‘Pegasus spyware’ we horen er steeds meer over, maar wat is het?

Gepubliceerd op 19 april 2022 om 12:23

Je moet er niet aan denken: iemand kan op afstand alle inhoud van je smartphone meelezen. Zonder dat je iets merkt en zonder dat je er iets tegen kunt doen. Een groot datalek verklapte het bestaan van dit soort malware: Pegasus. Waarbij de controverse vooral zit in het feit dat de surveillancemalware vooral gebruikt werd door overheden.

Als we denken aan cyberaanvallen, denken we vaak aan China en Rusland. Die de intensiteit van hun ontkenningen lijken te koppelen aan de hoeveelheid bewijslast van de aanval. Maar natuurlijk wassen Westerse landen hun handen niet in onschuld als het aankomt op cyberaanvallen. Hierbij natuurlijk als grootste voorbeeld de enorme ongeoorloofde (en mensenrechten-schendende) surveillance, hacks en aanvallen die worden uitgevoerd door de Amerikaanse NSA, Britse GCHQ en Westerse partners, die dankzij Edward Snowden aan het licht kwamen.

NSO Group: malware uit Israël

Het nieuwste overheidsmalware-schandaal komt uit Israëlische hoek. Ongebruikelijk, maar ook niet helemaal onverwacht. Al eerder is Israël op de kaart gezet als het aankomt op cyberaanvallen, dankzij de Stuxnet-malware. Deze malware was ontzettend geavanceerd en ontwikkeld om Iraanse kernreactoren, die gebruikt werden voor het Iraanse nucleaire programma, stil te leggen. Met succes. Stuxnet werd ontdekt en de kwetsbaarheden die werden gebruikt om de malware zijn werk te laten doen kwamen aan het licht. Hierdoor konden cybercriminelen aan de haal met code en kwetsbaarheden voor het ontwikkelen van hun eigen malware, wat een kettingreactie aan cybercrime veroorzaakte.

Achter Pegasus zit de Israëlische NSO Group, een techfirma die naar eigen zeggen surveillancetools ontwikkelt en licenseert aan buitenlandse overheden. Naar eigen zeggen alleen om criminele- en terreurorganisaties te bestrijden. Al blijkt uit de lekken dat niet alle overheidsafnemers even betrouwbaar zijn en veel doelwitten juist geen criminelen of terroristen waren, maar ook vaak journalisten en dissidenten. De NSO Group verschuilt zich achter de onduidelijkheid van de afkomst van de lekken, die door veel media (waaronder The Guardian) naar buiten zijn gebracht.

In deze datalekken bevindt zich een database van 50.000 telefoonnummers van vermeende doelwitten sinds 2016. Forbidden Stories, een Franse nonprofit journalistenorganisatie en Amnesty International kregen de lijst in handen en werkte met 16 mediabureau’s samen om hierover te berichten.Jaren na de onthullingen van Edward Snowden blijkt er in praktijk niks verbeterd.

Wat doet Pegasus?

Net als Stuxnet valt bij Pegasus op dat de malware ontzettend geavanceerd is; waarbij eigenlijk iedereen met een smartphone doelwit kan zijn. Ook wordt de malware gebruikt om gericht te schieten. Specifieke doelwitten worden uitgezocht voor de cyberaanval. De onderzoekers die Pegasus aan het licht brachten hadden de grootste moeite om de malware te achterhalen. Zo moest er forensisch onderzoek aan te pas komen in het veiligheidslaboratorium van Amnesty International om de activiteiten van de malware te achterhalen. Hoe de malware zich op een toestel nestelt, daar is nog niks over bekend. Evenals de vraag wie de opdrachtgever is. Doelwitten en uitvoerders van Pegasus zijn vooral aan het licht gekomen door een datalek.

De malware weet zich op een smartphone te nestelen door gebruik te maken van kwetsbaarheden in het toestel en geïnstalleerde apps. Eventueel is het ook mogelijk om de malware op een toestel te installeren door het doelwit een link te laten openen die naar de malware verwijst.

Wanneer Pegasus zich op een smartphone heeft genesteld kan het in theorie overal bij. Je sms’jes, mails, chats (zowel WhatsApp als iMessage), bestanden, foto’s en video’s, je contactenlijst, agenda en systeemonderdelen zoals je locatiegegevens, microfoon, camera en zelfs telefoonoproepen opnemen.

Het malware-arsenaal is dusdanig uitgebreid dat het niet uit maakt of het doelwit een iPhone of een Android-smartphone gebruikt.Ondanks Apple’s heftige security-marketing, blijkt geen enkel apparaat veilig. Ook iPhones niet.

Wie gebruikt Pegasus?

De NSO Group doet geen uitspraken over wie klanten zijn, al stelt het bedrijf wel dat het zestig klanten heeft verspreid over veertig landen. Uit onderzoek van de data werden meerdere overheden geïdentificeerd, waaronder Mexico, Marokko, Hongarije, India, Saudi Arabië en Rwanda. Een divers palet aan overheden, waaronder landen die worstelen met persvrijheid en daarom happig zijn op tools als deze om journalisten (en hun contacten) te volgen. Het feit dat de malware werd aangetroffen op smartphones van journalisten geeft aan dat dit ook gebeurde. Maar ook rechters, mensenrechtenactivisten, zakenlieden, diplomaten en bewindslieden bleken doelwit te zijn. De komende weken zullen meer verhalen uit de doeken worden gedaan over mogelijke doelwitten.

Ook bleek in april 2022 dat minstens vijf EU-ambtenaren doelwit waren van Pegasus. Hieronder de naam Didier Reynders; een van de commissarissen van de Europese Commissie. Wie er achter de aanval zit, blijft onbekend. Ook wast de NSO Group de handen in onschuld. Het Europees Parlement is aan het onderzoeken of de spyware gebruikt wordt in de Europese Unie.

Wat kun je zelf doen?

We worden allemaal opgevoed met verstandig gedrag op het internet. Bescherm je pc met een virusscanner, druk niet zomaar op linkjes, laat niet overal je gegevens achter, druk niet altijd op Ok en wees voorzichtig met wat je installeert. Pegasus is een bevestiging, dat als je een interessant doelwit bent, je altijd besmet kan raken. Ongeacht je goede internetgewoontes. Het is maar net hoe veel een opdrachtgever er voor over heeft je te volgen.

Omdat de malware onzichtbaar is, heb je zelf niets door van de malware-besmetting of -werking. De reden waarom er zo gericht werd geschoten met Pegasus is waarschijnlijk om de malware en gebruikte kwetsbaarheden onder de pet te houden. Dat is beangstigend. Ook dat overheden het gebruiken om te spioneren. Na de onthullingen van Edward Snowden was de reactie namelijk dat overheids-cyberaanvallen juist gebruikt worden voor veiligheid. Bijvoorbeeld door tegen terrorisme. De doelwittenlijst laat juist zien dat overheidsmalware nog altijd gebruikt wordt voor het tegenovergestelde, en dat het absoluut niet alleen uit de bekende Chinese en Russische hoek komt.

Nu de malware aan het licht is gekomen, ontstaat er een ander probleem. Na Stuxnet werd er veel nieuwe malware ontwikkeld die stukjes code en kwetsbaarheden gebruikte uit de malware. Nu Pegasus is ontdekt kan dit ook weer het geval zijn. Als iemand met kwade intenties de malware achterhaalt en ontrafelt kan deze gebruikt worden voor malware op grote schaal, zoals verspreiding van ransomware.

Overheidsmalware wordt niet in Nederland gebruikt… Toch?

Of er Nederlandse doelwitten zijn is nog onduidelijk. Ook is er nog niks bekend of Nederlandse overheden en geheime diensten klant zijn bij de NSO Group. Er is echter genoeg reden tot zorg. De kans is aanwezig dat Nederlandse overheden en geheime diensten überhaupt geen klant zijn bij de NSO Group. Het is echter naïef om te denken dat er hier niet zulke malware ingezet wordt. Deze kan mogelijk zelf ontwikkeld worden, in samenwerking worden gebruikt met andere geheime diensten of afgenomen worden bij andere bedrijven.

Zo probeerde de Volkskrant te achterhalen of de Nederlandse politie gebruikmaakt van hacksoftware, waaronder Pegasus. Via de Wet Openbaarheid Bestuur (WOB) probeerde de journalisten dit te achterhalen. Ondanks dat dit gegevensverzoek zelfs door de rechter is bekrachtigd, weigert de politie nog altijd openheid van zaken te geven. De dwangsom (opgelopen tot 15.000 euro) ten spijt.

Ook het demissionaire kabinet hield in september 2021 desgevraagd zijn kaken op elkaar op de vraag of de overheid Pegasus inzet voor spionage.

Sleepwet zet deur open

Ondanks dat regels aan de laars gelapt worden aangaande de WOB-aanvraag is het bijzondere dat Nederlandse geheime diensten mogen dit gewoon gebruiken. Zonder dat ze hierbij duidelijk hoeven te maken welke tools en kwetsbaarheden er gebruikt worden. Dat laatste zou bijdragen aan een veiligere digitale wereld voor iedereen. De controversiële Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017), ook wel de sleepwet genoemd geeft hier groen licht voor. Nadat de wet in een raadgevend referendum in 2018 werd afgekeurd, is deze toch in gebruik genomen nadat er (o.a.) een toetsingscommissie (TIB) in het leven werd geroepen.

Toch heeft de wet geheime diensten vrijheid gegeven ook dit soort malware in te zetten. Zo mag van iedereen communicatie worden afgetapt. Ook van niet-verdachte burgers en mensen die zich in de buurt van een verdacht persoon hebben begeven. Er mag worden ingebroken op apparatuur én verzamelde gegevens mogen gedeeld worden met Buitenlandse regimes zonder dat gespecificeerd wordt welke. Ook hoeft er niets te worden gedeeld over welke tools of schimmige bedrijven worden ingezet voor de hacks en infecties.

Pegasus: het topje van de ijsberg

De eerste berichten over de Pegasus malware zijn onlangs verschenen. Meerdere media-organisaties werken samen met Amnesty International en Forbidden Stories om de misstanden aan het licht te brengen.

Bron: computertotaal.nl, wikipedia.org, theguardian.com, businessam.be

 

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.

Meer malware nieuws

Nederland in de top 5 van meest getroffen landen door mobiele malware

In deze podcast waarschuwen we voor de groeiende dreiging van mobiele malware in Nederland, dat inmiddels tot de top 5 van meest getroffen landen behoort. We leggen uit waarom Nederland een aantrekkelijk doelwit is voor cybercriminelen, mede door de hoge technologische adoptie, economische welvaart en geavanceerde infrastructuur. Daarnaast bespreken we verschillende soorten mobiele malware die in Nederland worden waargenomen, zoals banking malware, spyware, ransomware, adware en phishing-apps. De impact op zowel individuen als bedrijven wordt uitgelicht, met de nadruk op financiële verliezen, identiteitsdiefstal en reputatieschade. We sluiten af met praktische tips om jezelf te beschermen tegen mobiele malware, zoals bewustwording, veilig downloaden, gebruik van beveiligingssoftware, regelmatige updates, sterke wachtwoorden, beperken van toestemmingen, bedrijfsbeleid, regelmatige back-ups en samenwerking met experts.

Lees meer »

Malware infectiemethoden

Malware komt doorgaans de infrastructuur van een bedrijf binnen via e-mail, maar dit is niet de enige infectiemethode. De voornaamste manier om cyberincidenten te voorkomen, is voorkomen dat malware de infrastructuur van uw bedrijf binnendringt. Daarom richten deskundigen zich bij het ontwikkelen van een informatiebeveiligingsstrategie vaak op de meest voor de hand liggende aanvalsvectoren, zoals e-mailverkeer. De meeste aanvallen beginnen inderdaad met een e-mail, maar vergeet niet dat cybercriminelen nog tal van andere methodes hebben om malware bij hun slachtoffers af te leveren. Deskundigen van Kaspersky’s Global Research & Analysis Team spraken over ongebruikelijke methodes om malware te verspreiden en apparaten te infecteren die ze zijn tegengekomen tijdens het analyseren van recente bedreigingen.

Lees meer »

Spyware op computer of smartphone? Hoe verwijderen?

Stel je voor dat al je data en activiteiten 24/7 via je computer of smartphone in de gaten worden gehouden zonder dat je het doorhebt. Vreselijk, toch? Het klinkt misschien als een plot uit een spionagefilm, maar helaas is 'spyware' vandaag de dag een groot probleem waar veel mensen mee te maken hebben. Lees hier wat spyware precies is en hoe je het kunt herkennen, verwijderen en voorkomen.

Lees meer »

Politie stopt internationaal verspreiding FluBot malware

De Nederlandse politie heeft vorige maand de infrastructuur van de beruchte Android-malware FluBot verstoord, waardoor de malware niet meer werkt. Het uitschakelen van FluBot was het resultaat van een internationale politieoperatie waar naast de Nederlandse politie onder andere ook Europol, de United States Secret Service en Belgische politie aan deelnamen.

Lees meer »

De meest voorkomende abonnementen trojans

Abonnementen-trojans zijn een aloude methode om Android-gebruikers hun zuurverdiende centen afhandig te maken. Ze infiltreren een smartphone onder het mom van nuttige apps en abonneren zich stiekem op betaalde diensten. Vaker wel dan niet is het abonnement zelf echt, alleen heeft de gebruiker de dienst hoogstwaarschijnlijk helemaal niet nodig.

Lees meer »