Integrity Labs oprichten dat NSO zou aansturen, samen met een investering van 300 miljoen dollar in het bedrijf. Tegelijk worden er inspanningen geleverd om het bedrijf weer acceptabel te maken, tenminste in de VS, waar het intussen op een zwarte lijst staat. Nog volgens Haaretz zou NSO met haar nieuwe eigenaar alleen nog werken voor de zogenaamde Five Eyes, de samenwerking van de inlichtingendiensten van de VS, het Verenigd Koninkrijk, Canada, Nieuw-Zeeland en Australië. (bron)

De smartphone van de Poolse senator Krzysztof Brejza werd tijdens de periode van de regionale verkiezingen 2019 tot 33 keer gehackt met behulp van Pegasus. Brejza is politicus van de grootste oppositiepartij van Polen, Burgerplatform. Ook een openbare aanklager en een advocaat, die zich eerder kritisch uitlieten over de Poolse overheid, zouden met behulp van Pegasus bespioneerd zijn. (bron)

Minstens negen werknemers van het Amerikaanse ministerie van Buitenlandse Zaken werden de afgelopen maanden gehackt met behulp van Pegasus, Het gaat volgens bronnen van Reuters om mensen die namens het US State Department (Buitenlandse Zaken) in Oeganda werkten, of van daarbuiten focusten op het land.

Apple stapt naar de rechtbank tegen NSO Group, het Israëlische bedrijf dat de omstreden spionagesoftware Pegasus heeft ontwikkeld. Apple vraagt de rechtbank om NSO Group te verbieden nog toestellen of software van Apple te gebruiken “om verder misbruik en schade voor zijn gebruikers te voorkomen”. In de klacht die het bedrijf indient staat onder meer te lezen dat het Israëlische bedrijf meer dan honderd Apple ID’s aanmaakte voor haar praktijken.

De mobiele telefoons van zes Palestijnse mensenrechtenactivisten zijn gehackt met Pegasus. Een van de gehackte activisten reageert dat hij ‘elk gevoel van veiligheid’ heeft verloren sinds hij ontdekte dat zijn telefoon, die hij dag en nacht bij zich draagt, al vanaf februari geïnfecteerd is met Pegasus. Het is niet alleen een inbreuk op zijn persoonlijke leven, maar ook op het werk dat hij doet. Zo zijn privé-gesprekken met buitenlandse diplomaten mogelijk ook afgeluisterd. Palestijnse ngo’s roepen de internationale gemeenschap op tot een moratorium op de verkoop van Pegasus, totdat de Verenigde Naties een onderzoek hebben uitgevoerd naar hoe breed de spyware wordt ingezet.

De telefoons van zeker vijf Franse ministers en een diplomaat verbonden aan het Elysée zijn in 2019 en 2020 aangevallen met Pegasus-software. Bij de gehackten was onder meer Jean-Michel Blanquer, minister van Onderwijs.

“Het is heel akelig dat een Belgische burger in eigen land zo bespioneerd wordt”
De militaire inlichtingendienst ADIV heeft ontdekt dat spionagesoftware geïnstalleerd werd op de smartphone van gewezen journalist Peter Verlinden en diens echtgenote Marie Bamutese. Volgens ADIV is die spyware “erg waarschijnlijk geïnstalleerd door Rwanda“. Verlinden verklaart niet verrast te zijn. Hij staat al langer erg kritisch tegenover het regime in Rwanda. Zelf is hij niet bang, maar wel voor de contacten van hem en zijn vrouw, want de namen en de verblijfplaatsen van die mensen konden getraceerd worden via Pegasus. Hij heeft de indruk dat de veiligheidsdiensten hier veel informatie hebben over de spionage met Pegasus, maar dat de politiek er weinig mee doet. “Die heeft veel te lang gezwegen en alles laten passeren”. Minister van Buitenlandse Zaken Sophie Wilmès (MR) heeft nu wel gevraagd dat “er contact wordt opgenomen met de Rwandezen om de zaak uit te klaren”. De Vlaamse Vereniging van Journalisten (VVJ) zegt ontzet te zijn dat de software door autoritaire regimes wordt ingezet om journalisten, activisten en oppositiepolitici te bespioneren en dat die nu ook tegen een Belgische journalist gebruikt is. De VVJ dringt er bij de Belgische overheid om aan om de cyberonveiligheid van journalisten ernstiger te nemen dan nu het geval is. (VRT NWS)

Apple komt met een dringende software-update die een kritieke kwetsbaarheid in het besturingssysteem iOS moet wegwerken. De spyware Pegasus maakt gebruik van een lek in de beveiliging van iMessage om onder meer de camera en microfoon van een gebruiker in te schakelen, berichten, mails en gesprekken op te nemen en zelfs berichten via versleutelde berichtenapps terug te sturen naar klanten van NSO. In de volgende iOS 15 software-update worden spywarebarrières toegevoegd.

Cyber­security-expert Bart Preneel in De Standaard: ‘Waarom neemt Belgische regering geen tegen­maatregelen tegen Rwandese hackers?’ (pdf)

Kenneth Lasoen, docent inlichtingen- en veiligheidsstudies aan de Universiteit Antwerpen, is niet verrast door de omvang van het schandaal. “Als je kijkt naar de capaciteit van die spyware van NSO Group en hoe gemakkelijk eenieders smartphone kan veranderen in een livemicrofoon 24 uur op 24 uur, dan is dit geen verrassing.”
Lasoen legt uit dat je telefoon wordt overgenomen met de spyware. “Het programma is bijvoorbeeld gebruikt om de telefoon van de Franse president Macron te hacken. Die gebruikt niet zomaar een telefoon. Die heeft een beveiligd toestel. Dat is een heel speciaal merk. Dat zijn heel dure telefoons van Intact Phone. Eigenlijk blijkt dat de spyware er al opstond toen het doosje werd opengemaakt. Hoe dat kan, dat is een goede vraag. Dat toont de grote macht aan van diegene die die spyware op dat toestel wou installeren.”
Andere mensen zijn het slachtoffer geworden van wat in de cyberveiligheid een Trojaans paard wordt genoemd. “Dat is ergens een of andere link die je aanklikt, totaal onschuldig. Zonder dat je het weet, wordt op een of andere manier op de achtergrond van je besturingssysteem dat programma geïnstalleerd. Het gaat over een app die met moeite twee kilobyte in beslag neemt. Dat is heel weinig en heel moeilijk te traceren.”
(bron: VRT NWS)

Volgens de Franse autoriteiten is er bewijs dat met behulp van Pegasus een poging is gedaan binnen te dringen in een telefoon van een ex-minister en naaste medewerker van Macron, François de Rugy. Die heeft dinsdag Marokko om uitleg gevraagd omdat de poging om zijn telefoon te hacken, vanuit dat land zou zijn ondernomen.

Check zelf of de Pegasus-spyware op je telefoon staat
De tool die Amnesty gebruikt om smartphones te analyseren op sporen van spyware, kan je nu zelf downloaden en gebruiken. Amnesty legt in zijn rapport in detail uit hoe het zelf te werk is gegaan, en wie dat wil, kan de Mobile Verification Kit of MVT downloaden op GithubTechCrunch kon de tool al even testen.

Emmanuel Macron, Charles Michel en Louis Michel staan op een lijst met meer dan 50.000 telefoonnummers van mensen die mogelijk het doelwit waren van cyberspionage. Hun gsm-nummers werden twee jaar geleden geselecteerd door een klant (of klanten) van het Israëlische spionagesoftwarebedrijf NSO Group. Charles Michel is vandaag voorzitter van de Europese Raad, maar was in 2019 nog eerste minister van België. Zijn vader Louis Michel was toen Europarlementslid. Dat de nummers op de gelekte lijst staan, betekent niet noodzakelijk dat hun smartphones ook effectief geïnfecteerd zijn met de spionagesoftware. Onderzoek door Knack, Le Soir en Le Monde wijst de selectie van de nummers van Macron en vader en zoon Michel “met een hoge graad van waarschijnlijkheid” toe aan een Marokkaanse overheidsdienst. Marokko gebruikt de Pegasus-spyware naar verluidt al meerdere jaren.

Edward Snowden calls for spyware trade ban amid Pegasus revelations (the Guardian)
Governments must impose a global moratorium on the international spyware trade or face a world in which no mobile phone is safe from state-sponsored hackers. Snowden described for-profit malware developers as “an industry that should not exist”. (…) “Commercial spyware made it cost-efficient for targeted surveillance against vastly more people. If they can do the same thing from a distance, with little cost and no risk, they begin to do it all the time, against everyone who’s even marginally of interest. If you don’t do anything to stop the sale of this technology, it’s not just going to be 50,000 targets. It’s going to be 50 million targets, and it’s going to happen much more quickly than any of us expect.” (…) He said the only viable solution to the threat of commercial malware was an international moratorium on its sale. “What the Pegasus project reveals is the NSO Group is really representative of a new malware market, where this is a for-profit business,” he said. “The only reason NSO is doing this is not to save the world, it’s to make money.”

Journalistencollectief Forbidden Stories maakt haar Pegasus Project bekend.

Pegasus Project? Na maanden onderzoek en analyse blijkt dat geavanceerde spyware van het Israëlische bedrijf NSO Group gebruikt is om journalisten, politici, mensenrechtenactivisten en hun families te bespioneren in tal van landen. NSO Group lag al langer onder vuur omdat ze haar spyware, officieel bedoeld om criminelen en terroristen op te sporen, zonder scrupules ook verkocht aan autoritaire regimes en dictaturen. Die zetten de spyware in tegen journalisten, mensenrechtenactivisten en andere critici.

Pegasus? De spyware kan een mobiele telefoon infecteren zonder dat de gebruiker op een malafide link hoeft te klikken, een zogenaamde zero-click attack. De spionagesoftware verschaft zichzelf toegang tot alle bestanden op het apparaat en kan via de microfoon meeluisteren met wat er in de nabije omgeving gebeurt. Alles wat je op je smartphone doet, kan Pegasus stiekem gadeslaan: wachtwoorden, sms’jes, foto’s, contactenlijsten, oproepen, websitebezoeken, microfoon, camera, Signal, WhatsApp, locatiegegevens enzovoort.

Amnesty International:

“Het Pegasus Project legt bloot hoe de spyware van NSO het favoriete wapen is van repressieve regeringen die journalisten het zwijgen willen opleggen, activisten willen aanvallen en afwijkende meningen willen smoren, waardoor talloze levens in gevaar komen.”

“Deze onthullingen doen alle beweringen van NSO teniet dat dergelijke aanvallen zeldzaam zijn en te wijten zijn aan frauduleus gebruik van hun technologie. Hoewel het bedrijf beweert dat zijn spyware alleen wordt gebruikt voor legitiem onderzoek naar criminele en terroristische zaken, is het duidelijk dat zijn technologie systemisch misbruik mogelijk maakt. Ze schetsen een beeld van legitimiteit, terwijl ze winst halen uit wijdverbreide mensenrechtenschendingen.”

“Hun acties roepen grotere vragen op over het totaal gebrek aan regulering waardoor een soort van Wilde Westen ontstond met grootschalig gebruik van de spyware om activisten en journalisten te schaden. Totdat NSO en ook andere bedrijven die surveillanceapparatuur verkopen kunnen aantonen dat zij in staat zijn de mensenrechten te respecteren, moet er een onmiddellijk moratorium komen op de export, verkoop, overdracht en het gebruik van surveillancetechnologie.”

Spyware NSO Group gebruikt om activisten, journalisten en politieke leiders wereldwijd te volgen (19/07/2021)

Ook voor de onthullingen van het Pegasus Project kwamen de NSO Group en haar Pegasus spyware al meerdere keren in opspraak. Hieronder een paar voorbeelden.

Externe links: NSO Group en Pegasus (via wikipedia)

De iPhones van tientallen journalisten zijn getroffen door Pegasus spyware. De spyware zou op de telefoons binnen geraken via een exploit van de NSO Group, een Israëlisch spionagebedrijf. Het gaat om een gelijkaardige exploit als degene die vorig jaar WhatsApp trof. Volgens Citizenlab zijn er 36 persoonlijke telefoons getroffen, van journalisten bij Al-Jazeera en het Britse Al Araby TV. De aanvallen zouden daarbij komen van meerdere NSO-klanten uit Saudi-Arabië en de Verenigde Arabische Emiraten.

Facebook heeft sinds oktober 2019 een rechtszaak lopen tegen het Israëlische NSO Group. Het bedrijf zou via een tot dan ongekend lek in Whatsapp het mogelijk maken om met malware toestellen te infecteren om zo af te luisteren. Volgens Facebook zijn er daarbij 1.400 mensenrechtenactivisten, journalisten, diplomaten en overheidsfunctionarissen aangevallen. Maar NSO Group komt nu zelf met de bewering dat Facebook eerder, in 2017, interesse had om de technologie van NSO in licentie te nemen en de spyware wou inzetten in de Onavo Protect App, Facebook’s VPN-app die in praktijk vooral gebruikers bespioneerde. De deal is nooit doorgegaan, volgens NSO omdat het bedrijf haar technologie enkel aan overheden verkoopt.

Joint open letter by civil society organizations and independent experts calling on states to implement an immediate moratorium on the sale, transfer and use of surveillance technology (via EDRi)