Project Pegasus: eerste Belgische slachtoffer van Pegasus-spyware onthuld
De iPhone X van de Belgisch-Amerikaanse Carine Kanimba (28), dochter van Paul ‘Hotel Rwanda’ Rusesabagina, bevat tal van sporen van Pegasus-spyware. Dat blijkt uit een forensische analyse door Amnesty International Security Lab in samenwerking met Knack, Le Soir en journalistencollectief Forbidden Stories. De recentste indicaties van een cyberaanval tegen Kanimba’s smartphone dateren van begin juli.
Hij was goed geland in Dubai, dat was het laatste dat Carine Kanimba van haar vader had gehoord. En dan plots vier dagen helemaal niets meer. Totale windstilte. Tot ze hem op 31 augustus 2020 op de televisie zag, in de boeien geslagen. Paul Rusesabagina (67) bleek met een list naar Rwanda gelokt. De tot Belg genaturaliseerde inwoner van de VS dacht dat hij in Dubai op een privévliegtuig richting Burundi stapte, maar was naar verluidt in de val gelokt door een Belgisch-Burundese geestelijke die hij in vertrouwen had genomen. Hij was uitgenodigd voor toespraken in Burundi, maar belandde uiteindelijk in Rwanda in de cel, op beschuldiging van onder meer terrorisme.
Rusesabagina werd wereldberoemd door de Hollywoodfilm Hotel Rwanda. Die verhaalt hoe de hotelmanager tijdens de Rwandese genocide in 1994 het leven van 1268 Hutu’s en Tutsi’s redde. Sinds de film in 2004 uitkwam, geeft Rusesabagina wereldwijd lezingen. Hij groeide ook uit tot een uitgesproken criticus van Rwandees president Paul Kagame – aan de macht sinds 2000 en in 2017 herkozen met meer dan 90 procent van de stemmen.
Die laatste dag van augustus vorig jaar werd het leven van Carine Kanimba op zijn kop gezet. Haar baan in de financiële sector in New York ruilde ze voor het familiehuis in Kraainem, om van daaruit de rechten te verdedigen van de man die haar als kind adopteerde. Ze kocht een nieuwe smartphone met Belgisch nummer, werd aangesteld als woordvoerster van de familie, bekommerde zich 24/7 om de #freerusesabagina-campagne op sociale media, en belde met iedereen die ook maar iets voor haar vader kon betekenen – in de eerste plaats een internationaal team van advocaten.
Noest lobbywerk
Vanaf begin 2021 stond Kanimba haast voortdurend in contact met Europarlementsleden, Belgische parlementsleden, en Britse en Amerikaanse functionarissen.
‘Pak je telefoon en begin rond te bellen’, zegt Kanimba. ‘Dat heb ik van mijn vader geleerd. Hij deed precies hetzelfde toen hij tijdens de genocide al die mensenlevens heeft gered in zijn hotel. Hij belde iedereen op die op een of andere manier kon assisteren. Diezelfde methode gebruiken wij nu om mijn vader te helpen.’
Mét succes. In februari, kort voor in Rwanda het proces tegen Rusesabagina en medebeschuldigden van start ging, veroordeelde het Europees Parlement de ‘gedwongen verdwijning’ en ‘illegale uitlevering’ van Rusesabagina, en toonde het ‘diepe bezorgdheid over de schending van zijn rechten’. Eind juni keurde het ook het federale parlement een resolutie goed waarin het de gedwongen verdwijning van Rusesabagina veroordeelt én de Belgische regering vraagt om zijn repatriëring ter sprake te brengen in de dialoog met Rwanda. Rond diezelfde periode schreven 41 Amerikaanse parlementsleden in een brief aan de Amerikaanse overheid dat Rusesabagina’s rechten zijn geschonden, en ze vroegen welke repercussies dat zal hebben op de relatie tussen de VS en Rwanda. Met andere woorden: het noeste lobbywerk van Kanimba en haar team had impact.
Krachtige spyware
Uitgerekend in de periode waarin Kanimba haar iPhone X permanent gebruikte voor dagelijkse vertrouwelijke contacten met tal van prominenten in binnen- en buitenland, is het toestel geïnfecteerd met de geavanceerde spyware Pegasus van het Israëlische bedrijf NSO Group. Dat blijkt uit een diagnostisch onderzoek van de smartphone door IT-specialisten van Amnesty International Security Lab, in het kader van het Project Pegasus gecoördineerd door journalistencollectief Forbidden Stories. Samen met het Canadese Citizen Lab van de universiteit van Toronto zijn de IT-specialisten van Amnesty dé wereldtoppers wat betreft het vaststellen van Pegasus-infecties.
Pegasus is onwaarschijnlijk krachtige spyware. Letterlijk alles wat je op je smartphone doet, kan Pegasus stiekem gadeslaan. Wachtwoorden, sms’jes, foto’s, contactenlijsten, oproepen, websitebezoeken, locatiegegevens, zelfs geëncrypteerde berichten en oproepen via WhatsApp en Signal … niets is veilig voor Pegasus. De software kan ook je microfoon en camera op afstand inschakelen of ongezien screenshots maken. En zodra je verbonden bent met het internet, kan Pegasus alle ingezamelde informatie doorsturen naar de aanvallers. Bovendien is Pegasus zo ontworpen dat het géén sporen nalaat. Dat is toch de bedoeling. Minieme aanwijzingen over netwerkactiviteit in de logs over het batterijgebruik van het toestel verraden volgens Amnesty International Security Lab toch zijn aanwezigheid.
Forensisch onderzoek
Nadat onze mediapartner Süddeutsche Zeitung de eerste contacten had gelegd met Kanimba, bezocht Knack haar regelmatig in juni en juli. We assisteerden Amnesty International Security Lab bij de diagnostische analyse van Kanimba’s iPhone. Met goedkeuring van Kanimba maakten we verschillende back-ups van haar toestel, stelden die ter beschikking voor forensisch onderzoek en lieten er gespecialiseerde diagnosetools op los. De gsm is ook opgestuurd naar Amnesty International voor onderzoek dat op afstand niet mogelijk is.
Resultaat? Amnesty International Security Lab kon vele tientallen indicaties van Pegasus-bewerkingen achterhalen op Kanimba’s telefoon. De eerste dateren van eind januari 2021. Tal van sporen van verdachte bewerkingen bleven vervolgens achter op de logs van het toestel in februari, maart en april. In mei – toen Kanimba in de VS verbleef- stopten de indicaties plots (met uitzondering van één spoor dat volgens Security Lab evenwel níét wijst op een infectie). Naar verluidt mag de spyware Pegasus niet tegen doelwitten in de VS gebruikt worden.
Vanaf 14 juni zijn er plots opnieuw aanwijzingen van verdachte activiteiten op de iPhone merkbaar. ‘Op 14 juni had ons team in Brussel een vertrouwelijke ontmoeting met minister van Buitenlandse Zaken Sophie Wilmès om de zaak van mijn vader te bepleiten’, zegt Kanimba. ‘En ik had die dag zeker mijn iPhone op zak.’
Het is bijgevolg niet uitgesloten dat Pegasus stiekem meeluisterde. Bronnen binnen het kabinet-Wilmès stellen dat tijdens de vergadering geen gevoelige informatie is gedeeld.
Op de foto met George W. Bush
We ontmoeten Kanimba opnieuw in haar huis in Kraainem. Centraal aan een muur in de woonkamer prijkt een foto van haar vader samen met George W. Bush, die hem in 2005 de Presidential Medal of Freedom uitreikte. Overal hangen eretekens en onderscheidingen – het lijstje met prijzen, awards en erkenningen dat de familie bijhoudt telt er bijna veertig.
Kanimba’s gsm’s (een met Belgisch en een met Amerikaans nummer) liggen in de microgolfoven – een voorzorgsmaatregel die Kanimba neemt sinds haar eerste ontmoeting met Süddeutsche Zeitung. Het Kooi van Faraday-principe moet voorkomen dat ongenode gasten ons gesprek bespioneren.
Natuurlijk is het even slikken voor Kanimba wanneer we haar de resultaten van de diagnoses van haar iPhone door Amnesty International Security Lab voorleggen – de meest recente sporen van Pegasus-infectie dateren van 3 juli. ‘Maar we hielden er ook rekening mee dat we in de gaten werden gehouden’, zegt Kanimba. ‘Ik wist het gewoon.’
Ze vertelt hoe ze met haar juridisch team het idee besprak om haar vader een document te laten ondertekenen over de manier waarop hij in de eerste dagen na zijn verdwijning in Rwanda naar verluidt gefolterd werd. ‘Toen onze Rwandese advocaat vervolgens mijn vader in de gevangenis bezocht, werd hij gefouilleerd. Ze zochten dát document. En dat terwijl we er enkel in beperkte kring over hadden overlegd, zelfs de Rwandese advocaat was er niet van op de hoogte. Op dat moment wisten we dat iemand van ons team werd afgeluisterd.’
En er waren nog aanwijzingen, zegt Kanimba: ‘Verschillende van de Belgische parlementsleden met wie ik contact opnam – of ze nu openlijk hun steun hadden betuigd aan ons of niet – zijn daarna aangesproken door Rwandezen van wie wij vermoeden dat ze voor de overheid werken.’
Schadelijk voor het imago van Rwanda
Voor alle duidelijkheid: het diagnostisch onderzoek van Kanimba’s iPhone geeft géén uitsluitsel over de origine van de Pegasus-cyberaanvallen. Maar voor Kanimba is er maar één mogelijke kandidaat.
‘De Rwandese overheid natuurlijk. Rwandees president Paul Kagame heeft een probleem met mijn vader, mijn familie en blijkbaar ook met mij. Hij staat aan het hoofd van de Rwandese regering. Zij hebben mijn vader gekidnapt. Zij vallen ons lastig. Zij probeerden mijn vader te intimideren. Enkel zij kunnen hier achter zitten. Ik heb geen enkel probleem met welke overheid ter wereld dan ook – behalve dan met de overheid die een probleem heeft met mij. Wat ik doe, is de waarheid blootleggen, en aantonen hoe ver Rwanda bereid is te gaan om mensen het zwijgen op te leggen. Vrijwel dagelijks geef ik interviews aan media, ik ben actief op sociale netwerken… Dat werk is schadelijk voor het imago van Rwanda en dat proberen ze te beschermen.’
In een reactie aan mediapartner Le Soir ontkent de Rwandese overheid met klem dat het Pegasus gebruikt.
Eén keer zie ik het lobby- en campagnewerk van Kanimba live in actie. Op een vrijdagmiddag begin juni belt haar vader vanuit zijn cel in Rwanda enkele minuten met zijn echtgenote en dochter in Kraainem. Rusesabagina vertelt dat gevangenisbeambten hem lieten weten dat zijn toegang tot water, voedsel en medicijnen zou worden afgesloten. Na het gesprek begint Kanimba in de woonkamer meteen rond te bellen. De volgende dag staat het nieuws al op de website van The New York Times – en tal van andere kranten wereldwijd.
Kagame: ‘Ik zou willen dat ik toegang had tot deze technologie’
Eind 2019 onthulde Financial Times dat ook de gsm van Placide Kayumba, een lid van de Rwandese oppositiepartij FDU-Inkingi, geïnfecteerd was met Pegasus. Dat had het Canadese Citizen Lab achterhaald. Ook Kayumba woont in België. Na de publicatie in Financial Times ontkende de Rwandese president Paul Kagame dat Rwanda Pegasus gebruikt. ‘Zoals alle landen doet Rwanda aan inlichtingenwerk. Wij hebben altijd geprobeerd onze vijanden te kennen en te weten wat zij doen, waar zij zich ook bevinden, binnen het kader van onze rechten. Om eerlijk te zijn, zou ik willen dat ik toegang had tot die technologie. Maar ze is erg duur en ik weet dat er betere manieren zijn om mijn geld uit te geven.’
‘Ik vernam dat overheden een smak geld betalen om Pegasus te gebruiken’, zegt Kanimba. ‘Maar ik ben gewoon maar Carine, 28 jaar, ik praat met mijn vrienden over tv-programma’s en online shopping. Komaan, het geld dat ze besteed hebben om mij in de gaten te houden, had zo veel beter gebruikt kunnen worden. Daarvan walg ik nog het meest: Rwandese overheid, jullie verspillen je tijd en geld aan mij, in plaats van de mensen te helpen die het nodig hebben. Help jullie bevolking en ga niet achter een meisje van 28 aan dat graag tweets verstuurt om het leven van haar vader te redden.’
Eén ding staat vast: de aanvallen op Kanimba’s telefoon gebeurden op een moment dat haar vader al achter de tralies was beland in Rwanda. Ze kunnen met andere woorden géén deel uitmaken van het gerechtelijk onderzoek naar de aantijgingen waarvoor Rusesabagina momenteel terechtstaat. Het proces in Rwanda loopt momenteel nog.
‘Alle mogelijke middelen’
In juni vroeg de aanklager in Rwanda een levenslange gevangenisstraf tegen Rusesabagina.
Eén element dat in het nadeel kan spelen van Rusesabagina is een YouTube-filmpje dat door zijn tegenstanders massaal wordt gedeeld op sociale media. ‘De tijd is voor ons gekomen om alle mogelijke middelen te gebruiken om verandering teweeg te brengen in Rwanda’, zegt Rusesabagina in de video van ruim zeven minuten. ‘Aangezien alle politieke middelen hebben gefaald, is het tijd om ons laatste redmiddel te proberen.’ Hij spreekt ook zijn steun uit voor de gewapende militie FLN, die verschillende dodelijke aanvallen heeft uitgevoerd in het zuidwesten van Rwanda, aan de grens met Burundi en Congo.
Kanimba kent het filmpje maar al te goed. ‘Dat is het enige wat ze in handen hebben. Maar “alle mogelijke middelen gebruiken” betekent niet “sta op en ga moorden”. Het zijn gewoon maar woorden. Mijn vader is een vredevolle man. Hij spreekt al vijftien jaar lang over vrede en verzoening. Hij is niet wat ze van hem willen maken.’
Zoom-college bespioneerd in de VS
In april 2021 werd de familie van Rusesabagina opgeschrikt door nog een surveillance-incident.
‘Mijn broer studeert aan de St. Mary’s University in San Antonio, Texas’, zegt Kanimba. ‘Voor het vak communicatie boog de klas zich over de #freerusesabagina-campagne. De prof had mijn moeder, mijn zus en nog enkele anderen van ons team uitgenodigd om in een Zoom-meeting de klas toe te spreken. Opmerkelijk was dat één deelnemer aan de Zoom-meeting de hele les door zweeg. Achteraf kon het veiligheidspersoneel van de universiteit achterhalen dat de anonieme toeschouwer had ingelogd vanuit Washington D.C.’
De voorzitter van de universiteit, Tom Mengler, maakte het voorval wereldkundig in een persbericht. Hij stelde dat de ongenode gast géén toestemming had om de klas bij te wonen, en identificeerde de man als de tweede secretaris op de Rwandese ambassade in Washington, D.C. De prof die de Zoom-meeting organiseerde, rapporteerde de zaak aan de FBI. Kanimba: ‘We hopen dat de diplomaat uit de VS zal worden gezet voor het illegaal bespioneren van Amerikaanse burgers.’
Gevraagd om een reactie op dat incident, gaf de Rwandese overheid geen commentaar.
Rwandese inlichtingenactiviteiten in België
Ook in België volgen de Staatsveiligheid en de militaire inlichtingendienst de activiteiten van de Rwandese inlichtingendiensten al jarenlang op. ‘De Staatsveiligheid bevestigt dat de Rwandese inlichtingendiensten in België actief zijn’, meldde voormalig Justitieminister Koen Geens (CD&V) in oktober 2019 nog aan het parlement. ‘Ze proberen zogenaamde politieke dreigingen van de Rwandese oppositie af te zwakken. De Staatsveiligheid volgt die activiteit op en werkt samen met de bevoegde overheden om de impact ervan te beperken. Onze inlichtingendiensten hebben verschillende onderzoeken uitgevoerd naar de aanwezigheid van doodseskaders, maar hebben daar geen concrete bewijzen voor gevonden. Er werden ook geen moorden gepleegd op ons grondgebied. In het verleden stonden enkele Rwandese opposanten onder close protection. Het federaal parket meldt dat het dossiers heeft behandeld over bedreigingen van bepaalde Rwandese staatsburgers op ons grondgebied.’
Kanimba haalt een proces-verbaal boven tafel. Het gaat om het verslag van een verhoor van haar vader door de Federale Gerechtelijke Politie van Brussel op 13 september 2018. Daarin vertelt Rusesabagina onder meer over eerdere doodsbedreigingen, drie inbraken in zijn huis in Kraainem en een verdacht verkeersongeval. Rusesabagina zegt ook dat hij getipt is over plannen om hem te vergiftigen en over een complot om beelden van kindermisbruik op zijn computer te installeren. Knack kon die informatie niet verifiëren.
Een ander incident rond Rwandese bedreigingen in België is eerder door Het Belang van Limburg onthuld. De krant berichtte dat de Canadese journaliste Judi Rever, die kritisch schrijft over Paul Kagame, tijdens een bezoek aan België in juli 2014 bescherming kreeg van de Staatsveiligheid. Rever was in Europa om Rwandese opposanten te interviewen. Het Orgaan voor de Coördinatie en Analyse van de Dreiging (OCAD) had niveau drie voor haar ingesteld (‘de dreiging is ernstig’). Heel haar verblijf werd ze beschermd door twee protectieofficieren van de Staatsveiligheid. Volgens Rever kwam de bedreiging uit de Rwandese ambassade in Brussel.
Psychologische impact
Die voorgeschiedenis maakt duidelijk dat je het best niet lichtzinnig omgaat met informatie over surveillance. Hoe doet Kanimba dat, leven met de wetenschap dat ze maandenlang van nabij in de gaten is gehouden door een spion in haar broekzak? We spreken opnieuw met haar af in Kraainem.
‘Ik beschouw die surveillance als nog eens een poging om ons af te leiden. Want nu moet ik mij bezighouden met maatregelen om spionage te ontwijken. Ik heb een nieuwe telefoon gekocht, mijn paswoorden veranderd, nam extra veiligheidsmaatregelen – maar daarover kan ik natuurlijk niet in detail gaan. Hoefde ik me daar niet mee bezig te houden, dan zou ik productiever zijn. Ze leiden me dus af van mijn hoofdopdracht: mijn vader vrij krijgen.’
Kanimba zegt dat ze de Pegasus-spionage ook als een ‘inbreuk op haar privacy’, een ‘schending van haar mensenrechten’, én als intimidatie ziet. Kanimba: ‘Natuurlijk is er psychologische impact. Het is niet zo gemakkelijk. Ik probeer het hoofd koel te houden. Toen ik informatie over Pegasus opzocht en besefte wat de spyware allemaal kan, begon ik me ook vragen te stellen. Weten ze dit? Hebben ze toegang tot dat? Vooral dat ze me fysiek kunnen volgen, dat vind ik een beangstigende gedachte. Ik wou dat ik er niet mee bezig hoefde te zijn. Ik snap heel goed hoe zoiets echt schadelijk kan zijn – het idee dat je géén privacy hebt, dat je weet dat alles wat je op je gsm intikt door iemand anders gelezen kan worden. Maar mij kan het niet schelen, want ik doe dat allemaal om mijn vader zijn leven te redden. Ik zal me niet laten intimideren. “Kijk maar lekker mee op mijn telefoon, ik verdedig toch alleen maar de waarheid.” Die houding proberen we al vanaf het begin aan te nemen: we weten dat het Rwandese regime psychologische controle probeert uit te oefenen, onder meer door propaganda. Maar voor die controle zal ik niet vallen. Ik wil niet dat de psychologische impact me afremt. Het doet me niets.’
Toch krijgt Kanimba even de krop in de keel. Haar ogen glanzen. ‘Ze mogen mijn telefoon zo vaak checken als ze willen… zo lang mijn vader maar blijft leven. Dat is het enige wat telt voor mij. In een andere situatie zou ik zelf ook compleet paranoïde worden. Maar het gaat niet om de spionagedreiging tegen mij, het gaat om de bedreiging tegen mijn vaders leven.’
Ze herpakt zich. ‘Ik zal me niet laten afremmen. Maar ik maak me wél zorgen over andere mensen, die met mij in contact staan en die de campagne ondersteunen om mijn vader vrij te krijgen. Sommigen zijn het Rwandese regime ontvlucht. Hun leven is in gevaar. Het idee dat de Rwandese overheid toegang zou kunnen hebben tot informatie over die mensen, dat doet me pijn.’
We vroegen Kanimba om discreet om te gaan met de informatie over de infectie van haar telefoon tot de publicatie van dit onderzoeksproject. Maar we gingen wel akkoord dat ze alvast contacten zou informeren die anders mogelijk gevaar zouden lopen – én dat ze de advocaten van haar juridisch team op de hoogte zou brengen.
Een lege stoel in huis
‘Het plan is om een klacht in te dienen, zowel in België als in de VS’, zegt Kanimba.
Kanimba’s Belgische advocaat, Vincent Lurquin, bevestigt: ‘We gaan inderdaad een klacht indienen en ons burgerlijke partij stellen bij een Belgische onderzoeksrechter.’
‘We zullen alles doen wat wettelijk gezien mogelijk is om die spionage aan te klagen’, zegt Kanimba. ‘Zij die hier achter zitten, mogen hun verantwoordelijkheid niet ontlopen. Maar nogmaals: verder wil ik er mijn emotionele energie niet aan verspillen door boos te zijn, want dat zou voor hen een overwinning betekenen. Ik probeer positief te blijven. Maar toegegeven: dat lukt niet elke dag. We hebben pijn.’
Kanimba wijst naar het einde van de tafel. ‘Er staat een lege stoel in ons huis. Ze hebben onze familie al zo veel aangedaan. En dan komen ze ook nog eens achter mij aan. Waarom? Wat meer wil je nog van ons? Jullie hebben ons alles al afgenomen. Dit toont hoe slecht dictaturen zijn. Ik zie deze aanval op mij als een manier om me te vertragen en te intimideren. Maar weet je wat? Het werkt niet. Het heeft ook nooit gewerkt tegen mijn vader. En hij heeft ons goed opgevoed. Dus bij mij zal het ook niet lukken.’
Reactie van NSO Group en de Rwandese overheid
NSO Group, het Israëlische bedrijf dat Pegasus-licenties verkoopt aan overheden, stelt dat het géén zicht heeft op de doelwitten die zijn klanten selecteren. Het zegt ook dat het elk geval van mogelijk misbruik van Pegasus grondig onderzoekt – en optreedt indien nodig. Het geeft geen commentaar op welke landen klant zijn van NSO, en reageerde ook niet op het concrete voorbeeld van Kanimba dat we voorlegden. Bovendien stelt NSO Group de betrouwbaarheid van de forensische analyses van Amnesty International Security Lab ter discussie.
In een reactie aan onze mediapartner Le Soir stelt Vincent Biruta, Rwandees minister van Buitenlandse Zaken en Internationale Samenwerking: ‘Rwanda gebruikt dit softwaresysteem niet, zoals we in november 2019 al bevestigden, en we bezitten deze technische capaciteit in geen enkele vorm. Deze valse beschuldigingen zijn deel van een lopende campagne om spanningen te veroorzaken tussen Rwanda en andere landen, en om desinformatie over Rwanda te verspreiden in binnen- en buitenland. Dit is smaad, en genoeg is genoeg. Jullie vragen over het lopende terrorismeproces van Paul Rusesabagina en zijn twintig medebeschuldigden zijn door de rechtbank uitvoerig behandeld.’
Het Pegasus Project over cyberspionage: alles wat u moet weten
Fout opgemerkt of meer nieuws? Meld het hier