Pegasus (spyware)

Uit Wikipedia, de vrije encyclopedie
Naar navigatie springen Naar zoeken springen

Pegasus is een spyware-product, ontwikkeld door het Israëlische cyberwapenbedrijf NSO Group, dat sedert 2014 zonder toedoen van de gebruiker kan worden geïnstalleerd op mobiele telefoons en andere apparaten die draaien op iOS en Android. Pegasus werd in augustus 2016 ontdekt. Onderzoeksjournalisten zijn in juli 2021 het Pegasus Project gestart om het misbruik van de Pegasus-software te onderzoeken.[1]

In maart 2020 plaatste de organisatie Verslaggevers Zonder Grenzen (RSF) NSO Group op de lijst van "Vijanden van de Vrije Pers", onder andere omdat Pegasus door kwaadwillige regimes kan worden misbruikt om journalisten, politici van de oppositie en burgers te bespioneren en onderdrukken.[2]

De spyware is vernoemd naar het mythische gevleugelde paard Paard van Troje – het is als een Trojaans paard dat 'door de lucht vliegt' om telefoons te infecteren.[3]

Achtergrond[bewerken | brontekst bewerken]

Als gevolg van de onthullingen in 2013 door Edward Snowden over de wereldwijde digitale spionage door de Amerikaanse regering, nam de toepassing van end-to-end-encryptie bij communicatie via email, apps, telefoons en dergelijke een hoge vlucht. Regeringen werden daardoor belemmerd in hun afluisterpraktijken en zochten wanhopig naar een oplossing.[4] Documenten uit 2013 tot 2016, die in 2017 door WikiLeaks werden gepubliceerd, suggereren dat de CIA en bevriende Geheime Diensten spyware ontwikkelden om op Apple en Android-smartphones de encryptie te omzeilen en er in binnen te dringen om audio en berichten te verzamelen voordat het kan worden versleuteld of nadat het is ontsleuteld. [5]

Een programma met de code-naam "Weeping Angel", dat samen met de Britse Geheime Dienst werd ontwikkeld, is bedoeld om smart-tvs van Samsung te hacken en zo te veranderen in afluisterapparaten.[5]

Doel[bewerken | brontekst bewerken]

De Pegasus spyware is speciaal bedoeld om heimelijk informatie te verzamelen van mobiele apparaten als telefoons, tablets, laptops en smartwatches. In plaats van de versleutelde data te onderscheppen, maakt Pegasus het de gebruikers ervan mogelijk toegang te krijgen tot het apparaat zelf. De hacker krijgt volledige controle over het apparaat, schijnbaar om toegang te krijgen tot de communicatie en bewegingen van terroristen en criminelen.[4]

NSO noemt het een mythe dat Pegasus gebruikt wordt voor het massaal controleren van mensen. Volgens haar worden alleen gegevens over individuele verdachte criminelen en terroristen verzameld.[6] Onder het mom van publieke of nationale veiligheid en vage, geheime concepten kan een land echter de vage definitie van terrorisme gebruiken om iedere tegenstander van het regime of lastposten als journalisten en mensenrechten-activisten als doelwit uit te kiezen.[7]

Volgens NSO is Pegasus alleen bedoeld voor het legitiem opsporen van criminelen en terroristen en is ander gebruik in strijd met de gebruiksvoorwaarden. In haar rapport van 2021 stelt Amnesty International echter dat NSO Group's bewering dat de spyware alleen gebruikt wordt om terrorisme en misdaad op te sporen niet klopt.[1] Volgens Amnesty wordt de spyware van NSO Group gebruikt om mensenrechten-schendingen over de hele wereld op grote schaal mogelijk te maken en is het het favoriete wapen van repressieve regeringen die journalisten en activisten het zwijgen willen opleggen.[8]

Werking[bewerken | brontekst bewerken]

De hacker krijgt volledige controle over het apparaat.[4] Met Pegasus kan de hacker online alle informatie uit het gehackte mobiele apparaat ophalen, zoals wachtwoorden, sms'jes, foto's, contactenlijsten en locatiedata. [9][10] De software kan ook de microfoon en camera op afstand inschakelen of ongezien screenshots maken. Het apparaat kan zo worden veranderd in afluisterapparatuur, door via de microfoon ongemerkt gesprekken op te nemen en door te sturen, of het functioneert als een geheime camera.

De communicatie met een andere gebruiker kan rechtstreeks door de software worden uitgelezen, zelfs wanneer er sprake is van een beveiligde versleutelde verbinding.[11] Behalve encryption, kan Pegasus ook het gebruik van VPN omzeilen.

Besmetting[bewerken | brontekst bewerken]

De kracht van het programma zit onder meer in het benutten van Zerodayattacks, onbekende zwakke plekken in het besturingssysteem van het apparaat.[4] Wanneer Pegasus door een kwaadwillende partij heimelijk op een mobiele telefoon, tablet of computer wordt geïnstalleerd of door een gebruiker onbewust wordt gedownload, neemt het programma het apparaat zelfstandig over, zonder dat hiervoor een extra handeling hoeft te worden verricht. Het slachtoffer kan op diverse manieren via spam of phishing worden verleid tot het downloaden van de malware.[4]

Besmetting met Pegasus blijkt praktisch onmogelijk te vermijden. Beveiligingsdeskundigen adviseren het besturingssysteem wanneer mogelijk te updaten. Pegasus bleek echter telkens weer een nieuw beveiligingslek te ontdekken. “Het blijft een kat-en-muisspel tussen de hacker en de ontwikkelaar van het besturingssysteem”, al zijn sommige experts van oordeel dat ook de fabrikanten meer inspanningen moeten leveren.[12]

Met name Apple is een primair doelwit van Pegasus gebleken. Volgens het Pegasus Project weet de Pegasus-software het iOS besturingssysteem van Apple te omzeilen.[13] [14] In het slechtste geval rest alleen de vernietiging van het besmette toestel.[15] Evenwel is gebleken dat apparaten met het Android-besturingssysteem evenzeer doelwit van de malware zijn. Daarmee is het gevaar voor beide systemen vergelijkbaar.[16][11] Bij beide systemen wordt gebruik gemaakt van rooting, waarbij de hacker root- of 'superuser'-rechten verkrijgt waarmee de hacker de volledige controle over het apparaat krijgt.

Zero-click exploits[bewerken | brontekst bewerken]

Pegasus is zodanig ontworpen, dat het zichzelf activeert zonder dat de gebruiker er eerst op moet klikken. Vandaar de term "zero-click exploit" of "zero-click infection" ("nul-klikken infectie").[10] In september 2021 werd door Citizen Lab zo'n exploit, gericht op iOS en MacOS gerapporteerd, waarbij gebruik werd gemaakt van een '.PSD'- of '.PDF'-document dat is vermomd als een '.gif'-bestand, dat gewoonlijk wordt gebruikt voor een afbeelding.[17][14] Op Apple-apparaten zonder beveiligingsupdate kan Pegasus dan zonder verder aanklikken binnendringen.

Zero-click speelt in op de toenemende alertheid van gewaarschuwde gebruikers. Vooral regeringen geven de voorkeur aan deze stille methode. Bij een exploit wordt misbruik gemaakt van bugs in populaire apps als iMessage, WhatsApp, and FaceTime. Het kan zo binnendringen in berichten-systemen als Gmail, Facebook, WhatsApp, FaceTime, Viber, WeChat, Telegram en email-apps.[4]

Pegasus kan zichzelf ook weer van het apparaat verwijderen wanneer het antivirus bespeurt, of de communicatie met de server van de hacker niet binnen 60 dagen functioneert. Het kan ook op afstand door de hacker de opdracht krijgen zichzelf te vernietigen, bijvoorbeeld als het niet het bedoelde apparaat is.[11][16]

Doelwitten[bewerken | brontekst bewerken]

De journalisten wisten de hand te leggen op een database met 50.000 namen van mogelijke doelwitten van de spyware. Op de lijst stonden onder meer de Franse president Emmanuel Macron, Robert Malley, hoofdonderhandelaar van president Biden inzake Iran, de verloofde van de vermoorde journalist Jamal Khashoggi, en een aantal journalisten, advocaten, mensenrechtenactivisten, dissidenten en oppositieleiders. Ook de half-Belgische dochter van Paul Rusesabagina, de man achter Hotel Rwanda, zou geviseerd zijn.[18][15] Er stonden minstens 10 staatshoofden op de lijst, naast diplomaten, politci en regeringsfunctionarissen.[19]

Apple[bewerken | brontekst bewerken]

Bij Apple gaat het om iPads, iPods, iPhones, Apple Watches en Mac computers. Betroffen is met name het op end-to-end-encryptie gebaseerde iMessage-systeem, dat speciaal voor Apple-platforms is ontworpen.[14]

WhatsApp[bewerken | brontekst bewerken]

In 2021 spande Facebook een rechtzaak tegen NSO Group aan op beschulding van misbruik van Pegasus via het hacken van accounts op zijn WhatsApp-platform.[2]

De hackers[bewerken | brontekst bewerken]

NSO Group beweert dat het de software alleen aan regeringen verkoopt die zich aan de mensenrechten houden. voor alle verkopen wordt een exportvergunning afgegeven door de Israëlische regering.

Het Pegasus Project noemt Mexico, Azerbeidzjan, Kazachstan, Hongarije, India, Verenigde Arabische Emiraten, Saoedi-Arabië, Bahrein, Marokko, Rwanda en Togo als landen die de software hebben ingezet.[19][8]

Tegenmaatregelen[bewerken | brontekst bewerken]

Onder meer Hoog Commissaris voor de Mensenrechten Michelle Bachelet riep alle regeringen op om de software niet te gebruiken; klokkenluider Edward Snowden drong aan op een verbod om dergelijke spyware te verhandelen,[18] zoals dat gebeurt door bedrijven als Zerodium. Verslaggevers Zonder Grenzen riep in juli 2021 op tot het stoppen met de export van Israëlische spyware zoals Pegasus.[20]

Hoewel er geen effectieve manier lijkt te zijn om aanvallen met Pegasus te voorkomen, heeft Verslaggevers Zonder Grenzen een aantal tips gepubliceerd over wat te doen bij besmetting en wat verstandige voorzorgsmaatregelen zijn voor mogelijke doelwitten. Het opnieuw opstarten van de iPhone of een reset van de smartphone kan helpen.[21]

Amnesty ontwikkelde open source detectie-software onder de naam Mobile Verification Toolkit (MVT). Deze is ook gebruikt als basis voor de te downloaden open source "iMazing", niet voor Android-apparaten.[22]

Pegasus Project[bewerken | brontekst bewerken]

Zie Pegasus Project voor het hoofdartikel over dit onderwerp.

In juli 2021 ging het Pegasus Project van start met de publicatie van zijn eerste rapport over de toepassing van de Pegasus-spyware. Het is een internationaal samenwerkingsverband van onderzoeksjournalisten en mediabedrijven uit zo'n 20 landen. Het project wordt gecoördineerd door de Franse non-profitorganisatie Forbidden Stories met technische ondersteuning van Amnesty International's Security Lab. De onderzoeksmethode van Amnesty is door Citizen Lab onafhankelijk beoordeeld en goed bevonden.[23]

De organisaties Citizen Lab, Organized Crime and Corruption Reporting Project (OCCRP) en Amnesty International publiceren rapporten met uitleg over de werking van de spyware, de organisatie er achter technische details over de ontwikkelingen en onderzoek naar slachtoffers van Pegasus.[8]

Zie ook[bewerken | brontekst bewerken]