Pegasus (spyware)

Pegasus is een spyware-product, ontwikkeld door het Israëlische cyberwapenbedrijf NSO Group, dat sedert 2014 zonder toedoen van de gebruiker kan worden geïnstalleerd op mobiele telefoons en andere apparaten die draaien op iOS en Android. Pegasus werd in augustus 2016 ontdekt. Onderzoeksjournalisten zijn in juli 2021 het Pegasus Project gestart om het misbruik van de Pegasus-software te onderzoeken.[1]

In maart 2020 plaatste de organisatie Verslaggevers Zonder Grenzen (RSF) NSO Group op de lijst van "Vijanden van de Vrije Pers", onder andere omdat Pegasus door kwaadwillige regimes kan worden misbruikt om journalisten, politici van de oppositie en burgers te bespioneren en onderdrukken.[2]

De spyware is vernoemd naar het mythische gevleugelde paard Pegasus.

Achtergrond

Als gevolg van de onthullingen in 2013 door Edward Snowden over de wereldwijde digitale spionage door de Amerikaanse regering, nam de toepassing van end-to-end-encryptie bij communicatie via email, apps, telefoons en dergelijke een hoge vlucht. Regeringen werden daardoor belemmerd in hun afluisterpraktijken en zochten wanhopig naar een oplossing.[3] Documenten uit 2013 tot 2016, die in 2017 door WikiLeaks werden gepubliceerd, suggereren dat de CIA en bevriende Geheime Diensten spyware ontwikkelden om op Apple en Android-smartphones de encryptie te omzeilen en er in binnen te dringen om audio en berichten te verzamelen voordat het kan worden versleuteld of nadat het is ontsleuteld.[4]

Een programma met de code-naam "Weeping Angel", dat samen met de Britse Geheime Dienst werd ontwikkeld, is bedoeld om smart-tvs van Samsung te hacken en zo te veranderen in afluisterapparaten.[4]

Doel

De Pegasus spyware is speciaal bedoeld om heimelijk informatie te verzamelen van mobiele apparaten als telefoons, tablets, laptops en smartwatches. In plaats van de versleutelde data te onderscheppen, maakt Pegasus het de gebruikers ervan mogelijk toegang te krijgen tot het apparaat zelf. De hacker krijgt volledige controle over het apparaat, schijnbaar om toegang te krijgen tot de communicatie en bewegingen van terroristen en criminelen.[3]

NSO noemt het een mythe dat Pegasus gebruikt wordt voor het massaal controleren van mensen. Volgens haar worden alleen gegevens over individuele verdachte criminelen en terroristen verzameld.[5] Onder het mom van publieke of nationale veiligheid en vage, geheime concepten kan een land echter de vage definitie van terrorisme gebruiken om iedere tegenstander van het regime of lastposten als journalisten en mensenrechten-activisten als doelwit uit te kiezen.[6]

Volgens NSO is Pegasus alleen bedoeld voor het legitiem opsporen van criminelen en terroristen en is ander gebruik in strijd met de gebruiksvoorwaarden. In haar rapport van 2021 stelt Amnesty International echter dat NSO Group's bewering dat de spyware alleen gebruikt wordt om terrorisme en misdaad op te sporen niet klopt.[1] Volgens Amnesty wordt de spyware van NSO Group gebruikt om mensenrechten-schendingen over de hele wereld op grote schaal mogelijk te maken en is het het favoriete wapen van repressieve regeringen die journalisten en activisten het zwijgen willen opleggen.[7]

Werking

De hacker krijgt volledige controle over het apparaat.[3] Met Pegasus kan de hacker online alle informatie uit het gehackte mobiele apparaat ophalen, zoals wachtwoorden, sms'jes, foto's, contactenlijsten en locatiedata.[8][9] De software kan ook de microfoon en camera op afstand inschakelen of ongezien screenshots maken. Het apparaat kan zo worden veranderd in afluisterapparatuur, door via de microfoon ongemerkt gesprekken op te nemen en door te sturen, of het functioneert als een geheime camera.

De communicatie met een andere gebruiker kan rechtstreeks door de software worden uitgelezen, zelfs wanneer er sprake is van een beveiligde versleutelde verbinding.[10] Behalve encryptie, kan Pegasus ook het gebruik van VPN omzeilen.

Besmetting

De kracht van het programma zit onder meer in het benutten van Zerodayattacks, onbekende zwakke plekken in het besturingssysteem van het apparaat.[3] Wanneer Pegasus door een kwaadwillende partij heimelijk op een mobiele telefoon, tablet of computer wordt geïnstalleerd of door een gebruiker onbewust wordt gedownload, neemt het programma het apparaat zelfstandig over, zonder dat hiervoor een extra handeling hoeft te worden verricht. Het slachtoffer kan op diverse manieren via spam of phishing worden verleid tot het downloaden van de malware.[3]

Besmetting met Pegasus blijkt praktisch onmogelijk te vermijden. Beveiligingsdeskundigen adviseren het besturingssysteem wanneer mogelijk te updaten. Pegasus bleek echter telkens weer een nieuw beveiligingslek te ontdekken. “Het blijft een kat-en-muisspel tussen de hacker en de ontwikkelaar van het besturingssysteem”, al zijn sommige experts van oordeel dat ook de fabrikanten meer inspanningen moeten leveren.[11]

Met name Apple is een primair doelwit van Pegasus gebleken. Volgens het Pegasus Project weet de Pegasus-software het iOS besturingssysteem van Apple te omzeilen.[12] [13] In het slechtste geval rest alleen de vernietiging van het besmette toestel.[14] Evenwel is gebleken dat apparaten met het Android-besturingssysteem evenzeer doelwit van de malware zijn. Daarmee is het gevaar voor beide systemen vergelijkbaar.[15][10] Bij beide systemen wordt gebruik gemaakt van rooting, waarbij de hacker root- of 'superuser'-rechten verkrijgt waarmee de hacker de volledige controle over het apparaat krijgt.

Zero-click exploits

Pegasus is zodanig ontworpen, dat het zichzelf activeert zonder dat de gebruiker er eerst op moet klikken. Vandaar de term "zero-click exploit" of "zero-click infection" ("nul-klikken infectie").[9] In september 2021 werd door Citizen Lab zo'n exploit, gericht op iOS en MacOS gerapporteerd, waarbij gebruik werd gemaakt van een '.PSD'- of '.PDF'-document dat is vermomd als een '.gif'-bestand, dat gewoonlijk wordt gebruikt voor een afbeelding.[16][13] Op Apple-apparaten zonder beveiligingsupdate kan Pegasus dan zonder verder aanklikken binnendringen.

Zero-click speelt in op de toenemende alertheid van gewaarschuwde gebruikers. Vooral regeringen geven de voorkeur aan deze stille methode. Bij een exploit wordt misbruik gemaakt van bugs in populaire apps als iMessage, WhatsApp, and FaceTime. Het kan zo binnendringen in berichten-systemen als Gmail, Facebook, WhatsApp, FaceTime, Viber, WeChat, Telegram en email-apps.[3]

Pegasus kan zichzelf ook weer van het apparaat verwijderen wanneer het antivirus bespeurt, of de communicatie met de server van de hacker niet binnen 60 dagen functioneert. Het kan ook op afstand door de hacker de opdracht krijgen zichzelf te vernietigen, bijvoorbeeld als het niet het bedoelde apparaat is.[10][15]

Doelwitten

Personen

De journalisten wisten de hand te leggen op een database met 50.000 namen van mogelijke doelwitten van de spyware. Op de lijst stonden onder meer de Franse president Emmanuel Macron, Robert Malley, hoofdonderhandelaar van president Biden inzake Iran, de verloofde van de vermoorde journalist Jamal Khashoggi, leiders van de Hongaarse[17] en van de Poolse oppositie,[18] en een aantal journalisten, advocaten, mensenrechtenactivisten, dissidenten en oppositieleiders. Ook de half-Belgische dochter van Paul Rusesabagina, de man achter Hotel Rwanda, zou geviseerd zijn.[19][14] Er stonden minstens 10 staatshoofden op de lijst, naast diplomaten, politci en regeringsfunctionarissen.[20] De Israëlische politie bleek de spyware ingezet te hebben tegen prominenten, onder wie de zoon van Benjamin Netanyahu.[21]

In 2022 raakte bekend dat ook Catalaanse politici waren afgeluisterd, mogelijk op last van de Spaanse overheid.[22]

Apple

Bij Apple gaat het om iPads, iPods, iPhones, Apple Watches en Mac computers. Betroffen is met name het op end-to-end-encryptie gebaseerde iMessage-systeem, dat speciaal voor Apple-platforms is ontworpen.[13]

WhatsApp

In 2021 spande Facebook een rechtszaak tegen NSO Group aan op beschulding van misbruik van Pegasus via het hacken van accounts op zijn WhatsApp-platform.[2]

De hackers

NSO Group beweert dat het de software alleen aan regeringen verkoopt die zich aan de mensenrechten houden. Voor alle verkopen wordt een exportvergunning afgegeven door de Israëlische regering.

Het Pegasus Project noemt Mexico, Azerbeidzjan, Kazachstan, Hongarije, India, Verenigde Arabische Emiraten, Saoedi-Arabië, Bahrein, Marokko, Rwanda en Togo als landen die de software hebben ingezet.[20][7]

Tegenmaatregelen

Onder meer Hoog Commissaris voor de Mensenrechten Michelle Bachelet riep alle regeringen op om de software niet te gebruiken; klokkenluider Edward Snowden drong aan op een verbod om dergelijke spyware te verhandelen,[19] zoals dat gebeurt door bedrijven als Zerodium. Verslaggevers Zonder Grenzen riep in juli 2021 op tot het stoppen met de export van Israëlische spyware zoals Pegasus.[23]

Hoewel er geen effectieve manier lijkt te zijn om aanvallen met Pegasus te voorkomen, heeft Verslaggevers Zonder Grenzen een aantal tips gepubliceerd over wat te doen bij besmetting en wat verstandige voorzorgsmaatregelen zijn voor mogelijke doelwitten. Het opnieuw opstarten van de iPhone of een reset van de smartphone kan helpen.[24]

Amnesty ontwikkelde open source detectie-software onder de naam Mobile Verification Toolkit (MVT). Deze is ook gebruikt als basis voor de te downloaden open source "iMazing", niet voor Android-apparaten.[25]

Pegasus Project

Zie Pegasus Project voor het hoofdartikel over dit onderwerp.

In juli 2021 ging het Pegasus Project van start met de publicatie van zijn eerste rapport over de toepassing van de Pegasus-spyware. Het is een internationaal samenwerkingsverband van onderzoeksjournalisten en mediabedrijven uit zo'n 20 landen. Het project wordt gecoördineerd door de Franse non-profitorganisatie Forbidden Stories met technische ondersteuning van Amnesty International's Security Lab. De onderzoeksmethode van Amnesty is door Citizen Lab onafhankelijk beoordeeld en goed bevonden.[26]

De organisaties Citizen Lab, Organized Crime and Corruption Reporting Project (OCCRP) en Amnesty International publiceren rapporten met uitleg over de werking van de spyware, de organisatie er achter technische details over de ontwikkelingen en onderzoek naar slachtoffers van Pegasus.[7]

Zie ook

  • PRISM
  • Trojaans paard (computers)

Externe link

  • Pegasus: de val van de ultieme spion Nos.nl, 12-2-2022
Bronnen, noten en/of referenties
  1. a b Forensic Methodology Report: How to catch NSO Group’s Pegasus". Amnesty International, 18 juli 2021
  2. a b Zionism or Cynicism? The Seventh Eye, 29 apr 2021
  3. a b c d e f How Does Pegasus Work? OCCRP, 18 juli 2021
  4. a b WikiLeaks Releases Trove of Alleged C.I.A. Hacking Documents. NYT, 7 maart 2017.
    ", WikiLeaks said that the C.I.A. and allied intelligence services have managed to compromise both Apple and Android smartphones, allowing their officers to bypass the encryption on popular services such as Signal, WhatsApp and Telegram. According to WikiLeaks, government hackers can penetrate smartphones and collect “audio and message traffic before encryption is applied.” [...] , by penetrating the user’s phone, the agency can make the encryption irrelevant by intercepting messages and calls before their content is encrypted, or, on the other end, after messages are decrypted"
  5. NSO Group Transparency and Responsibility Report. NSO Group, 30 juni 2021
  6. The Myth of Pegasus: journalists safety and press freedom a modern chimaera? Noémie Krack, KU Leuven, 27 juli 2021
  7. a b c Pegasus-project: spyware NSO Group gebruikt om activisten, journalisten en politieke leiders wereldwijd te volgen. Amnesty International Nederland, 19 juli 2021
  8. Veiligheidsexpert over Pegasus-schandaal: "Niet geschrokken van omvang, als je kijkt naar capaciteit van die software". vrtnws.be, 23 juli 2021. archief
  9. a b Apple Issues Emergency Security Updates to Close a Spyware Flaw. New York Times, 13 sep 2021
  10. a b c Pegasus: The ultimate spyware for iOS and Android. John Snow, kaspersky.com, 11 apr 2017
  11. EFF: Pegasus-spyware laat zien dat veiligere telefoons nodig zijn (23 juli 2021).
  12. Report: Pegasus Spyware Hack Based on Zero-Click iOS 14.6 iMessage Exploit Sold to Governments Worldwide. iphonehacks.com, 19 juli 2021
  13. a b c Apple releases update fixing NSO spyware vulnerability affecting Macs, iPhones, iPads and Watches. ZDNet, 13 sep 2021
  14. a b Spionagesoftware Pegasus wordt wereldwijd ingezet tegen journalisten en activisten – kun je een inbraak op jouw smartphone voorkomen? Business Insider, 19 juli 2021
  15. a b Pegasus for Android: the other side of the story emerges. Lookout, apr 2017
  16. FORCEDENTRY NSO Group iMessage Zero-Click Exploit Captured in the Wild. Citizen Lab, 13 sep 2021
  17. ‘Hongaarse regering maakt gretig gebruik van Pegasus om journalisten af te luisteren’. de Volkskrant (19 juli 2021). Gearchiveerd op 21 juli 2021.
  18. Pools Pegasus-spionageschandaal zet verkiezingsuitslag op losse schroeven. trouw.nl (26 december 2021). Gearchiveerd op 26 december 2021.
  19. a b Schandaal Pegasus: journalisten, activisten en zelfs rechterhand Biden op spionagelijst. De Telegraaf (19 juli 2021).
  20. a b About the Project. OCCRP, 18 juli 2021
  21. Pegasus-schandaal in Israël breidt zich uit: politie zou prominente Israëliërs hebben gehackt. trouw.nl (7 februari 2022).
  22. Catalaanse regering eist opheldering van Spanje over tientallen hacks met Pegasus-spyware. de Volkskrant (18 april 2022).
  23. Pegasus: RSF calls for Israeli moratorium on spyware exports. Reporters Without Borders, 21 juli 2021
  24. RSF’s recommendations for those who could be spied on by Pegasus. RSF (update 26 juli 2021)
  25. Detecting Pegasus Spyware with iMazing . imazing.com, 3 aug 2021
  26. Independent Peer Review of Amnesty International’s Forensic Methods for Identifying Pegasus Spyware. Citizen Lab, 18 juli 2021