Je moet er niet aan denken: iemand kan op afstand alle inhoud van je smartphone meelezen. Zonder dat je iets merkt en zonder dat je er iets tegen kunt doen. Een groot datalek verklapte het bestaan van dit soort malware: Pegasus. Waarbij de controverse vooral zit in het feit dat de surveillancemalware vooral gebruikt werd door overheden.
Als we denken aan cyberaanvallen, denken we vaak aan China en Rusland. Die de intensiteit van hun ontkenningen lijken te koppelen aan de hoeveelheid bewijslast van de aanval. Maar natuurlijk wassen Westerse landen hun handen niet in onschuld als het aankomt op cyberaanvallen. Hierbij natuurlijk als grootste voorbeeld de enorme ongeoorloofde (en mensenrechten-schendende) surveillance, hacks en aanvallen die worden uitgevoerd door de Amerikaanse NSA, Britse GCHQ en Westerse partners, die dankzij Edward Snowden aan het licht kwamen.
NSO Group: malware uit Israël
Het nieuwste overheidsmalware-schandaal komt uit Israëlische hoek. Ongebruikelijk, maar ook niet helemaal onverwacht. Al eerder is Israël op de kaart gezet als het aankomt op cyberaanvallen, dankzij de Stuxnet-malware. Deze malware was ontzettend geavanceerd en ontwikkeld om Iraanse kernreactoren, die gebruikt werden voor het Iraanse nucleaire programma, stil te leggen. Met succes. Stuxnet werd ontdekt en de kwetsbaarheden die werden gebruikt om de malware zijn werk te laten doen kwamen aan het licht. Hierdoor konden cybercriminelen aan de haal met code en kwetsbaarheden voor het ontwikkelen van hun eigen malware, wat een kettingreactie aan cybercrime veroorzaakte.
Achter Pegasus zit de Israëlische NSO Group, een techfirma die naar eigen zeggen surveillancetools ontwikkelt en licenseert aan buitenlandse overheden. Naar eigen zeggen alleen om criminele- en terreurorganisaties te bestrijden. Al blijkt uit de lekken dat niet alle overheidsafnemers even betrouwbaar zijn en veel doelwitten juist geen criminelen of terroristen waren, maar ook vaak journalisten en dissidenten. De NSO Group verschuilt zich achter de onduidelijkheid van de afkomst van de lekken, die door veel media (waaronder The Guardian) naar buiten zijn gebracht.
In deze datalekken bevindt zich een database van 50.000 telefoonnummers van vermeende doelwitten sinds 2016. Forbidden Stories, een Franse nonprofit journalistenorganisatie en Amnesty International kregen de lijst in handen en werkte met 16 mediabureau’s samen om hierover te berichten.Jaren na de onthullingen van Edward Snowden blijkt er in praktijk niks verbeterd.
Wat doet Pegasus?
Net als Stuxnet valt bij Pegasus op dat de malware ontzettend geavanceerd is; waarbij eigenlijk iedereen met een smartphone doelwit kan zijn. Ook wordt de malware gebruikt om gericht te schieten. Specifieke doelwitten worden uitgezocht voor de cyberaanval. De onderzoekers die Pegasus aan het licht brachten hadden de grootste moeite om de malware te achterhalen. Zo moest er forensisch onderzoek aan te pas komen in het veiligheidslaboratorium van Amnesty International om de activiteiten van de malware te achterhalen. Hoe de malware zich op een toestel nestelt, daar is nog niks over bekend. Evenals de vraag wie de opdrachtgever is. Doelwitten en uitvoerders van Pegasus zijn vooral aan het licht gekomen door een datalek.
De malware weet zich op een smartphone te nestelen door gebruik te maken van kwetsbaarheden in het toestel en geïnstalleerde apps. Eventueel is het ook mogelijk om de malware op een toestel te installeren door het doelwit een link te laten openen die naar de malware verwijst.
Wanneer Pegasus zich op een smartphone heeft genesteld kan het in theorie overal bij. Je sms’jes, mails, chats (zowel WhatsApp als iMessage), bestanden, foto’s en video’s, je contactenlijst, agenda en systeemonderdelen zoals je locatiegegevens, microfoon, camera en zelfs telefoonoproepen opnemen.
Het malware-arsenaal is dusdanig uitgebreid dat het niet uit maakt of het doelwit een iPhone of een Android-smartphone gebruikt.Ondanks Apple’s heftige security-marketing, blijkt geen enkel apparaat veilig. Ook iPhones niet.
Wie gebruikt Pegasus?
De NSO Group doet geen uitspraken over wie klanten zijn, al stelt het bedrijf wel dat het zestig klanten heeft verspreid over veertig landen. Uit onderzoek van de data werden meerdere overheden geïdentificeerd, waaronder Mexico, Marokko, Hongarije, India, Saudi Arabië en Rwanda. Een divers palet aan overheden, waaronder landen die worstelen met persvrijheid en daarom happig zijn op tools als deze om journalisten (en hun contacten) te volgen. Het feit dat de malware werd aangetroffen op smartphones van journalisten geeft aan dat dit ook gebeurde. Maar ook rechters, mensenrechtenactivisten, zakenlieden, diplomaten en bewindslieden bleken doelwit te zijn. De komende weken zullen meer verhalen uit de doeken worden gedaan over mogelijke doelwitten.
Ook bleek in april 2022 dat minstens vijf EU-ambtenaren doelwit waren van Pegasus. Hieronder de naam Didier Reynders; een van de commissarissen van de Europese Commissie. Wie er achter de aanval zit, blijft onbekend. Ook wast de NSO Group de handen in onschuld. Het Europees Parlement is aan het onderzoeken of de spyware gebruikt wordt in de Europese Unie.
Wat kun je zelf doen?
We worden allemaal opgevoed met verstandig gedrag op het internet. Bescherm je pc met een virusscanner, druk niet zomaar op linkjes, laat niet overal je gegevens achter, druk niet altijd op Ok en wees voorzichtig met wat je installeert. Pegasus is een bevestiging, dat als je een interessant doelwit bent, je altijd besmet kan raken. Ongeacht je goede internetgewoontes. Het is maar net hoe veel een opdrachtgever er voor over heeft je te volgen.
Omdat de malware onzichtbaar is, heb je zelf niets door van de malware-besmetting of -werking. De reden waarom er zo gericht werd geschoten met Pegasus is waarschijnlijk om de malware en gebruikte kwetsbaarheden onder de pet te houden. Dat is beangstigend. Ook dat overheden het gebruiken om te spioneren. Na de onthullingen van Edward Snowden was de reactie namelijk dat overheids-cyberaanvallen juist gebruikt worden voor veiligheid. Bijvoorbeeld door tegen terrorisme. De doelwittenlijst laat juist zien dat overheidsmalware nog altijd gebruikt wordt voor het tegenovergestelde, en dat het absoluut niet alleen uit de bekende Chinese en Russische hoek komt.
Nu de malware aan het licht is gekomen, ontstaat er een ander probleem. Na Stuxnet werd er veel nieuwe malware ontwikkeld die stukjes code en kwetsbaarheden gebruikte uit de malware. Nu Pegasus is ontdekt kan dit ook weer het geval zijn. Als iemand met kwade intenties de malware achterhaalt en ontrafelt kan deze gebruikt worden voor malware op grote schaal, zoals verspreiding van ransomware.
Overheidsmalware wordt niet in Nederland gebruikt… Toch?
Of er Nederlandse doelwitten zijn is nog onduidelijk. Ook is er nog niks bekend of Nederlandse overheden en geheime diensten klant zijn bij de NSO Group. Er is echter genoeg reden tot zorg. De kans is aanwezig dat Nederlandse overheden en geheime diensten überhaupt geen klant zijn bij de NSO Group. Het is echter naïef om te denken dat er hier niet zulke malware ingezet wordt. Deze kan mogelijk zelf ontwikkeld worden, in samenwerking worden gebruikt met andere geheime diensten of afgenomen worden bij andere bedrijven.
Zo probeerde de Volkskrant te achterhalen of de Nederlandse politie gebruikmaakt van hacksoftware, waaronder Pegasus. Via de Wet Openbaarheid Bestuur (WOB) probeerde de journalisten dit te achterhalen. Ondanks dat dit gegevensverzoek zelfs door de rechter is bekrachtigd, weigert de politie nog altijd openheid van zaken te geven. De dwangsom (opgelopen tot 15.000 euro) ten spijt.
Ook het demissionaire kabinet hield in september 2021 desgevraagd zijn kaken op elkaar op de vraag of de overheid Pegasus inzet voor spionage.
Sleepwet zet deur open
Ondanks dat regels aan de laars gelapt worden aangaande de WOB-aanvraag is het bijzondere dat Nederlandse geheime diensten mogen dit gewoon gebruiken. Zonder dat ze hierbij duidelijk hoeven te maken welke tools en kwetsbaarheden er gebruikt worden. Dat laatste zou bijdragen aan een veiligere digitale wereld voor iedereen. De controversiële Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017), ook wel de sleepwet genoemd geeft hier groen licht voor. Nadat de wet in een raadgevend referendum in 2018 werd afgekeurd, is deze toch in gebruik genomen nadat er (o.a.) een toetsingscommissie (TIB) in het leven werd geroepen.
Toch heeft de wet geheime diensten vrijheid gegeven ook dit soort malware in te zetten. Zo mag van iedereen communicatie worden afgetapt. Ook van niet-verdachte burgers en mensen die zich in de buurt van een verdacht persoon hebben begeven. Er mag worden ingebroken op apparatuur én verzamelde gegevens mogen gedeeld worden met Buitenlandse regimes zonder dat gespecificeerd wordt welke. Ook hoeft er niets te worden gedeeld over welke tools of schimmige bedrijven worden ingezet voor de hacks en infecties.
Pegasus: het topje van de ijsberg
De eerste berichten over de Pegasus malware zijn onlangs verschenen. Meerdere media-organisaties werken samen met Amnesty International en Forbidden Stories om de misstanden aan het licht te brengen.