Pegasus Project: Gelekte lijst met meer dan 50.000 telefoonnummers onthult doelwitten voor cyberspionage wereldwijd
Geavanceerde hackingsoftware verkocht door het Israëlische bedrijf NSO Group is gebruikt door autoritaire overheden om de smartphones van journalisten en mensenrechtenactivisten te bespioneren in tal van landen. Dat blijkt uit een onderzoek van Knack en Le Soir in samenwerking met journalistencollectief Forbidden Stories en 14 internationale mediapartners. Amnesty International Security Lab gaf daarbij technische ondersteuning. In onderstaande tien vragen leest u alles wat u moet weten over het Pegasus Project.
Acht jaar na de onthullingen van NSA-klokkenluider Edward Snowden schudt een nieuw wereldwijd spionageschandaal de wereld wakker. Snowden waarschuwde voor de wereldwijde interceptiecapaciteit van de Amerikaanse geheime dienst NSA. Het Pegasus Project echter gaat niet over massasurveillance maar legt doelgerichte cyberspionage bloot tegen weluitgekozen targets.
Het onderzoek ging van start nadat Forbidden Stories en Amnesty International toegang hadden gekregen tot een lijst met meer dan 50.000 telefoonnummers die sinds 2016 door klanten van de Israëlische firma NSO Group geselecteerd zijn als potentieel doelwit. Het gaat om telefoonnummers uit een vijftigtal landen.
Dat een telefoonnummer op de lijst voorkomt, betekent nog niet dat de bijbehorende smartphone ook daadwerkelijk aangevallen of bespioneerd is. Maar forensisch onderzoek door Amnesty International Security Lab op tientallen gsm-nummers uit de lijst toont aan dat de meeste onderzochte iPhones wel degelijk sporen vertonen van infecties met de spyware Pegasus.
1. Wat is Pegasus?
Pegasus is een programma om smartphones te hacken, ontworpen en verkocht door het Israëlische bedrijf NSO Group. Het gaat om onwaarschijnlijk krachtige spyware. Letterlijk alles wat je op je smartphone doet, kan Pegasus stiekem gadeslaan. Wachtwoorden, sms’jes, foto’s, contactenlijsten, oproepen, websitebezoeken, locatiegegevens… niets is veilig voor Pegasus. De software kan ook je microfoon en camera op afstand inschakelen of ongezien screenshots maken.
‘Via de ingebouwde sensors in smartphones kan Pegasus zelfs nagaan in welke richting je je begeeft en tegen welke snelheid’, zegt IT-specialist Claudio Guarnieri, hoofd van het Security Lab van mensenrechtenorganisatie Amnesty International. Hij doet al tien jaar onderzoek naar digitale dreigingen en onderzocht voor het Pegasus Project tientallen geïnfecteerde smartphones.
‘We zien onze smartphones als een venster op de wereld’, zegt professor Ron Debeirt, oprichter en directeur van het Citizen Lab van de Universiteit van Toronto, dat zich eveneens specialiseerde in Pegasus. ‘Maar we vergeten dat je via een venster ook van buiten naar binnen kunt kijken.’
Pegasus is ook het antwoord op encryptie. In 2013 leerde Snowden zijn volk informatie versleutelen. Geëncrypteerde berichtendiensten als Signal en WhatsApp werden in geen tijd gemeengoed. Telefoontap door opsporingsdiensten werd daardoor in één klap nutteloos. Enter Pegasus. De spyware kan immers de ingetypte berichten meelezen voor ze versleuteld en verstuurd worden, of aan de andere kant van de communicatieketen screenshots nemen van de ontsleutelde info die binnenloopt.
2. Hoe werkt Pegasus?
De eerste stap is de spyware in het geviseerde gsm-toestel in te brengen. Aanvankelijk gebeurde dat door gebruikers een gepersonaliseerd sms’je te sturen met daarin een link. Door daarop de klikken, werd je smartphone geïnfecteerd. ‘Maar recent zien we meer en meer zogenaamde zero click-aanvallen opduiken’, zegt Guarnieri. Dat betekent dat je niet eens op een link hoeft te klikken om geïnfecteerd te raken. Voor de hacker volstaat het dus je gsm-nummer te kennen om 24/7 in je leven binnen te dringen. Dat is een bijzonder onrustwekkende vaststelling.
Zulke zero click-aanvallen spelen in op kwetsbaarheden in de software van smartphones. Elk besturingssysteem bestaat immers uit miljoenen regels code, opgesteld door programmeurs. Maar mensen maken fouten, en die kunnen uitgebuit worden door hackers met slechte bedoelingen. Vooral zero day exploits zijn daarbij gevaarlijk: fouten in software die nog niet publiek zijn gemaakt – en waarvoor bedrijven als Apple of Google dus nog geen oplossing hebben bedacht. ‘De meest recente voorbeelden tonen dat iMessage een vector is om iPhones met Pegasus te infecteren’, zegt Guarnieri.
Zodra Pegasus zich op je smartphone heeft genesteld, kan het alle mogelijke informatie van het toestel halen. Dat is stap twee. De derde stap is die informatie doorsturen naar de aanvallers. Dat kan zodra je smartphone is verbonden met het internet. Ten slotte kunnen de hackers alle buitgemaakte info efficiënt doorgronden met analysesoftware.
3. Wat weten we over NSO Group, het bedrijf dat Pegasus heeft ontwikkeld?
Het gaat om een Israëlisch bedrijf, opgericht in 2010 met als missie ‘regeringen helpen om onschuldigen te beschermen tegen terrorisme en misdaad door hen te voorzien van de beste inlichtingentechnologie’. De spyware van de NSO Group is bedoeld om ’terreurorganisaties, drugkartels, mensenhandelaars, pedofiliekringen en andere criminele syndicaten’ in kaart te brengen, schrijft het bedrijf in een transparantierapport dat eind juni uitkwam. Het geeft ook concrete voorbeelden: ‘Tijdens covid-19 waren de tools van NSO essentieel om een pedofielenkring bloot te leggen’, en ‘in 2021 slaagden we erin om een crimineel te helpen vangen die al meer dan 10 jaar op de vlucht was’.
Bij de NSO Group – die opereert vanuit Israël, Bulgarije en Cyprus – werken volgens ratingbureau Moody’s zo’n 750 mensen. Ter vergelijking: dat is meer dan het voltallige personeel van de Belgische Staatsveiligheid. NSO is zeker niet het enige Israëlische bedrijf dat surveillancetechnologie op de markt brengt. Maar het unieke aan NSO is dat het zich heeft gespecialiseerd in smartphones. En uitgerekend die toestellen zijn het voorbije decennium een steeds belangrijkere rol gaan spelen in ons leven.
Pegasus is niet het enige product van NSO maar wel het belangrijkste en bekendste. Verder ontwikkelde NSO bijvoorbeeld ook search-and-rescue-technologie om slachtoffers van natuurrampen te helpen lokaliseren, en technologie om surveillance door drones tegen te gaan.
4. Wie zijn de klanten van NSO Group?
Het bedrijf zegt enkel aan overheden te verkopen, die het bovendien vooraf grondig heeft onderzocht, en niet aan andere spelers. Maar welke overheden klant zijn, daarover geeft NSO géén commentaar. Dat is een goed bewaard geheim. NSO stelt dat het 60 klanten heeft in 40 landen. Zowat de helft zijn inlichtingendiensten, gevolgd door wetshandhavingsinstanties (4 op de 10 klanten) en militaire instanties (1 op de 10).
Uit het Pegasus Project blijkt dat de volgende 10 landen klant zijn of waren van NSO: Mexico, Azerbeidzjan, Kazachstan, Hongarije, India, de Verenigde Arabische Emiraten, Saudi-Arabië, Bahrein, Marokko en Rwanda. Een aantal van die landen hebben een bedenkelijke reputatie op het vlak van mensenrechten. Verschillende landen – waaronder Rwanda – betwisten formeel dat ze Pegasus gebruiken.
NSO heeft een lijst met 55 landen waaraan het géén cyber intelligence-producten verkoopt, wegens ‘mensenrechten, corruptie en regelgevende beperkingen’. Bovendien moet elke export van de NSO-technologie – naar analogie met wapenexport – goedgekeurd worden door de exportcontroleagentschappen van Israël, Bulgarije en Cyprus. In Israël valt die bevoegdheid onder het ministerie van Defensie.
Volgens NSO heeft het sinds 2016 vijf klanten van het systeem afgesloten na een onderzoek in verband met misbruik. Daardoor zou NSO meer dan 100 miljoen dollar aan inkomsten zijn misgelopen. Het voorbije jaar opende NSO 12 onderzoeken naar misbruik van zijn technologieproducten. Het bedrijf gaat er prat op ethisch te werken en internationale normen te volgen – zoals de UN Guiding Principles on Business and Human Rights, en de Guidelines for Multinational Enterprises van de OESO, de club van de rijke landen.
5. NSO verkoopt Pegasus enkel aan overheidsdiensten in geselecteerde landen om terroristen en criminelen op te sporen, en onderzoekt mogelijk misbruik. Wat is dan eigenlijk het probleem?
Onderzoek door het Canadese Citizen Lab en het Security Lab van Amnesty International hebben de voorbije jaren al tientallen cases onthuld waarbij Pegasus-infecties zijn vastgesteld op de gsm’s van journalisten en mensenrechtenactivisten. Bovendien heeft Facebook een rechtszaak tegen NSO aangespannen nadat was gebleken dat WhatsApp gebruikt werd als een soort toegangspoort om toestellen te infecteren met Pegasus.
Maar het Pegasus Project toont nu aan dat misbruik van de spyware wijdverspreid is. ‘Dit project onthult hoe de spyware van NSO een repressiewapen is voor regeringen, en journalisten en activisten schade toebrengt’, zegt Dana Ingleton, co-directeur van Amnesty Tech. ‘Het aantal journalisten geïdentificeerd als doelwit is huiveringwekkend, en toont hoe Pegasus gebruikt wordt om persvrijheid aan te vallen en journalisten in gevaar te brengen. De claim van NSO dat zijn tools enkel worden gebruikt om misdaad en terrorisme te bestrijden, ligt aan flarden.’
Naast journalisten werden ook tal van mensenrechtenactivisten, advocaten en politici geselecteerd als doelwit, zo blijkt uit de gelekte lijst. Zelfs de nummers van meer dan tien staatshoofden en regeringsleiders staan op de lijst.
Het onderzoek ging van start nadat Forbidden Stories en Amnesty International toegang kregen tot een schat aan gelekte informatie. Forbidden Stories is een non-profitplatform in Parijs dat het werk van bedreigde of vermoorde journalisten voortzet, in samenwerking met mediapartners – waaronder Knack. Welke info is dan precies gelekt? Het gaat om een lijst met meer dan 50.000 telefoonnummers die sinds 2016 door NSO-klanten geselecteerd zijn als potentieel doelwit. Het gaat om telefoonnummers uit een vijftigtal landen. Ook een dozijn Belgische +32-gsm-nummers staan op de lijst.
Dat een telefoonnummer op de lijst voorkomt, betekent niet noodzakelijk dat het toestel in kwestie ook daadwerkelijk aangevallen of geïnfecteerd is met spyware van NSO. Het gegevenslek was dan ook slechts het startpunt van het onderzoek. 17 internationale media hebben maandenlang uitgevlooid aan wie de telefoonnummers toebehoren. In meer dan 1000 gevallen is dat gelukt. Vervolgens hebben we een aantal van die mensen benaderd om na te gaan of er op hun gsm’s inderdaad ook sporen van Pegasus-infectie waren achtergebleven. Dat was wel degelijk het geval. Het onderzoek werd ook versterkt met tal van interviews met cyberexperten en andere betrokkenen, en met een reeks documenten die via gunstige wind in ons bezit kwamen.
6. Pegasus is geavanceerde spyware en opereert toch onzichtbaar? Hoe kun je dan sporen vinden?
Pegasus is inderdaad zo ontworpen dat het géén sporen nalaat – dat is toch de bedoeling. Maar minieme aanwijzingen over netwerkactiviteit in de logs over het batterijgebruik van het toestel verraden toch zijn aanwezigheid, ontdekten IT-specialisten van Amnesty International Security Lab en Citizen Lab in Toronto. Op iPhones zijn die indicaties vast te stellen. Voor Android-toestellen ligt dat veel moeilijker. De resultaten van het forensisch onderzoek in het kader van het Pegasus Project -uitgevoerd door Security Lab en gepeerreviewed door Citizen Lab – worden vandaag ook gepubliceerd in een technisch rapport.
Het Security Lab van Amnesty International onderzocht de voorbije maanden 67 telefoons waarvan de nummers op de gelekte lijst stonden, op zoek naar forensisch bewijs van de Pegasus-spyware. Resultaat? 37 telefoons vertoonden sporen van Pegasus-activiteit: 23 telefoons waren met succes geïnfecteerd, en 14 vertoonden indicaties van een poging tot infectie.
Voor de overige 30 telefoons gaf de forensische analyse geen uitsluitsel – in verschillende gevallen omdat ze intussen waren vervangen. Vijftien van de geanalyseerde telefoons waren Android-toestellen. Op geen enkel van die toestellen konden bewijzen van een succesvolle infectie worden aangetroffen. In tegenstelling tot iPhones slaan Androids niet het soort informatie op dat nodig is voor Amnesty’s speurwerk. Drie Android-telefoons vertoonden toch indicaties van targeting, zoals sms’jes die gelinkt kunnen worden aan Pegasus.
In de komende dagen onthullen Knack en onze media-partners een reeks concrete cases. In het openingsartikel van het Pegasus Project ligt de focus op journalisten wereldwijd.
Dé hamvraag is of NSO wéét welke mensen doelwit worden van zijn technologie. NSO benadrukt dat het Pegasus zelf níét ontplooit: het levert enkel Pegasus-licenties aan landen en overheidsdiensten. NSO zegt dat het géén inkijk heeft in het gebruik ervan – enkel bij vermeend misbruik kan het daarover naar eigen zeggen verdere informatie opvragen. ‘Wanneer we vermoeden dat er misbruik is geweest, dan nemen we onmiddellijk actie. Dat kan ertoe leiden dat de toegang tot het systeem wordt afgesloten.’
7. Hoe reageert NSO Group op de gelekte lijst met telefoonnummers?
NSO Group ontkent dat de gelekte lijst met telefoonnummers ook maar iets te maken heeft met zijn Pegasus-systeem. Het bedrijf stelt ook de betrouwbaarheid van de forensische analyse door Amnesty International Security Lab ter discussie. Het technisch rapport van die analyse zou neerkomen op een ‘compilatie van speculatieve en ongefundeerde veronderstellingen’.
NSO stelt ook de ‘betrouwbaarheid van de bronnen’ van het Pegasus Project ter discussie. ‘Uw bronnen hebben u informatie gegeven die géén feitelijke basis heeft.’ NSO Group hekelt voorts dat Forbidden Stories de lijst met telefoonnummers niet aan het bedrijf heeft voorgelegd en vermoedt dat dat komt ‘omdat de lijst via illegitieme of onwettelijke manieren is verkregen’. Het bedrijf stelt dat het hoge aantal telefoonnummers op de lijst al duidelijk maakt dat het niet kan gaan om telefoonnummers die door NSO-klanten als doelwit worden aangemerkt.
Het bedrijf heeft, aldus een advocaat, ‘goede redenen om aan te nemen dat de lijst van “duizenden telefoonnummers” géén lijst is van nummers die door regeringen worden gebruikt voor Pegasus, maar integendeel deel zou kunnen uitmaken van een grotere lijst van nummers die mogelijk door klanten van NSO Group gebruikt worden voor andere doeleinden’. Het zou volgens NSO kunnen gaan om gelekte data van ‘publiek toegankelijke, open bronnen, zoals de HLR Lookup Service’.
Dat zogenaamde Home Location Register (HLR) bevat informatie over in welk land op welk moment een gsm-toestel zich bevindt en of het aan staat. ‘Diensten als HLR Lookup zijn beschikbaar voor iedereen, eender waar, eender wanneer, en worden algemeen gebruikt door overheidsinstanties en particuliere bedrijven voor talrijke doeleinden.’
8. Wat is dan precies de link tussen de lijst met gelekte telefoonnummers en de Pegasus-spyware?
Zoals reeds aangegeven vertoonden 37 onderzochte smartphones uit de lijst met gelekte telefoonnummers sporen van Pegasus-activiteit. Maar er is meer. Op de lijst staat ook een precieze timing waarop het nummer werd geselecteerd. Wanneer we die timing vergelijken met de sporen van Pegasus die Amnesty International Security Lab aantrof op de toestellen in kwestie, dan zijn de overeenkomsten sprekend. Bij 29 van de 37 toestellen gebeurde de infectie met Pegasus héél kort nadat het telefoonnummer geselecteerd was, in sommige gevallen zelfs minder dan één minuut later.
9. Wat kan ik doen om mijn gsm te beschermen tegen Pegasus?
Dat is het slechte nieuws: niet veel. ‘Ik raad aan om steeds updates uit te voeren naar de meest recente versies van het besturingssysteem op je smartphone’, zegt Guarnieri van Security Lab. ‘Verder kun je op iPhones mogelijke toegangspoortjes zoals iMessage en FaceTime uitschakelen. Ook een VPN-connectie kan helpen om bepaalde vormen van infecties te voorkomen. Maar uiteindelijk stel je op die manier enkel maar cyberaanvallen uit – je maakt het wat duurder voor hackers om op je toestel binnen te raken. Er is eigenlijk geen enkele zinvolle manier om te voorkomen dat dit gebeurt.’ Wel wijst Guarnieri nog op het belang van operationele veiligheid. ‘Vertrouw niet op de belofte dat ze je telefoon helemaal veilig kunnen maken. En compartimentaliseer informatie. Zorg dat je data op zo’n manier verspreid zitten dat wanneer een cyberaanval succesvol is, de schade beperkt kan worden.’
10. Is ook België klant van NSO?
Twee goedgeïnformeerde bronnen – waaronder een voormalige NSO-werknemer – lieten aan onze Duitse mediapartner Die Zeit weten dat België klant is van NSO. Ook Knack vernam hetzelfde van één goedgeïnformeerde bron die anoniem wenst te blijven. Maar officiële bevestiging daarvan hebben we niet. Zowel de Staatsveiligheid als de militaire inlichtingendienst ADIV bevestigen noch ontkennen. ‘Dat is geclassificeerde informatie’, klinkt het unisono bij beide diensten. Ook de federale politie geeft ‘géén commentaar’. Sowieso zouden de Belgische inlichtingendiensten een tool als Pegasus maar mogen gebruiken na voorafgaande goedkeuring door de zogenaamde BIM-commissie, die belast is met het toezicht op de specifieke en uitzonderlijke methoden voor de gegevensverzameling. De politie zou dat enkel mogen na toestemming van een BOM-magistraat, die over bijzondere opsporingsmethoden gaat. NSO Group geeft géén commentaar over welke landen klant zijn.
De partnermedia van het Pegasus Project zijn: Forbidden Stories, Knack, Le Soir, Le Monde, Radio France, Frontline, The Washington Post, The Guardian, Die Zeit, Süddeutsche Zeitung, Haaretz, OCCRP, Proceso, Direkt 36, Aristegui, The Wire en Daraj.Meer info op www.forbiddenstories.org
Het Pegasus Project
Fout opgemerkt of meer nieuws? Meld het hier