Beveiligingsonderzoekers hebben de vingers van de Pegasus-spyware van de NSO Group ontdekt tijdens een militair conflict. Dit is de eerste keer dat bekend is dat de spyware op een dergelijke manier is gebruikt.
De verraderlijke spyware die bekend staat als Pegasus bestaat al sinds minstens 2014, maar de afgelopen jaren stapelen zich langzaamaan meer meldingen op over verkeerd gebruik en misbruik.
De krachtige en geavanceerde tool, die is ontwikkeld door het Israëlische technologiebedrijf NSO Group, vertrouwt op het vinden van beveiligingsproblemen in de iPhone en iOS waarmee het bijna volledige toegang kan krijgen tot de persoonlijke informatie van een gebruiker, vaak met niets meer dan een kwaadwillig opgesteld sms-bericht, e-mail of link naar een webpagina. Meestal zijn de onderzoekers van de NSO Group in staat om”zero-click exploits”te vinden waarmee ze een iPhone kunnen compromitteren zonder tussenkomst van de eigenaar van het apparaat.
Volgens NSO Group is Pegasus ontworpen om voor goede doelen te worden gebruikt, zoals het bestrijden van terrorisme en georganiseerde misdaad. Helaas is zo’n tool een tweesnijdend zwaard-het kan de onschuldigen net zo gemakkelijk bespioneren als de schuldigen-en het is onvermijdelijk dat zoiets krachtigs als Pegasus voor snode doeleinden zal worden gebruikt.
NSO Group geeft Pegasus alleen licenties aan overheden, maar lijkt ook niet erg kieskeurig over welke overheden het als klant telt. Hoewel het de licenties heeft ingetrokken voor degenen die Pegasus misbruikten, is dat alleen achteraf gedaan- en ondanks solide bewijs van misbruik.
Helaas, hoewel het gemakkelijk is om de vingerafdrukken van Pegasus op de iPhone van een slachtoffer te vinden, het is moeilijker om dat terug te voeren naar de bron. Twee jaar geleden werd een forensische analyse uitgevoerd door Amnesty International en het Citizen Lab van de Universiteit van Toronto onthulden dat de spyware was gebruikt om tientallen”mensenrechtenverdedigers (HRD’s) en journalisten over de hele wereld”en dat het de bron was van”wijdverbreide, aanhoudende en voortdurende onwettige bewaking en mensenrechtenschendingen”. Onderzoekers konden echter alleen maar speculeren over waar deze aanvallen vandaan kwamen.
Desalniettemin was dit rapport zo ernstig dat Apple besloot dat het tijd was om NSO Group te vervolgen, waarbij het Israëlische bedrijf werd beschreven als een groep”amorele 21e-eeuwse huurlingen”. Rond dezelfde tijd beloofde Apple ook te beginnen met het informeren van iPhone-gebruikers die mogelijk het doelwit zijn geworden van door de staat gesponsorde spyware.
De stappen die we vandaag nemen, zullen een duidelijk signaal afgeven: in een gratis samenleving, is het onaanvaardbaar om krachtige, door de staat gesponsorde spyware te gebruiken tegen degenen die de wereld willen verbeteren.
Ivan Kristin, hoofd van Apple Security Engineering and Architecture
Terwijl Pegasus misschien wel de meest bekende van deze spywaretools van militaire kwaliteit, het is niet de enige. Een paar maanden later dook het nieuws op over Predator, een andere gevaarlijke spywaretool die was ontwikkeld door een van de concurrenten van de NSO Group, met berichten dat het samen met Pegasus was gevonden op iPhones van personen die politiek uit de gratie waren geraakt bij hun regeringen.
Ondertussen ontdekten verschillende medewerkers van het Amerikaanse ministerie van Buitenlandse Zaken, toen Apple eenmaal met zijn meldingsprogramma was begonnen, dat ze het doelwit waren van Pegasus, samen met tientallen pro-democratische Thaise activisten, een Poolse aanklager, en verschillende hoge EU-ambtenaren, waaronder de premier van Spanje. Hoewel indirect bewijs erop wees dat de Oegandese regering de bron was van de aanval op medewerkers van het Amerikaanse ministerie van Buitenlandse Zaken, werd een dergelijk verband nooit bewezen.
Pegasus gaat een militair conflict aan
Nu, The Guardian meldt dat ten minste één land Pegasus, en mogelijk Predator, naar een heel nieuw niveau heeft getild door ze in te zetten tegen tegenstanders in een militair conflict.
Een coalitie van onderzoekers van Access Now, CyberHUB-AM, het Citizen Lab van de Universiteit van Toronto, het Security Lab van Amnesty International en de onafhankelijke onderzoeker Ruben Muradyan hebben een’hackcampagne’geïdentificeerd die zich richtte op ambtenaren die betrokken waren bij een lange-het lopende militaire conflict tussen Armenië en Azerbeidzjan.
De twee landen betwisten de eigendom van de Nagorno-Karabach regio sinds 1994 en ging in 2020 ten oorlog om de controle over de regio. Hoewel er recente tekenen zijn dat dit conflict spoedig tot een vreedzaam einde kan komen, lijkt het erop dat Pegasus en Predator tijdens de hele campagne als oorlogswapens zijn gebruikt.
Onderzoekers ontdekten dat apparaten van in Armenië gevestigde personen waren gestolen. gecompromitteerd in november 2021 als gevolg van de meldingen die Apple rond die tijd begon te verzenden. The Guardian meldt dat een regeringsfunctionaris, Anna Naghdalyan,”tussen oktober 2020 en juli 2021 minstens 27 keer was gehackt”terwijl ze diende als woordvoerder van het Armeense ministerie van Buitenlandse Zaken.
In haar rol was Naghdalyan nauw betrokken bij gevoelige discussies en onderhandelingen met betrekking tot het conflict,”inclusief de bemiddelingspogingen van Frankrijk, Rusland en de VS tot een staakt-het-vuren en officiële bezoeken aan Moskou en Karabach.”Ze vertelde het team van Access Now dat ze”alle informatie over de ontwikkelingen tijdens de oorlog op [haar] telefoon”had op het moment van haar hacking, en dat ze nu het gevoel heeft dat ze zich niet volledig veilig kan voelen.
Dit roept belangrijke vragen op over de veiligheid van internationale organisaties, journalisten, hulpverleners en anderen die rond conflicten werken. Het zou ook een rilling over de rug moeten sturen van elke buitenlandse regering wiens diplomatieke dienst betrokken is bij het conflict.
John Scott-Railton, senior onderzoeker bij Citizen Lab
Naghdalyan was verre van de enige slachtoffer dat vond dat hun iPhone was gecompromitteerd door Pegasus. Anderen waren onder meer een radiojournalist die verslag deed van de politieke crisis en ten minste één gast die in hun show verscheen, samen met verschillende andere journalisten, professoren en mensenrechtenverdedigers”wiens werk zich concentreerde op het militaire conflict.”
Volgens to Access Now zijn in totaal 12 personen geïdentificeerd die tijdens het conflict iPhones hebben gecompromitteerd, hoewel vijf ervoor hebben gekozen anoniem te blijven. Dit geldt ook voor een VN-vertegenwoordiger die zich vanwege VN-regelgeving niet kan melden.
Net als in andere recente gevallen werden op de iPhones in kwestie vingerafdrukken van Pegasus gevonden, maar onderzoekers konden de gegevens niet”afdoende”linken aan een specifieke klant van NSO Group. De regering van Azerbeidzjan is de meest waarschijnlijke boosdoener en onderzoekers hebben bewijs gevonden dat het een klant is van de NSO Group, waaronder Pegasus one-click-infecties gekoppeld aan Azerbeidzjaanse domeinen en politieke websites.
Onderzoekers erkenden dat het ook mogelijk is dat de regering van Armenië er belang bij heeft gehad om ten minste enkele individuen te hacken. Armenië blijkt echter slechts een klant te zijn van Cytrox, dat de rivaliserende Predator-spyware ontwikkelt.
Jezelf beschermen tegen Pegasus
Gelukkig, hoe gevaarlijk Pegasus en Predator ook zijn, het goede nieuws is dat deze tools alleen beschikbaar zijn voor regeringen, en ze worden gebruikt voor zeer gerichte en specifieke aanvallen. Dat betekent dat de meesten van ons waarschijnlijk niet het slachtoffer zullen worden van spyware van militaire kwaliteit zoals deze. We zijn gewoon niet zo interessant.
Bovendien blijft Apple een kat-en-muisspel spelen met de grijze hoed-beveiligingsexperts die werken voor bedrijven als NSO Group en Cytrox. Bijna elke nieuwe versie van iOS bevat tegenwoordig patches voor beveiligingslekken, waardoor ontwikkelaars van spyware nieuwe moeten ontdekken om van te profiteren.
Apple heeft ook tools geleverd voor journalisten en andere personen met een hoog risico. om het risico te helpen verkleinen, inclusief een zeer veilige Lockdown-modus in iOS 16 en iMessage Contact Key Verification die waarschijnlijk in iOS 16.6 zal verschijnen. Hoewel dit functies zijn die de meeste mensen nooit hoeven in te schakelen, bieden ze een betere beveiliging voor iedereen die denkt ten prooi te vallen aan spyware zoals Pegasus of Predator.