Spyware / Pegasus / NSO group —nieuwslijn—

Flight of the Predator. Private jet reveals business spyware web of Israeli tycoon from EU to Africa – Lighthouse Reports
Volgens de Israëlische krant Haaretz en onderzoeksconsortium Lighthouse Reports heeft de Griekse regering een exportvergunning verleend voor de levering van Predator spyware aan Soedan. De spyware werd in mei 2022 geleverd door Intellexa, een bedrijf dat eigendom is van een oud-lid van de Israëlische inlichtingendiensten. De levering zou gebeurd zijn met een Cessna-privéjet die opsteeg vanop Cyprus. In Soedan werd de lading in ontvangst genomen door medewerkers van de Rapid Support Forces die zwaar strijd leveren met het ­regeringsleger.

Anette Hoffman van het Clingendael Instituut: “De Rapid Support Forces uitrusten met gesofisticeerde spionagetechnologie zal niet alleen de brutale repressie aanwakkeren. Het zal ook de machtsbalans doen kantelen in het voordeel van een genadeloze ex-militie en Russische bondgenoot en het zal Soedan een stap dichter brengen bij een open confrontatie met het Soedanese ­leger.”

Europese privacytoezichthouder wil verbod op spyware-inzet tegen journalisten – tweakers
De EDPS wil dat er strengere regels komen om journalisten te beschermen tegen spyware en pleit voor een algemeen verbod op het maken en inzetten van spyware zoals Pegasus in de hele Europese Unie.
De EDPS reageert daarmee op de Europese Media Freedom Act, een wet die de persvrijheid in Europa moet beschermen. Volgens de EDPS gaat het wetsvoorstel op het gebied van spyware niet ver genoeg. Zo zouden er niet genoeg waarborgen zijn om te voorkomen dat spyware tegen journalisten wordt gebruikt. Er wordt bijvoorbeeld niet goed gespecificeerd wat ‘uitzonderlijke situaties’ precies zijn. Ook hekelt de EDPS dat er over ‘een dergelijk complexe en gevoelige zaak zoals bronbescherming in de media’ slechts kort wordt stilgestaan in de impact assessment.

“De enig realistische en effectieve manier om de fundamentele rechten in de Unie, inclusief persvrijheid, te beschermen tegen geavanceerde spyware is een algemeen verbod op de ontwikkeling en uitrol.”

EDPS Opinion on the European Media Freedom Act

EU-rapport: Europa biedt uitstekende omstandigheden voor spyware-industrie – tweakers
Sophie in ’t Veld (D66), rapporteur voor het afgeronde conceptrapport over Pegasus-spyware, lichtte tijdens een persconferentie toe dat Europa “uitstekende omstandigheden” biedt voor de spyware-industrie. Voorbeelden daarvan zijn een zwakke handhaving van de regels en een gebrek aan toezicht. Zodoende heeft Europa de export van spyware naar Libië, Bangladesh, Egypte en andere landen gefaciliteerd. Hier is het gebruikt tegen voorvechters van mensenrechten.
Verder noteert het rapport dat spyware in Hongarije en Polen een integraal onderdeel van een systeem is, ontworpen om burgers, oppositieleden, critici van de regering, journalisten en klokkenluiders te controleren en onderdrukken. Volgens In ’t Veld gaat het om een bewust en methodisch opgezet systeem.
In veel andere lidstaten is er minder of geen sprake van een bewust autoritair systeem, maar dat neemt niet weg dat alle landen de beschikking hebben over spyware en veel landen bijdragen aan deze industrie. Cyprus en Bulgarije worden gezien als hubs bij uitstek voor de export van spyware, in Luxemburg regelen spywareverkopers hun financiële zaken en Ierland is interessant wegens gunstige fiscale regels. Daarnaast zijn Italië, Frankrijk en Oostenrijk de thuislanden van verschillende makers en verkopers van spyware en hebben Nederland, België en Duitsland volgens In ’t Veld min of meer aangegeven dat hun politie spyware gebruikt.

Press conference by Sophie IN ‘T VELD, rapporteur on the PEGA Draft Report
2022-11-08 • 11:00 – 11:40

Pegasus and surveillance spyware (pdf)
In-depth analysis for the PEGASUS committee, PE 732.268 – May 2022

Revealing Europe’s NSO. Uncovering major surveillance outfit operating from inside the EU – Lighthouse Reports
Lighthouse Reports onthult dat Tykelab, een weinig bekend Italiaans bedrijf, tientallen telefoonnetwerken heeft gebruikt, vaak op afgelegen eilanden in de Stille Oceaan, om tienduizenden geheime “traceerpakketten” over de hele wereld te versturen, gericht op burgers uit Libië, Nicaragua, Maleisië, Costa Rica, Irak, Mali, Griekenland en Portugal – en ook in Italië zelf.
Tegelijkertijd heeft het moederbedrijf van Tykelab, RCS Lab, een krachtig telefoonhackingprogramma ontwikkeld, Hermit, dat, eenmaal geïnstalleerd op het toestel van een slachtoffer, kan worden gebruikt om op afstand de microfoon van de telefoon te activeren, gesprekken op te nemen en toegang te krijgen tot berichten, gesprekslogboeken, contacten, foto’s en andere gevoelige gegevens.

NSO Group kondigt een grondige reorganisatie aan. Onder meer de huidige CEO treedt af en een honderdtal medewerkers wordt ontslagen. Daarmee wil de spyware-leverancier naar eigen zeggen de operaties stroomlijnen om verder te kunnen groeien.
Reuters : Israeli spyware company NSO Group CEO steps down

De telefoons van minstens dertig activisten in Thailand zijn besmet met de Pegasus-spyware. Het gaat om activisten, academici, advocaten en NGO-medewerkers. De infecties deden zich voor van oktober 2020 tot november 2021 en vallen samen met een periode van wijdverbreide protesten voor een terugkeer naar de democratie in het land. Voor het besmetten van de telefoons werd gebruik gemaakt van twee zero-click exploits, Kismet en ForcedEntry. Hierdoor was er geen enkele interactie van de slachtoffers vereist. De aanvallers hoefden alleen het telefoonnummer of Apple ID-gebruikersnaam van het slachtoffer te kennen om de telefoon te infecteren en de persoon in kwestie te bespioneren, zonder dat die dit doorhad.

Pegasus used by at least 5 EU countries, NSO Group tells lawmakers – Politico
The Israeli spyware firm NSO Group told European lawmakers at least five EU countries have used its software and the firm has terminated at least one contract with an EU member country following abuse of its Pegasus surveillance software.

Pegasus makers face EU grilling. Here’s what to ask them – Politico
Who are your clients? Which EU capitals facilitate your sales? Do NSO Group employees get access to the data? Have you purchased software vulnerabilities?

“Reigning in spyware is a key to preserving democracy,” said Human Rights Watch chief Ken Roth, adding Pegasus is just the “tip of the iceberg.” Without regulation, “we will be plagued by one Pegasus after the other.” Amnesty International Secretary-General Agnès Callamard said even governments that have been targeted by spyware, such as France, have been reluctant to do anything about it. “Initially there was some sort of response, but then they became almost sort of embarrassed” that they could be hacked, Callamard said.

Espagne. Le scandale du logiciel espion Pegasus illustre le risque que les services de renseignement agissent en toute impunité – Amnesty International France

Pegasus’ complex structure hinders EU spyware probe – Politico
Documents show how NSO Group set up a sprawling corporate structure with obscure-sounding subsidiaries in multiple countries in Europe and beyond. It is hurting lawmakers’ ability to get to the bottom of the spyware scandal.

Paz Esteban, hoofd van de Spaanse spionagedienst CNI,  is ontslagen nadat bleek dat de CNI niet had kunnen verhinderen dat de halve Spaanse regering maandenlang werd afgeluisterd door (wellicht) Marokko. Tijdens een hoorzitting in het Spaanse parlement had Esteban vorige week ook moeten toegeven dat de Spaanse inlichtingendienst effectief zo’n twintig Catalaanse politici afluisterde, onder wie ook de Catalaanse president Pere Aragonès. Het CNI gebruikte daarvoor dezelfde Pegasus spyware als haar Marokkaanse evenknie.

De mobiele telefoon van de Spaanse premier Pedro Sánchez en van minister van Defensie Margarita Robles werd tussen mei en juni 2021 gehackt met behulp van de spyware Pegasus. Er werden daarbij ook gegevens gestolen van het apparaat.

Belgische politie gebruikt Pegasus-spyware
De Belgische federale politie gebruikt de krachtige spionagesoftware Pegasus in sommige gerechtelijke onderzoeken. In een reactie aan De Standaard zegt de federale politie ‘niet te communiceren over de technische en/of tactische middelen die worden ingezet in het kader van onze onderzoeken en missies’. (…) In veiligheidskringen wordt officieus bevestigd dat België Pegasus gebruikt in de strijd tegen zware criminaliteit, zoals drugshandel, kindermisbruik en terrorisme. Volgens De Standaard gaat het om complexe dossiers, die in handen zijn van gespecialiseerde eenheden en waarbij bepaalde verdachten nauwgezet in de gaten worden gehouden. Om te vermijden dat zij hun communicatiegewoonten aanpassen, waardoor operaties in het gedrang zouden komen, geeft men geen officieel commentaar over de inzet van Pegasus. Er wordt ook op gewezen dat middelen zoals Pegasus pas worden ingezet als andere methodes niet meer werken. ‘Wij werken binnen een duidelijk wettelijk kader’, zegt de federale politie nog in haar reactie. ‘Data-interceptie (metadata of afluisteren) gebeurt door de politie volgens een strikt wettelijk kader, in een welbepaald strafrechtelijk onderzoek naar welbepaalde strafrechtelijke feiten, en steeds na goedkeuring door en onder controle van een onderzoeksrechter.’

Tussen 2017 en 2020 zijn de telefoons van 65 Catalanen geïnfecteerd met spyware en vervolgens afgeluisterd . In 63 gevallen gebeurde dat met Pegasus, in vier gevallen met Candiru, in twee gevallen werden beiden gebruikt. Onder de slachtoffers zitten juristen, leden van burgerorganisaties, Europarlementsleden en Catalaanse ex-ministers, maar in sommige gevallen ook familieleden of mensen dicht bij hen. Citizen Lab, dat het afluisterschandaal blootlegde, zegt formeel dat er geen rechtstreeks bewijs is rond wie achter de hacking zit. Maar het zegt wel dat er genoeg onrechtstreeks bewijs is dat de Spaanse overheid achter de hacking zou zitten.
Tientallen Catalaanse politici afgeluisterd met Pegasus spyware

Bij het onderzoek naar de Pegasus spyware op de iPhones van verschillende Catalanen, heeft Citizen Lab verschillende zero-click iMessage-exploits gevonden. Deze exploits maken gebruik van kwetsbaarheden in iMessage waarbij er geen enkele interactie van het slachtoffer is vereist. Een aanvaller hoeft in dit geval alleen het telefoonnummer of Apple ID-gebruikersnaam van het slachtoffer te kennen om de iPhone met spyware te infecteren. Eén van de exploits waarvan gebruik werd gemaakt was niet eerder waargenomen en wordt door de onderzoekers Homage genoemd. Deze exploit zou eind 2019 zijn ingezet tegen iPhones met iOS 13.1.3 en ouder. Er zijn geen aanvallen tegen nieuwere iOS-versies waargenomen, waardoor de onderliggende kwetsbaarheid mogelijk in iOS 13.2 is verholpen, aldus de onderzoekers.
Nieuwe zero-click iMessage-exploit gebruikt bij aanval met Pegasus-spyware

De telefoons van meerdere Britse regeringsmedewerkers zijn in 2020 en 2021 besmet geraakt met de Pegasus-spyware. Het gaat om medewerkers van het Prime Minister’s Office en het ministerie van Buitenlandse Zaken van het Gemenebest. Volgens Citizen Lab zijn de aanvallen uitgevoerd vanuit de Verenigde Arabische Emiraten, India, Cyprus en Jordanië.
UK Government Officials Infected with Pegasus

How Democracies Spy on Their Citizens (The New Yorker)
(…) “Almost all governments in Europe are using our tools,” Shalev Hulio (NSO Group’s C.E.O.) told me. A former senior Israeli intelligence official added, “NSO has a monopoly in Europe.” German, Polish, and Hungarian authorities have admitted to using Pegasus. Belgian law enforcement uses it, too, though it won’t admit it. (A spokesperson for the Belgian federal police said that it respects “a legal framework as to the use of intrusive methods in private life.”)

Stop Pegasus: Costa Rica is the first country to call for a moratorium on spyware technology – Access Now

Vijf medewerkers van de Europese Commissie zouden tussen februari en september 2021 het doelwit zijn geweest van staatshackers. Die zouden met Israëlische spyware geprobeerd hebben om op hun iPhones binnen te breken. Daaronder ook die van Didier Reynders (MR), die sinds 2019 Europees Commissaris voor Justitie is. De vier andere EU-ambtenaren worden niet bij naam genoemd. Of de aanvallen ook gelukt zijn, is niet bekend. Ook is niet duidelijk wie er achter de aanval zit. De aanvallers zouden de tool ForcedEntry hebben gebruikt, waarmee iPhones van op afstand kunnen worden overgenomen. ForcedEntry wordt gemaakt door NSO Group, al is er een gelijkaardige tool op de markt van het eveneens Israëlische QuaDream.
Senior EU officials were targeted with Israeli spyware

Victim’s iPhone hacked by Pegasus spyware weeks after Apple sued NSO
New evidence has revealed that iPhones belonging to four Jordanian human rights defenders, lawyers and journalists were hacked by government clients of NSO – which appear to be Jordanian government agencies – from August 2019 to December 2021. This happened weeks after Apple sued the Israeli company in a US court and called for it to be banned from “harming individuals” using Apple products.

Al sedert 2019 probeert Oekraïne de geavanceerde spyware van het Israëlische bedrijf NSO, Pegasus, te bemachtigen, maar zonder resultaat. Het Israëlische ministerie van defensie, dat de wereldwijde export van Israëlische spyware reguleert, heeft de verkoop meermaals geblokkeerd. De Israëlische autoriteiten vrezen dat de verkoop de verhoudingen met Rusland zou schaden.
Het Israëlische ministerie van defensie heeft in 2019 ook de toegang die Estland had tot Pegasus – het land had de spyware al aangeschaft – beperkt zodat het Navo-lid de technologie niet kon inzetten tegen Russische telefoonnummers.
Israel blocked Ukraine from buying Pegasus spyware, fearing Russia’s anger (the Guardian)

EDPS roept op tot een algemeen verbod van Pegasus in de EU
Download het rapport “EDPS Preliminary Remarks on Modern Spyware“

De Israëlische politie maakt massaal gebruik van Pegasus om bekendheden, journalisten en leden van oud-premier Benjamin Netanyahu’s entourage te bespioneren. Het gaat onder meer om Avner Netanyahu, media-adviseurs, toplui van grote bedrijven, burgemeesters, activisten voor de rechten van mensen met een handicap of van Israëliërs van Ethiopische origine. Vorige week hadden Israëlische media al gemeld dat de politie ervan verdacht wordt de telefoon van een sleutelgetuige in het proces tegen Netanyahu afgeluisterd te hebben. Na eerdere onthullingen moest de politie ook al toegeven dat ze zonder mandaat spionagesoftware gebruikte, zonder echter Pegasus bij naam te noemen. (bron)

Spywaremaker NSO wilde in 2017 het Amerikaanse mobiel beveiligingsbedrijf Mobileum “zakken vol geld” betalen in ruil voor toegang tot het SS7-protocol. Dat is een protocol dat operatoren helpt met het afhandelen van gesprekken en diensten wanneer hun gebruikers op andere plaatsen (zoals het buitenland) zitten. Toegang tot SS7 toegang zou het voor NSO een stuk makkelijker maken om mogelijke slachtoffers van haar Pegasus spyware te localiseren en af te luisteren en dat wereldwijd. (bron)

Volgens de Israëlische krant Haaretz voert NSO, het bedrijf achter de Pegasus spyware,  gesprekken met verschillende Amerikaanse investeringsbedrijven voor een overname. Eén daarvan, met Integrity Partners, zou heel concreet zijn. Integrity Partners zou een dochterbedrijf Integrity Labs oprichten dat NSO zou aansturen, samen met een investering van 300 miljoen dollar in het bedrijf. Tegelijk worden er inspanningen geleverd om het bedrijf weer acceptabel te maken, tenminste in de VS, waar het intussen op een zwarte lijst staat. Nog volgens Haaretz zou NSO met haar nieuwe eigenaar alleen nog werken voor de zogenaamde Five Eyes, de samenwerking van de inlichtingendiensten van de VS, het Verenigd Koninkrijk, Canada, Nieuw-Zeeland en Australië. (bron)

De smartphone van de Poolse senator Krzysztof Brejza werd tijdens de periode van de regionale verkiezingen 2019 tot 33 keer gehackt met behulp van Pegasus. Brejza is politicus van de grootste oppositiepartij van Polen, Burgerplatform. Ook een openbare aanklager en een advocaat, die zich eerder kritisch uitlieten over de Poolse overheid, zouden met behulp van Pegasus bespioneerd zijn. (bron)

Minstens negen werknemers van het Amerikaanse ministerie van Buitenlandse Zaken werden de afgelopen maanden gehackt met behulp van Pegasus, Het gaat volgens bronnen van Reuters om mensen die namens het US State Department (Buitenlandse Zaken) in Oeganda werkten, of van daarbuiten focusten op het land.

Apple stapt naar de rechtbank tegen NSO Group, het Israëlische bedrijf dat de omstreden spionagesoftware Pegasus heeft ontwikkeld. Apple vraagt de rechtbank om NSO Group te verbieden nog toestellen of software van Apple te gebruiken “om verder misbruik en schade voor zijn gebruikers te voorkomen”. In de klacht die het bedrijf indient staat onder meer te lezen dat het Israëlische bedrijf meer dan honderd Apple ID’s aanmaakte voor haar praktijken.

De mobiele telefoons van zes Palestijnse mensenrechtenactivisten zijn gehackt met Pegasus. Een van de gehackte activisten reageert dat hij ‘elk gevoel van veiligheid’ heeft verloren sinds hij ontdekte dat zijn telefoon, die hij dag en nacht bij zich draagt, al vanaf februari geïnfecteerd is met Pegasus. Het is niet alleen een inbreuk op zijn persoonlijke leven, maar ook op het werk dat hij doet. Zo zijn privé-gesprekken met buitenlandse diplomaten mogelijk ook afgeluisterd. Palestijnse ngo’s roepen de internationale gemeenschap op tot een moratorium op de verkoop van Pegasus, totdat de Verenigde Naties een onderzoek hebben uitgevoerd naar hoe breed de spyware wordt ingezet.

De telefoons van zeker vijf Franse ministers en een diplomaat verbonden aan het Elysée zijn in 2019 en 2020 aangevallen met Pegasus-software. Bij de gehackten was onder meer Jean-Michel Blanquer, minister van Onderwijs.

“Het is heel akelig dat een Belgische burger in eigen land zo bespioneerd wordt”
De militaire inlichtingendienst ADIV heeft ontdekt dat spionagesoftware geïnstalleerd werd op de smartphone van gewezen journalist Peter Verlinden en diens echtgenote Marie Bamutese. Volgens ADIV is die spyware “erg waarschijnlijk geïnstalleerd door Rwanda“. Verlinden verklaart niet verrast te zijn. Hij staat al langer erg kritisch tegenover het regime in Rwanda. Zelf is hij niet bang, maar wel voor de contacten van hem en zijn vrouw, want de namen en de verblijfplaatsen van die mensen konden getraceerd worden via Pegasus. Hij heeft de indruk dat de veiligheidsdiensten hier veel informatie hebben over de spionage met Pegasus, maar dat de politiek er weinig mee doet. “Die heeft veel te lang gezwegen en alles laten passeren”. Minister van Buitenlandse Zaken Sophie Wilmès (MR) heeft nu wel gevraagd dat “er contact wordt opgenomen met de Rwandezen om de zaak uit te klaren”. De Vlaamse Vereniging van Journalisten (VVJ) zegt ontzet te zijn dat de software door autoritaire regimes wordt ingezet om journalisten, activisten en oppositiepolitici te bespioneren en dat die nu ook tegen een Belgische journalist gebruikt is. De VVJ dringt er bij de Belgische overheid om aan om de cyberonveiligheid van journalisten ernstiger te nemen dan nu het geval is. (VRT NWS)

Apple komt met een dringende software-update die een kritieke kwetsbaarheid in het besturingssysteem iOS moet wegwerken. De spyware Pegasus maakt gebruik van een lek in de beveiliging van iMessage om onder meer de camera en microfoon van een gebruiker in te schakelen, berichten, mails en gesprekken op te nemen en zelfs berichten via versleutelde berichtenapps terug te sturen naar klanten van NSO. In de volgende iOS 15 software-update worden spywarebarrières toegevoegd.

Cyber­security-expert Bart Preneel in De Standaard: ‘Waarom neemt Belgische regering geen tegen­maatregelen tegen Rwandese hackers?’ (pdf)

Kenneth Lasoen, docent inlichtingen- en veiligheidsstudies aan de Universiteit Antwerpen, is niet verrast door de omvang van het schandaal. “Als je kijkt naar de capaciteit van die spyware van NSO Group en hoe gemakkelijk eenieders smartphone kan veranderen in een livemicrofoon 24 uur op 24 uur, dan is dit geen verrassing.”
Lasoen legt uit dat je telefoon wordt overgenomen met de spyware. “Het programma is bijvoorbeeld gebruikt om de telefoon van de Franse president Macron te hacken. Die gebruikt niet zomaar een telefoon. Die heeft een beveiligd toestel. Dat is een heel speciaal merk. Dat zijn heel dure telefoons van Intact Phone. Eigenlijk blijkt dat de spyware er al opstond toen het doosje werd opengemaakt. Hoe dat kan, dat is een goede vraag. Dat toont de grote macht aan van diegene die die spyware op dat toestel wou installeren.”
Andere mensen zijn het slachtoffer geworden van wat in de cyberveiligheid een Trojaans paard wordt genoemd. “Dat is ergens een of andere link die je aanklikt, totaal onschuldig. Zonder dat je het weet, wordt op een of andere manier op de achtergrond van je besturingssysteem dat programma geïnstalleerd. Het gaat over een app die met moeite twee kilobyte in beslag neemt. Dat is heel weinig en heel moeilijk te traceren.”
(bron: VRT NWS)

Volgens de Franse autoriteiten is er bewijs dat met behulp van Pegasus een poging is gedaan binnen te dringen in een telefoon van een ex-minister en naaste medewerker van Macron, François de Rugy. Die heeft dinsdag Marokko om uitleg gevraagd omdat de poging om zijn telefoon te hacken, vanuit dat land zou zijn ondernomen.

Emmanuel Macron, Charles Michel en Louis Michel staan op een lijst met meer dan 50.000 telefoonnummers van mensen die mogelijk het doelwit waren van cyberspionage. Hun gsm-nummers werden twee jaar geleden geselecteerd door een klant (of klanten) van het Israëlische spionagesoftwarebedrijf NSO Group. Charles Michel is vandaag voorzitter van de Europese Raad, maar was in 2019 nog eerste minister van België. Zijn vader Louis Michel was toen Europarlementslid. Dat de nummers op de gelekte lijst staan, betekent niet noodzakelijk dat hun smartphones ook effectief geïnfecteerd zijn met de spionagesoftware. Onderzoek door Knack, Le Soir en Le Monde wijst de selectie van de nummers van Macron en vader en zoon Michel “met een hoge graad van waarschijnlijkheid” toe aan een Marokkaanse overheidsdienst. Marokko gebruikt de Pegasus-spyware naar verluidt al meerdere jaren.

Amazon sluit spionagesoftwarebedrijf NSO af van clouddiensten.

Edward Snowden calls for spyware trade ban amid Pegasus revelations (the Guardian)
Governments must impose a global moratorium on the international spyware trade or face a world in which no mobile phone is safe from state-sponsored hackers. Snowden described for-profit malware developers as “an industry that should not exist”. (…) “Commercial spyware made it cost-efficient for targeted surveillance against vastly more people. If they can do the same thing from a distance, with little cost and no risk, they begin to do it all the time, against everyone who’s even marginally of interest. If you don’t do anything to stop the sale of this technology, it’s not just going to be 50,000 targets. It’s going to be 50 million targets, and it’s going to happen much more quickly than any of us expect.” (…) He said the only viable solution to the threat of commercial malware was an international moratorium on its sale. “What the Pegasus project reveals is the NSO Group is really representative of a new malware market, where this is a for-profit business,” he said. “The only reason NSO is doing this is not to save the world, it’s to make money.”