Pegasus verschaft zichzelf toegang tot alles op je mobiel

Zes vragen over cyberspionage Spionagesoftware van het Israëlische bedrijf NSO wordt mogelijk ingezet door overheden wereldwijd om op afstand te spioneren. Niet alleen criminelen behoren tot de doelwitten, ook politici, zakenlui en journalisten.

De Israëlische NSO Group heeft naar eigen zeggen zestig klanten bij opsporings- en inlichtingendiensten en in de militaire sectoren van veertig landen.
De Israëlische NSO Group heeft naar eigen zeggen zestig klanten bij opsporings- en inlichtingendiensten en in de militaire sectoren van veertig landen. Foto Jack Guez / AFP

Een samenwerkingsverband van zeventien media, waaronder The Guardian, The Washington Post en Le Monde, kreeg een lijst in handen met meer dan vijftigduizend mogelijke doelwitten van overheidsdiensten wereldwijd die gebruikmaken van spionagesoftware Pegasus, van het Israëlische bedrijf NSO. Met die heimelijk op smartphones geïnstalleerde software kunnen de diensten hun doelwitten nauwgezet volgen. Niet alleen criminelen en terreurverdachten, maar ook mensenrechtenactivisten, oppositiefiguren, zakenmensen en journalisten staan op de lijst. Zes vragen.

1 Hoe werkt spioneren op afstand?

Met de spionagesoftware Pegasus van de Israëlische NSO Group kunnen opsporingsdiensten en overheden telefoons van doelwitten op afstand volgen en gevoelige data ontfutselen. Ook de microfoon of camera van de telefoon in kwestie kan ongemerkt worden geactiveerd.

Alle gegevens worden via wifi of mobiele data naar een geanonimiseerde command & control server gestuurd en daar opgeslagen voor analyse. De computers waarmee dit proces wordt uitgevoerd, worden ook door de NSO Group verkocht.

Pegasus (het gevleugelde paard uit de Griekse mythologie) verschaft zichzelf toegang tot alles wat zich op een iPhone of Android-toestel bevindt. Denk aan foto’s, mail en chat-apps en andere gevoelige bestanden. Pegasus kan daarnaast gesprekken afluisteren, livelocaties doorgeven, contactgegevens en wachtwoorden stelen en encrypties omzeilen. Daarnaast heeft de software volgens documenten die de Financial Times inzag toegang tot cloudopslag. Pegasus krijgt zodoende eveneens toegang tot gegevens buiten de telefoon. Na afloop kan de spionagesoftware zichzelf de-installeren om de sporen van datadiefstal uit te wissen.

Lees ook dit artikel over de NSO Group: Het dubieuze boegbeeld van de Israëlische surveillanceindustrie

2 Hoe kun je je tegen dit soort aanvallen beschermen?

Pegasus installeert zichzelf via onschuldig ogende berichten in sms, WhatsApp, iMessage of e-mails. Een linkje leidt naar een website die de spionagesoftware – de ‘agent’ – downloadt.

De app kan ook infiltreren zonder dat de gebruiker zelf iets activeert. Bij zo’n ‘over the air’-aanval krijgt het doelwit een verborgen sms-bericht via het telefoonnetwerk doorgestuurd, die de telefoon opdracht geeft om de spionagesoftware ongemerkt te downloaden. Volgens een wat oudere uitgelekte handleiding zou Pegasus die optie als enige bieden, in tegenstelling tot concurrerende producten van Hacking Team (Italië) of FinFischer (Duitsland).

De spionagesoftware voert aanvallen uit op specifieke telefoonnummers. Doelwitten van wie de telefoonnummers of e-mailadressen onbekend zijn, kunnen worden gehackt middels fysieke toegang tot het toestel of via een nep-zendmast in de buurt van het slachtoffer.

Jezelf verdedigen tegen dit soort gerichte aanvallen is lastig. Niet klikken op verdachte links en je apparaat up-to-date houden, is het standaard advies, maar dat biedt geen garantie tegen nieuwe, nog niet gerepareerde softwaregaten. Zulke kwetsbaarheden zitten in alle smartphones; zo moet Apple nu een lek dichten in iMessage dat Pegasus toegang kan verschaffen tot gloednieuwe iPhones, zonder dat daar een ‘klik’ voor nodig is. Dat bleek zondag uit een onderzoek van Amnesty International naar de methodiek van Pegasus. In 2019 kwam de spionagesoftware ook al in opspraak toen 1.400 WhatsApp-gebruikers zouden zijn aangevallen via een kwetsbaarheid in audiogesprekken. Facebook – eigenaar van WhatsApp – spande daarom een rechtszaak aan tegen de NSO Group.

3 Waarom komt deze spionagesoftware uit Israël?

De NSO Group is een van de vele Israëlische bedrijven die zich met cyberspionage bezighouden. Israël heeft een naam op het gebied van cyber security – zowel offensief als defensief. Experts die in het Israëlische leger een cyberopleiding kregen belanden na hun dienstplicht bij bedrijven. De opgedane kennis wordt benut in commerciële producten, die weer worden geëxporteerd naar het buitenland.

Lees ook dit artikel: Israël is zich bewust van cyberdreiging en permitteert zich veel

4 Wat weten we over de klanten van NSO?

NSO zegt in een vorige maand gepubliceerd transparantierapport dat het zestig klanten heeft bij opsporings- en inlichtingendiensten en in de militaire sectoren van veertig landen. Het bedrijf wil niet zeggen om welke landen en diensten het gaat. NSO schrijft „het enige bedrijf in de cyberinlichtingenindustrie” te zijn dat zich committeert aan de mensenrechtennormen van de VN en de OESO, de club van industrielanden. Het zou zijn softwarepakket Pegasus niet leveren aan klanten in landen waar onvoldoende waarborgen bestaan tegen misbruik, en zegt daarom 55 niet nader genoemde landen op een zwarte lijst te hebben geplaatst.

Toch erkent NSO dat het geen rechtstreeks inzicht heeft in het gebruik van zijn producten. „Het in de gaten houden van activiteiten van klanten is een grote uitdaging.” NSO zegt dat het 15 procent van de aanvragen voor spionagesoftware heeft afgeslagen uit humanitaire overwegingen. Dat zou het bedrijf honderden miljoenen dollars aan omzet hebben gekost.

Het onderzoekscollectief dat de surveillance aan het licht bracht, zegt dat NSO onder meer autoritaire regimes als Azerbeidzjan, de Verenigde Arabische Emiraten en Saoedi-Arabië tot zijn klanten rekent.

5 Wat weten we over de doelwitten van de klanten van NSO?

Pegasus is volgens NSO bedoeld om zaken als terrorisme, zware criminaliteit en kinderporno aan te pakken. Maar op de lijst met telefoonnummers die klanten van NSO sinds 2016 zouden hebben overwogen voor surveillance staan naast verdachten van strafbare feiten ook de nummers van mensenrechtenactivisten, politici, advocaten, religieuze leiders, zakenmensen en journalisten. Het consortium onthulde zondagavond al dat zeker 180 journalisten uit alle delen van de wereld op de lijst stonden, onder wie hoofdredacteur Roula Khalaf van de Financial Times, twee journalisten van het Franse onderzoeksplatform Mediapart, twee Hongaarse onderzoeksjournalisten, en verslaggevers van gerenommeerde nieuwsorganisaties als The Wall Street Journal, CNN, The New York Times, Al Jazeera, El País en persbureaus Bloomberg, AP en Reuters.

Vanuit Mexico werd volgens het onderzoekscollectief het grootste aantal potentiële spionagedoelwitten geselecteerd, ruim 15.000. Daaronder waren in ieder geval vijftig mensen uit de entourage van de Mexicaanse president Andrés Manuel López Obrador, onder wie medewerkers, zijn vrouw, zijn kinderen en zijn arts. Ze werden volgens The Guardian tussen 2016 en 2017 op de lijst gezet, voordat López Obrador in 2018 president werd.

Pegasus heeft mogelijk ook toegang tot de cloudopslag en dus tot gegevens buiten de telefoon

Het nummer van de Mexicaanse journalist Cecilio Pineda Birto, die schreef over zware criminaliteit en corruptie, verscheen op de lijst enkele weken voordat hij door onbekende schutters werd vermoord. Zeker 24 andere Mexicaanse journalisten stonden ook op de lijst. Volgens het consortium was het Mexicaanse ministerie van Defensie de eerste klant van NSO. Verschillende andere diensten, waaronder inlichtingendiensten en Justitie, zouden inmiddels gebruikmaken van Pegasus.

De onderzoekers denken dat ook een aantal nauwe contacten van de Saoedische publicist en dissident Jamal Khashoggi doelwit is geweest, onder wie de Turkse openbaar aanklager die strafrechtelijk onderzoek deed naar de moord op Khashoggi in het consulaat van zijn thuisland in Istanbul.

Maandag meldden The Washington Post en The Guardian bovendien dat op de lijst telefoonnummers te vinden zijn die werden gebruikt door de belangrijkste Indiase oppositiepoliticus, Rahul Gandhi van de Congrespartij, en een aantal van diens vrienden en medewerkers.

In EU-lidstaat Hongarije werden volgens het consortium naast journalisten ook advocaten en een oppositiepoliticus mogelijk gevolgd.

6 Hoe wordt op de onthullingen gereageerd?

„Als wat we tot nu toe hebben gelezen waar is, is dat volstrekt onacceptabel, en in tegenspraak met alle regels in de Europese Unie”, zei voorzitter Ursula von der Leyen van de Europese Commissie maandag in een eerste reactie. Ook de Franse regering heeft boos gereageerd op het nieuws dat Franse journalisten doelwit waren van spionage door Marokkaanse inlichtingendiensten. Onderzoeksplatform Mediapart en het satirische blad Le Canard enchaîné hebben aangifte gedaan.

Voorzitter János Halász van het nationale veiligheidscomité van de Hongaarse regeringspartij Fidesz noemde de onthullingen in ‘de linkse pers’ „ongefundeerd”. Ook andere betrokken regeringen die het consortium om reacties vroeg, ontkennen of weigerden te reageren.

Volgens NSO zitten de onthullingen over Pegasus vol „onjuiste aannames” en „onbewezen theorieën”. Het bedrijf zegt niet te beschikken over een lijst met potentiële doelwitten, en zegt te denken dat die is gebaseerd op een „misinterpretatie” van gelekte informatie.

Lees ook dit artikel: ‘180 journalisten mogelijk doelwit van regeringshacks met spionagesoftware’