Journalisten slachtoffer van pegasus: wat is het en hoe hackt het telefoons?

Jippie

Pegasus is de naam voor misschien wel het krachtigste stuk spyware dat ooit is ontwikkeld - zeker door een particulier bedrijf (NSO Group). Zodra de spyware zich een weg heeft gebaand naar je telefoon, zonder dat je het merkt, kan het er een 24-uurs bewakingsapparaat van maken. Het kan berichten kopiëren die men verzendt of ontvangt, je foto's binnenhalen en je oproepen opnemen. Het kan je stiekem filmen via de camera van je telefoon, of de microfoon activeren om je gesprekken op te nemen. Het kan waarschijnlijk je locatie bepalen, waar je bent geweest en wie je hebt ontmoet.

Pegasus is hacksoftware – of spyware – die is ontwikkeld, op de markt gebracht en in licentie gegeven aan overheden over de hele wereld door het Israëlische bedrijf NSO Group. Het heeft de mogelijkheid om miljarden telefoons met een iOS- of Android-besturingssysteem te infecteren.

De vroegste versie van Pegasus die werd ontdekt, die in 2016 door onderzoekers werd vastgelegd, geïnfecteerde telefoons door middel van wat spear-phishing wordt genoemd: sms-berichten of e-mails die een doelwit misleiden om op een kwaadaardige link te klikken.

Sindsdien zijn de aanvalsmogelijkheden van NSO steeds geavanceerder geworden. Pegasus-infecties kunnen worden bereikt door zogenaamde "zero-click"-aanvallen, die geen enkele interactie van de eigenaar van de telefoon vereisen om geactiveerd te worden. Ze maken vaak gebruik van "zero-day"-kwetsbaarheden, dit zijn gebreken of bugs in een besturingssysteem waarvan de fabrikant van de mobiele telefoon nog geen weet heeft en dus nog niet heeft kunnen repareren door een update.

In 2019 onthulde WhatsApp dat de software van NSO was gebruikt om malware naar meer dan 1.400 telefoons te sturen door gebruik te maken van een zero-day-kwetsbaarheid. Door simpelweg een WhatsApp-oproep naar een doelapparaat te plaatsen, kan een kwaadaardige Pegasus-code op de telefoon worden geïnstalleerd, zelfs als het doel de oproep nooit heeft beantwoord. Meer recentelijk is NSO begonnen met het misbruiken van kwetsbaarheden in de iMessage-software van Apple, waardoor het via de achterdeur toegang kreeg tot honderden miljoenen iPhones. Apple zegt dat het zijn software voortdurend bijwerkt om dergelijke aanvallen te voorkomen.

Het technische begrijpen van Pegasus, en hoe men sporen kan vinden die de spyware achterlaat op een telefoon na een succesvolle infectie, is verbeterd door onderzoek uitgevoerd door Claudio Guarnieri, die het in Berlijn gevestigde Security Lab van Amnesty International leidt.

"Het wordt voor de doelen van Pegasus een stuk ingewikkelder om op te merken", zegt Guarnieri, die uitlegde dat NSO-klanten de verdachte sms-berichten grotendeels hebben ingeruild voor subtielere zero-click-aanvallen.

Voor bedrijven als NSO is het bijzonder aantrekkelijk om gebruik te maken van software die standaard op apparaten is geïnstalleerd, zoals iMessage, of die op grote schaal wordt gebruikt, zoals WhatsApp, omdat zo het aantal mobiele telefoons die Pegasus met succes kan aanvallen/infecteren aanzienlijk toeneemt.

Als technische partner van het Pegasus-project, een internationaal consortium van mediaorganisaties, waaronder de Guardian, heeft het laboratorium van Amnesty sporen ontdekt van succesvolle aanvallen door Pegasus-klanten op iPhones met volledig bijgewerkte versies van Apple's iOS. De aanslagen/infecties vonden in juli 2021 plaats.

Forensische analyse van de telefoons van slachtoffers heeft ook het bewijs opgeleverd dat suggereert dat NSO's constante zoektocht naar zwakke punten mogelijk is uitgebreid naar andere alledaagse apps. In sommige van de gevallen die door Guarnieri en zijn team zijn geanalyseerd, is op het moment van de infecties merkwaardig netwerkverkeer met betrekking tot de apps Foto's en Muziek van Apple te zien, wat suggereert dat NSO mogelijk is begonnen met het benutten van nieuwe kwetsbaarheden.

Waar noch spear-phishing noch zero-click-aanvallen/infecties slagen, kan Pegasus ook worden geïnstalleerd via een draadloze transceiver in de buurt van een doelwit, of, volgens een NSO-brochure, eenvoudig handmatig worden geïnstalleerd als een agent de telefoon van het doelwit kan stelen.

Eenmaal geïnstalleerd op een telefoon, kan Pegasus min of meer informatie verzamelen of elk bestand extraheren. Sms-berichten, adresboeken, belgeschiedenis, agenda's, e-mails en browsegeschiedenis op internet kunnen allemaal worden geëxfiltreerd.

"Als een iPhone wordt geinfecteerd, gebeurt dat op zo'n manier dat de spyware zogenaamde root-rechten of beheerdersrechten op het apparaat kan verkrijgen", zegt Guarnieri. "Pegasus kan meer dan wat de eigenaar van het apparaat kan."

Advocaten van NSO beweerden dat het technische rapport van Amnesty International maar een gissing was en beschreven het als "een compilatie van speculatieve en ongegronde veronderstellingen". Ze betwistten echter geen van de specifieke bevindingen of conclusies.

NSO heeft aanzienlijke inspanningen geleverd om haar software moeilijk detecteerbaar te maken en Pegasus-infecties zijn nu zeer moeilijk te identificeren. Beveiligingsonderzoekers vermoeden dat recentere versies van Pegasus alleen in het tijdelijke geheugen van de telefoon zitten, in plaats van op de harde schijf, wat betekent dat zodra de telefoon is uitgeschakeld, vrijwel alle sporen van de software verdwijnen.

Een van de belangrijkste uitdagingen die Pegasus voor journalisten en mensenrechtenverdedigers stelt, is het feit dat de software misbruik maakt van onontdekte kwetsbaarheden, wat betekent dat zelfs de meest veiligheidsbewuste mobiele telefoongebruiker een aanval niet kan voorkomen.

"Dit is een vraag die mij vrijwel elke keer wordt gesteld als we forensisch onderzoek doen bij iemand: 'Wat kan ik doen om te voorkomen dat dit opnieuw gebeurt?'", zei Guarnieri. "Het echte eerlijke antwoord is niets."

Giga datalek 
Volgens een onderzoek naar een enorm datalek zijn mensenrechtenactivisten, journalisten en advocaten over de hele wereld het doelwit geweest van autoritaire regeringen die Pegasus gebruikten. 

Het onderzoek door de Guardian en 16 andere mediaorganisaties suggereert wijdverbreid en aanhoudend misbruik van NSO's hack-spyware, Pegasus, waarvan het bedrijf beweert dat het alleen bedoeld is voor gebruik tegen criminelen en terroristen.

Het lek bevat een lijst met meer dan 50.000 telefoonnummers die naar verluidt sinds 2016 door klanten van NSO zijn geïdentificeerd als personen van belang.

Forbidden Stories, een in Parijs gevestigde mediaorganisatie zonder winstoogmerk, en Amnesty International hadden aanvankelijk toegang tot de gelekte lijst en deelden toegang met mediapartners als onderdeel van het Pegasus-project, een rapportageconsortium.

De aanwezigheid van een telefoonnummer in de gegevens laat niet zien of een apparaat is geïnfecteerd met Pegasus of is onderworpen aan een poging tot hacken. Het consortium is echter van mening dat de gegevens indicatief zijn voor de potentiële doelen die NSO's overheidsklanten hebben geïdentificeerd voorafgaand aan mogelijke surveillancepogingen.

Forensische analyse van een klein aantal telefoons waarvan de nummers op de gelekte lijst stonden, toonde ook aan dat meer dan de helft sporen van de Pegasus-spyware had.

The Guardian en zijn mediapartners zullen de komende dagen de identiteit onthullen van de mensen wiens nummer op de lijst verscheen. Onder hen zijn honderden zakenlieden, religieuze figuren, academici, NGO-medewerkers, vakbondsfunctionarissen en regeringsfunctionarissen, waaronder ministers, presidenten en premiers.

De lijst bevat ook het aantal naaste familieleden van land bestuurders, wat suggereert dat ze hun inlichtingendiensten hebben opgedragen om de mogelijkheid te onderzoeken om hun eigen familieleden in de gaten te houden.

Onthulling 'doelwitten'van Pegasus
De onthullingen beginnen zondag met de openbaring dat de telefoonnummers van meer dan 180 journalisten in de gegevens staan, waaronder verslaggevers, redacteuren en leidinggevenden van de Financial Times, CNN, de New York Times, France 24, The Economist, Associated Press, Al Jazeera, Radio Free Europe, Mediapart, El País, Associated Press, Le Monde, Bloomberg, Agence France-Presse, Reuters en Voice of America.

Verslaggevers wiens nummers in de gegevens voorkomen, variëren van lokale freelancers, zoals de Mexicaanse journalist Cecilio Pineda Birto, die een maand nadat zijn telefoon werd geselecteerd, werd vermoord door aanvallers gewapend met geweren, tot prijswinnende onderzoeksverslaggevers, redacteuren en leidinggevenden bij toonaangevende media-organisaties.

Naast de VAE geeft een gedetailleerde analyse van de gegevens aan dat de regeringen van Azerbeidzjan, Bahrein, Hongarije, India, Kazachstan, Mexico, Marokko, Rwanda en Saoedi-Arabië allemaal journalisten hebben geselecteerd als mogelijke bewakingsdoelen.

Het is niet mogelijk om zeker te weten of telefoons succesvol zijn geïnfecteerd met Pegasus zonder analyse van apparaten door forensische experts. Het Security Lab van Amnesty International, dat succesvolle Pegasus-infecties kan detecteren, vond sporen van de spyware op de mobiele telefoons van 15 journalisten die hadden ingestemd met een onderzoek van hun telefoons nadat ze hadden ontdekt dat hun nummer in de gelekte gegevens stond.