Franse president was mogelijk ook doelwit spionage met Pegasus-spyware

De telefoon van de Franse president Emmanuel Macron was mogelijk ook doelwit van de Pegasus-spyware. Het telefoonnummer van de president en dat van verschillende andere leden van de Franse regering zouden op een lijst staan van mogelijke doelwitten van NSO-klanten.

Eerder werd al bekend dat Frankrijk onderzoek doet naar het gebruik van de spionagesoftware tegen een aantal Franse journalisten en activisten. Volgens Le Monde is ook de Franse president een mogelijk doelwit geweest. Zijn nummer zou zijn ontdekt tussen de meer dan 50.000 telefoonnummers die doelwit waren van surveillance met de omstreden Pegasus-software.

Le Monde is een van de zeventien nieuwsorganisaties die de gezamenlijk onderzoek doen naar de inzet van de Pegasus-software voor het bespioneren van journalisten, mensenrechtenactivisten en politici. Met de software van het Israëlische bedrijf kunnen mensen via hun smartphone worden afgeluisterd en op afstand worden gevolgd. Ook kunnen berichten worden onderschept.

De NSO Group ontkent nog altijd dat zijn software wordt ingezet om personen te bespioneren die niet verdacht worden van criminele activiteit of terrorisme. Marokko en Hongarije worden genoemd als landen die de software zouden hebben ingezet tegen publieke figuren. Beide landen ontkennen het gebruik van de software.

Door Robert Zomers

Redacteur

20-07-2021 • 20:39

39 Linkedin

Submitter: Munchie

Reacties (39)

Wijzig sortering
En is die lijst van 50.000 ergens te benaderen? Of een soort HaveIbeenPwnd maar dan met je nummer?

Edit: Ja dus. (Wel iets meer ingewikkeld) & directe github link naar MVT tool en de benodigde IOC’s: github

Edit2:
Dus in stappenplan:
1. MVT tool downloaden en de requirements installen.
2. iTunes backup maken van je iPhone
3. IOC file ‘pegasus.stix2’ gebruiken in de scan command als argument ‘—iocs pegasus.stix2‘
4. In de terminal zie je of er iets detected is, of in de output folder een json die eindigd op ‘****_detected.json’

[Reactie gewijzigd door slijkie op 20 juli 2021 22:05]

Voor de duidelijkheid, MVT Tool werkt ook voor Android. Je kan ermee telefoon-dumps (ROM, losse apps..) scannen. Een IOC (STIX2-bestand in dit geval) is een soort 'virus-definitie' zoals een antivirus-programma dat heeft, maar dan voor één specifieke scan (niet slaan voor de slechte samenvatting).

Voor Android is het minder precies dan voor iPhone, omdat er nu alleen sporen kunnen worden gevonden in SMS'jes:
1. Debugging aanzetten op je telefoon
2. adb voor jouw telefoon installeren (Android Debugging Bridge), & Android Backup Extractor (abe) & bovenstaande STIX2-bestand van github
3. backup maken van je telefoonboek & SMS: adb backup com.android.providers.telephony
4. uitpakken: java -jar ~/Download/abe.jar unpack backup.ab backup.tar
tar xvf backup.tar
5. vergelijkbare als bovenstaande stap 3: mvt-android —iocs pegasus.stix2

Ben heel benieuwd of er komende dagen nog meer bommetjes uit dit onderzoekscollectief (Pegasus group, samenwerking van internationale kranten etc) komen!

[Reactie gewijzigd door dwizzy op 20 juli 2021 22:26]

iTunes Backup? Das al enige tijd niet meer beschikbaar. iCloud Backup wel
iTunes backup kan met Windows. Op MacOS gebruik je de Finder, en kan je een local backup maken.

https://support.apple.com...r-device-mchla3c8ed03/mac
Is er ook nog een manier om je te beschermen tegen deze Pegasus ongein? Hoe komen ze binnen? Via Payloads op overheids-websites?
Nee, je er tegen beschermen kan niet. Ze gebruiken voornamelijk zero-days exploits, dus lekken die nog niet bekend zijn.
In 2016 waren ze al eerder in het nieuws, en gebruikte ze deze zero-days:
CVE-2016-4657: Visiting a maliciously crafted website may lead to arbitrary code execution
CVE-2016-4655: An application may be able to disclose kernel memory
CVE-2016-4656: An application may be able to execute arbitrary code with kernel privileges
Sommige van de aanvallen in 2016 werkte zelf via SMS. Dus zelfs je internet uitzetten helpt niet.
Erger, sommige van die zero-days zijn volgens de onderzoekers zero-click exploits: dus geen gebruikersinteractie vereist, wordt gedraaid zodra het op je telefoon binnenkomt. Maar als je geen internet hebt, zal die SMS proberen een bestandje/server te benaderen en waarschijnlijk falen.

Het beste lijkt om te zorgen dat je tegenstanders niet je echte telefoonnummer hebben (dus alles via VoIP?) en dat je geen standaard messengers (WhatsApp, Facebook) en e-mail-clients gebruikt. En liefst geen iPhone of Android, maar iets obscuurs?
En veel doelwitten zijn in het verleden gewoon geïnfecteerd door spearphishing, dus hebben wel stomme links/bestanden geopend.
Of misschien gewoon een ouderwetse domme telefoon die in dit soort gevallen de slimmere oplossing is.
beste is geen telefoon/computer
Dus zelfs je internet uitzetten helpt niet.
Ik neem aan dat de payload wel via internet opgehaald wordt. Internet uitzetten zou er dan in theorie voor moeten zorgen dat de payload niet opgehaald kan worden en je dus ook niet volledig geïnfecteerd bent.

Daar zijn volgens mij ook die honderden domeinen voor die laatst voorbij kwamen.

Maar ik ken verder niet alle technische details. Maar ik kan me niet niet voorstellen dat ze heel de payload via SMS versturen. Een gemiddelde applicatie is een paar mb. Dat zouden heel veel sms'jes zijn.
inderdaad, de hierboven genoemde scanner (MVT) kijkt op Android enkel of je berichten hebt gehad die verwijzen naar de lijst met NSO-domeinnamen. Voor iOS heb ik het niet uitgeplozen.

Wat ik me net bedenk is dat een SMS in theorie wel je data aan zou kunnen zetten...
Dat kan je wel , met corporate level endpoint bescherming. Maar dat gaat de regering en of parlementslid niet hebben draaien op hun smartphones...
Hoe precies gaat "corporate level endpoint bescherming" iets doen tegen lekken op kernel-niveau door zero-day vulnerabilities?
Andere acties die die software onderneemt kunnen gerust herkend worden hoor. Manieren genoeg om malware te herkennen. Als je endpoint client treat emulation heeft wordt het wellicht wel herkend op basis van gedrag.
Het punt is dat als dat gedrag zo makkelijk te herkennen was, elk stuk antivirus het wel zou doen...
Meerdere manieren. Onder meer een lek in Whatsapp waardoor de malware geinstalleerd werd door simpelweg een bericht naar de persoon te sturen.
Met een Nokia 3310! :)
Wel de klassieke versie hé ;)
Het begrip "staatshacker" is hier zeker van toepassing. Wel een opluchting dat het nu eens "westerse" staatshackers zijn. We zitten duidelijk op minstens hetzelfde technisch niveau als de rest (misschien zelfs beter).
Dit is bijzonder omdat dit inderdaad een Westers bedrijf is maar net zo goed hun kunsten verkocht aan derde wereld landen met fascistische trekken. Dat zoveel bekende Westerse politieke figuren in het nieuws komen mag dan ook wel hopen dat dit voor Pegasus vergaande gevolgen gaat hebben. Dat spionage normaal is, is een maar jezelf te verkopen aan dergelijke landen gaat toch wel heel ver.
Dus iemand zegt "Wie zou nou een mogelijk doelwit zijn voor spionage"
Er wordt een lijst gemaakt: "een lijst staan van mogelijke doelwitten van NSO-klanten"
De president en wat ministers komen op die lijst te staan.
Conclusie:
"Franse president Emmanuel Macron was mogelijk ook doelwit "
"Franse president een mogelijk doelwit geweest"

Dekt dit de lading een beetje?
Ja maar niet zomaar "iemand": NSO heeft blijkbaar een lijst van welke telefoonnummers de klanten die deze software gebruiken sind 2016 geselecteerd hebben en die lijst is gelekt.

Tot nu toe hebben ze (voor zover ik kan vinden) tientallen telefoons van de eigenaren/gebruikers van die nummers op die lijst onderzocht en daar blijkt idd de Pegasus software op te staan.

Of Macron in de periode sinds 2016 altijd hetzelfde nummer heeft gehad en of een eventueel nieuw nummer ook op de lijst staat weten we niet. Dat zijn telefoon inmiddels is onderzocht door de betreffende Franse inlichtingen/veiligheidsdiensten lijkt me vrij zeker, maar of en wanneer ze daar de uitkomst van zullen delen.. Enkel als het hun goed uitkomt lijkt me.

Dus tot die tijd is hij idd "een mogelijk doelwit (geweest)"
Nou ja, je telefoonnummer komt niet zomaar op die lijst lijkt me. Komt bij dat die lijst van hunzelf is niet? Dus de aanname is niet zo gek lijkt me; het is niet dat ze gewoon uit de lucht zijn komen vallen.
Andere regeringen hebben natuurlijk ook de telefoonnummers van presidenten en premiers.
Dit is een privaat bedrijf.
Overheden gebruikten het toch?

quote

Marokko en Hongarije worden genoemd als landen die de software zouden hebben ingezet tegen publieke figuren. Beide landen ontkennen het gebruik van de software.
Precies, dat betekend dat er dus iemand dat telefoonnummer heeft aangeleverd; iemand die interesse in dat specifieke telefoonnummer heeft.
@Robert Zomers
Charles Michel ( voormalig Belgische premier en voorzitter van de Europese raad) en zijn vader louis Michel (Europees commissaris) zouden ook doelwit geweest zijn
Aangezien Merkel ook getapt is door de USA zijn staatshoofden, belangrijke politici voor veel landen een doelwit. Dat kan dus ook van "bondgenoten" komen.
Nu even wachten op een "gebruiksvriendelijke" variant qua interface (of app) om dit te checken voor de 'normale gebruiker'.
Download deze plugin op je nummer te checken.
Ik heb het gevoel dat de Pegasus spyware alleen op IOS werkt en niet op Android? Heb ik dat juist?
Nee, het werkt op beiden. De Mobile Verification Toolkit die ze hebben gemaakt om het op te sporen, kan het beter terugvinden op iOS dan op Android omdat het in iOS meer sporen achterlaat.
Have been pawned werkt ook met telefoonnummer
Zou mooi zijn mocht iemand als een president van een land niet zo'n rot bakje nodig zou moeten hebben
Dan is android of Apple niet goed dicht getimmerd. Ik had verwacht dat side loaden bij Apple geen enkel mogelijkheid was of alleen met developers functie. En bij Android krijg je altijd de melding dat een app rechten van je smartphone wilt. Of sideloaden is uitgezet. Dat dat allemaal kan met een simpele klik en laden van de software.

[Reactie gewijzigd door lighting_ op 21 juli 2021 13:41]

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee