De Pegasus-spyware van het Israëlische private spionagebedrijf NSO Group is ingezet bij hackpogingen van zeker 37 journalisten en mensenrechtenactivisten. Dat claimen zeventien nieuwsorganisaties op basis van een gezamenlijk onderzoek.
De verschillende nieuwsorganisaties, waaronder The Guardian en The Washington Post vallen, zetten samen een consortium genaamd The Pegasus Project op. De media wisten via mensenrechtenorganisatie Amnesty International en journalistieke nonprofit Forbidden Stories een lijst met telefoonnummers van 50.000 potentiële surveillanceslachtoffers van de spyware te bemachtigen. De media hebben deze lijst gezamenlijk onderzocht. Het is niet bekend hoe Amnesty en Forbidden Stories de lijst hebben bemachtigd.
The Washington Post meldt dat de eigenaren van de telefoonnummers niet bij naam werden vermeld op de lijst, maar de zeventien mediaorganisaties wisten via een gezamenlijk onderzoek ruim 1000 mensen te identificeren. Die potentiële slachtoffers werden tussen 2016 en juni 2021 geselecteerd voor mogelijke surveillance via de Pegasus-spyware.
De mensen komen uit 50 verschillende landen en omvatten onder andere minstens 65 zakenlieden, 85 mensenrechtenactivisten en ruim 600 politici en overheidswerknemers, waaronder ministers, diplomaten en militaire en veiligheidsfunctionarissen. Ook stonden zeven leden van de Arabische koninklijke familie op de lijst. De lijst bevatte ook zeker 189 journalisten, die onder andere werken bij CNN, de Associated Press, The Wall Street Journal, The New York Times, Bloomberg, de Financial Times en Al Jazeera.
Forensisch onderzoek en reactie NSO Group
De mediaorganisaties hebben de lijst geanalyseerd door middel van interviews en onderzoek op 'vier verschillende continenten'. Tegelijkertijd heeft het securitylab van Amnesty een forensisch onderzoek met 67 mogelijk geïnfecteerde smartphones uitgevoerd. Daarvan werden er 23 succesvol geïnfecteerd met Pegasus en vertoonden 14 toestellen 'tekenen van hackpogingen'.
Voor de overige 30 waren de tests niet doorslaggevend, schrijft The Washington Post. Vijftien van die telefoons waren Android-smartphones. Die toonden geen enkel teken van een succesvolle infectie, maar volgens het medium slaan Android-smartphones niet de informatie op die benodigd zijn voor het onderzoek van Amnesty, in tegenstelling tot iPhones. Drie Android-telefoons vertoonden wel tekenen van targeting, bijvoorbeeld aan Pegasus-gekoppelde sms-berichten.
NSO Group heeft tegenover The Guardian gereageerd op de bevindingen van de zeventien mediaorganisaties: "NSO Group ontkent ten stelligste de valse beweringen in uw verslag, waarin vele onbevestigde theorieën staan die ernstige twijfels doen rijzen over de betrouwbaarheid van uw bronnen en over de basis van uw verhaal", aldus het bedrijf. NSO Group zou een rechtszaak overwegen vanwege laster, schrijft The Verge.
NSO Group en Pegasus
Pegasus is spyware die ingezet kan worden om smartphonegebruikers af te luisteren. De spyware kan smartphonegebruikers op afstand volgen. The Guardian schrijft bijvoorbeeld dat het de berichten, foto's en e-mails van een telefoon kan kopiëren en gesprekken kan afluisteren door de microfoon van een geïnfecteerde smartphone te activeren.
Pegasus is volgens NSO Group bedoeld om potentiële criminelen en terroristen op te sporen. Het bedrijf heeft bijvoorbeeld opsporings- en inlichtingendiensten uit ruim veertig niet nader genoemde landen als klant. Het bedrijf geeft aan dat het de mensenrechtendossiers van zijn klanten grondig controleert voordat het bedrijf spyware aan ze verkoopt.
De Pegasus-spyware van NSO Group is al vaker in opspraak gekomen. Vorig jaar claimde de Canadese onderzoeksgroep Citizen Lab bijvoorbeeld dat zeker 36 journalisten van Al Jazeera en het Britse Al Araby TV aangevallen zouden zijn met de Pegasus-malware. WhatsApp klaagde NSO Group eerder aan, omdat de Pegasus-spyware van het bedrijf verspreid zou zijn naar zeker 1400 WhatsApp-gebruikers. Verschillende techbedrijven en mensenrechtenorganisaties schaarden zich achter WhatsApp bij die rechtszaak. Amnesty International klaagde NSO Group eerder ook aan vanwege de Pegasus-spyware, maar verloor die rechtszaak eerder deze maand.