Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Franse president was mogelijk ook doelwit spionage met Pegasus-spyware

De telefoon van de Franse president Emmanuel Macron was mogelijk ook doelwit van de Pegasus-spyware. Het telefoonnummer van de president en dat van verschillende andere leden van de Franse regering zouden op een lijst staan van mogelijke doelwitten van NSO-klanten.

Eerder werd al bekend dat Frankrijk onderzoek doet naar het gebruik van de spionagesoftware tegen een aantal Franse journalisten en activisten. Volgens Le Monde is ook de Franse president een mogelijk doelwit geweest. Zijn nummer zou zijn ontdekt tussen de meer dan 50.000 telefoonnummers die doelwit waren van surveillance met de omstreden Pegasus-software.

Le Monde is een van de zeventien nieuwsorganisaties die de gezamenlijk onderzoek doen naar de inzet van de Pegasus-software voor het bespioneren van journalisten, mensenrechtenactivisten en politici. Met de software van het Israëlische bedrijf kunnen mensen via hun smartphone worden afgeluisterd en op afstand worden gevolgd. Ook kunnen berichten worden onderschept.

De NSO Group ontkent nog altijd dat zijn software wordt ingezet om personen te bespioneren die niet verdacht worden van criminele activiteit of terrorisme. Marokko en Hongarije worden genoemd als landen die de software zouden hebben ingezet tegen publieke figuren. Beide landen ontkennen het gebruik van de software.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Robert Zomers

Nieuwsposter

20-07-2021 • 20:39

39 Linkedin

Submitter: Munchie

Reacties (39)

Wijzig sortering
En is die lijst van 50.000 ergens te benaderen? Of een soort HaveIbeenPwnd maar dan met je nummer?

Edit: Ja dus. (Wel iets meer ingewikkeld) & directe github link naar MVT tool en de benodigde IOC’s: github

Edit2:
Dus in stappenplan:
1. MVT tool downloaden en de requirements installen.
2. iTunes backup maken van je iPhone
3. IOC file ‘pegasus.stix2’ gebruiken in de scan command als argument ‘—iocs pegasus.stix2‘
4. In de terminal zie je of er iets detected is, of in de output folder een json die eindigd op ‘****_detected.json’

[Reactie gewijzigd door slijkie op 20 juli 2021 22:05]

Reageer
Voor de duidelijkheid, MVT Tool werkt ook voor Android. Je kan ermee telefoon-dumps (ROM, losse apps..) scannen. Een IOC (STIX2-bestand in dit geval) is een soort 'virus-definitie' zoals een antivirus-programma dat heeft, maar dan voor één specifieke scan (niet slaan voor de slechte samenvatting).

Voor Android is het minder precies dan voor iPhone, omdat er nu alleen sporen kunnen worden gevonden in SMS'jes:
1. Debugging aanzetten op je telefoon
2. adb voor jouw telefoon installeren (Android Debugging Bridge), & Android Backup Extractor (abe) & bovenstaande STIX2-bestand van github
3. backup maken van je telefoonboek & SMS: adb backup com.android.providers.telephony
4. uitpakken: java -jar ~/Download/abe.jar unpack backup.ab backup.tar
tar xvf backup.tar
5. vergelijkbare als bovenstaande stap 3: mvt-android —iocs pegasus.stix2

Ben heel benieuwd of er komende dagen nog meer bommetjes uit dit onderzoekscollectief (Pegasus group, samenwerking van internationale kranten etc) komen!

[Reactie gewijzigd door dwizzy op 20 juli 2021 22:26]

Reageer
iTunes Backup? Das al enige tijd niet meer beschikbaar. iCloud Backup wel
Reageer
iTunes backup kan met Windows. Op MacOS gebruik je de Finder, en kan je een local backup maken.

https://support.apple.com...r-device-mchla3c8ed03/mac
Reageer
Is er ook nog een manier om je te beschermen tegen deze Pegasus ongein? Hoe komen ze binnen? Via Payloads op overheids-websites?
Reageer
Nee, je er tegen beschermen kan niet. Ze gebruiken voornamelijk zero-days exploits, dus lekken die nog niet bekend zijn.
In 2016 waren ze al eerder in het nieuws, en gebruikte ze deze zero-days:
CVE-2016-4657: Visiting a maliciously crafted website may lead to arbitrary code execution
CVE-2016-4655: An application may be able to disclose kernel memory
CVE-2016-4656: An application may be able to execute arbitrary code with kernel privileges
Sommige van de aanvallen in 2016 werkte zelf via SMS. Dus zelfs je internet uitzetten helpt niet.
Reageer
Erger, sommige van die zero-days zijn volgens de onderzoekers zero-click exploits: dus geen gebruikersinteractie vereist, wordt gedraaid zodra het op je telefoon binnenkomt. Maar als je geen internet hebt, zal die SMS proberen een bestandje/server te benaderen en waarschijnlijk falen.

Het beste lijkt om te zorgen dat je tegenstanders niet je echte telefoonnummer hebben (dus alles via VoIP?) en dat je geen standaard messengers (WhatsApp, Facebook) en e-mail-clients gebruikt. En liefst geen iPhone of Android, maar iets obscuurs?
En veel doelwitten zijn in het verleden gewoon geïnfecteerd door spearphishing, dus hebben wel stomme links/bestanden geopend.
Reageer
Of misschien gewoon een ouderwetse domme telefoon die in dit soort gevallen de slimmere oplossing is.
Reageer
beste is geen telefoon/computer
Reageer
Dus zelfs je internet uitzetten helpt niet.
Ik neem aan dat de payload wel via internet opgehaald wordt. Internet uitzetten zou er dan in theorie voor moeten zorgen dat de payload niet opgehaald kan worden en je dus ook niet volledig geïnfecteerd bent.

Daar zijn volgens mij ook die honderden domeinen voor die laatst voorbij kwamen.

Maar ik ken verder niet alle technische details. Maar ik kan me niet niet voorstellen dat ze heel de payload via SMS versturen. Een gemiddelde applicatie is een paar mb. Dat zouden heel veel sms'jes zijn.
Reageer
inderdaad, de hierboven genoemde scanner (MVT) kijkt op Android enkel of je berichten hebt gehad die verwijzen naar de lijst met NSO-domeinnamen. Voor iOS heb ik het niet uitgeplozen.

Wat ik me net bedenk is dat een SMS in theorie wel je data aan zou kunnen zetten...
Reageer
Dat kan je wel , met corporate level endpoint bescherming. Maar dat gaat de regering en of parlementslid niet hebben draaien op hun smartphones...
Reageer
Hoe precies gaat "corporate level endpoint bescherming" iets doen tegen lekken op kernel-niveau door zero-day vulnerabilities?
Reageer
Andere acties die die software onderneemt kunnen gerust herkend worden hoor. Manieren genoeg om malware te herkennen. Als je endpoint client treat emulation heeft wordt het wellicht wel herkend op basis van gedrag.
Reageer
Het punt is dat als dat gedrag zo makkelijk te herkennen was, elk stuk antivirus het wel zou doen...
Reageer
Meerdere manieren. Onder meer een lek in Whatsapp waardoor de malware geinstalleerd werd door simpelweg een bericht naar de persoon te sturen.
Reageer
Met een Nokia 3310! :)
Reageer
Wel de klassieke versie hé ;)
Reageer
Het begrip "staatshacker" is hier zeker van toepassing. Wel een opluchting dat het nu eens "westerse" staatshackers zijn. We zitten duidelijk op minstens hetzelfde technisch niveau als de rest (misschien zelfs beter).
Reageer
Dit is bijzonder omdat dit inderdaad een Westers bedrijf is maar net zo goed hun kunsten verkocht aan derde wereld landen met fascistische trekken. Dat zoveel bekende Westerse politieke figuren in het nieuws komen mag dan ook wel hopen dat dit voor Pegasus vergaande gevolgen gaat hebben. Dat spionage normaal is, is een maar jezelf te verkopen aan dergelijke landen gaat toch wel heel ver.
Reageer
Dus iemand zegt "Wie zou nou een mogelijk doelwit zijn voor spionage"
Er wordt een lijst gemaakt: "een lijst staan van mogelijke doelwitten van NSO-klanten"
De president en wat ministers komen op die lijst te staan.
Conclusie:
"Franse president Emmanuel Macron was mogelijk ook doelwit "
"Franse president een mogelijk doelwit geweest"

Dekt dit de lading een beetje?
Reageer
Ja maar niet zomaar "iemand": NSO heeft blijkbaar een lijst van welke telefoonnummers de klanten die deze software gebruiken sind 2016 geselecteerd hebben en die lijst is gelekt.

Tot nu toe hebben ze (voor zover ik kan vinden) tientallen telefoons van de eigenaren/gebruikers van die nummers op die lijst onderzocht en daar blijkt idd de Pegasus software op te staan.

Of Macron in de periode sinds 2016 altijd hetzelfde nummer heeft gehad en of een eventueel nieuw nummer ook op de lijst staat weten we niet. Dat zijn telefoon inmiddels is onderzocht door de betreffende Franse inlichtingen/veiligheidsdiensten lijkt me vrij zeker, maar of en wanneer ze daar de uitkomst van zullen delen.. Enkel als het hun goed uitkomt lijkt me.

Dus tot die tijd is hij idd "een mogelijk doelwit (geweest)"
Reageer
Nou ja, je telefoonnummer komt niet zomaar op die lijst lijkt me. Komt bij dat die lijst van hunzelf is niet? Dus de aanname is niet zo gek lijkt me; het is niet dat ze gewoon uit de lucht zijn komen vallen.
Reageer
Andere regeringen hebben natuurlijk ook de telefoonnummers van presidenten en premiers.
Reageer
Dit is een privaat bedrijf.
Reageer
Overheden gebruikten het toch?

quote

Marokko en Hongarije worden genoemd als landen die de software zouden hebben ingezet tegen publieke figuren. Beide landen ontkennen het gebruik van de software.
Reageer
Precies, dat betekend dat er dus iemand dat telefoonnummer heeft aangeleverd; iemand die interesse in dat specifieke telefoonnummer heeft.
Reageer
@Robert Zomers
Charles Michel ( voormalig Belgische premier en voorzitter van de Europese raad) en zijn vader louis Michel (Europees commissaris) zouden ook doelwit geweest zijn
Reageer
Aangezien Merkel ook getapt is door de USA zijn staatshoofden, belangrijke politici voor veel landen een doelwit. Dat kan dus ook van "bondgenoten" komen.
Reageer
Nu even wachten op een "gebruiksvriendelijke" variant qua interface (of app) om dit te checken voor de 'normale gebruiker'.
Reageer
Download deze plugin op je nummer te checken.
Reageer
Ik heb het gevoel dat de Pegasus spyware alleen op IOS werkt en niet op Android? Heb ik dat juist?
Reageer
Nee, het werkt op beiden. De Mobile Verification Toolkit die ze hebben gemaakt om het op te sporen, kan het beter terugvinden op iOS dan op Android omdat het in iOS meer sporen achterlaat.
Reageer
Have been pawned werkt ook met telefoonnummer
Reageer
Zou mooi zijn mocht iemand als een president van een land niet zo'n rot bakje nodig zou moeten hebben
Reageer
Dan is android of Apple niet goed dicht getimmerd. Ik had verwacht dat side loaden bij Apple geen enkel mogelijkheid was of alleen met developers functie. En bij Android krijg je altijd de melding dat een app rechten van je smartphone wilt. Of sideloaden is uitgezet. Dat dat allemaal kan met een simpele klik en laden van de software.

[Reactie gewijzigd door lighting_ op 21 juli 2021 13:41]

Reageer


Om te kunnen reageren moet je ingelogd zijn


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True