Minstens 180 journalisten wereldwijd zijn geselecteerd als potentieel doelwit door klanten van het cyberspionagebedrijf NSO Group. Dat blijkt uit een onderzoek door Forbidden Stories in samenwerking met Knack, Le Soir en 14 andere mediapartners. Sporen van Pegasus, geavanceerde software om smartphones te bespioneren, zijn aangetroffen op de iPhones van ruim een dozijn journalisten die de voorbije maanden meewerkten aan een forensische analyse door Amnesty International Security Lab.
In mei 2021 hoopte de Azerbeidzjaanse journaliste Khadija Ismayilova – collega van Knack bij het Internationaal Consortium van Onderzoeksjournalisten (ICIJ) – dat haar leven eindelijk weer normaal zou worden. Het vijfjarige verbod om haar land te verlaten zat erop, nadat ze eerder ook al 18 maanden in de gevangenis moest doorbrengen, officieel omwille van belastingfraude. En de kranige journaliste had al heel wat meegemaakt. Camera’s die stiekem in haar huis waren geïnstalleerd filmden haar terwijl ze seks had. De beelden belandden in 2012 online. Ismayilova had daarvoor onder meer geschreven over corruptie en deinsde er niet voor terug om in dat verband Azerbeidzjaans president Ilham Aliyev te noemen.
Toen Ismayilova in mei dit jaar op het vliegtuig naar Turkije stapte, hoopte ze alle problemen achter zich te kunnen laten. Wist zij veel dat de meest invasieve spion gewoon met haar meereisde. Gedurende bijna drie jaar was Ismayilova’s telefoon immers herhaaldelijk geïnfecteerd met Pegasus – geavanceerde spyware ontwikkeld door het Israëlische bedrijf NSO Group die hackers toegang geeft tot letterlijk alles op je smartphone. Onderzoekers van Amnesty International Security Lab troffen in mei sporen van de malware aan op Ismayilova’s smartphone.
IJzeren tent
Een dag nadat Ismayilova in Turkije de resultaten van het forensisch onderzoek op haar telefoon onder ogen had gekregen, sprak ze met journalisten van het Pegasus Project. ‘Ik heb de hele nacht liggen denken aan wat ik allemaal op mijn telefoon heb gedaan. Ik voel me schuldig voor de berichten die ik heb verstuurd. Ik voel me schuldig voor de bronnen die me info stuurden en dachten dat de geëncrypteerde berichtendiensten die we gebruikten veilig waren. Ze wisten niet dat mijn telefoon geïnfecteerd was.’
Ismayilova vertelt dat onderzoeksjournalisten onder elkaar tips uitwisselen over veilig communiceren. ‘We raadden elkaar die of die tool aan. Maar gisteren besefte ik dat er gewoon géén manier is om veilig te communiceren. Tenzij je jezelf opsluit in een ijzeren tent.’
Pegasus kan immers versleutelde berichten omzeilen. Gewoon door ze mee te lezen op het moment dat je ze op je smartphone verstuurt of ontvangt.
Gelekte lijst met telefoonnummers
Het gsm-nummer van Khadija Ismayilova is maar een van de nummers op een gelekte lijst van meer dan 50.000 telefoonnummers die sinds 2016 door klanten van het Israëlische spytechbedrijf NSO Group zijn geselecteerd als potentieel doelwit voor cyberspionage. Het non-profitplatform Forbidden Stories – dat het werk van bedreigde of vermoorde journalisten voortzet – en mensenrechtenorganisatie Amnesty International kregen toegang tot de gelekte lijst. Daarop staan telefoonnummers uit een vijftigtal landen. Dat een telefoonnummer op de lijst voorkomt, betekent niet noodzakelijk dat het toestel in kwestie ook daadwerkelijk aangevallen of geïnfecteerd is met spyware van NSO. Om die claim te kunnen maken, is forensische analyse van de smartphones zelf nodig.
Het gegevenslek was dan ook slechts het startpunt van ons onderzoek. 80 journalisten van 17 media hebben maandenlang uitgevlooid aan wie de telefoonnummers toebehoren. Zo achterhaalden we dat de nummers van minstens 180 journalisten uit 20 landen opduiken in de lijst. Hun nummers waren geselecteerd door de overheden van minstens 10 landen die klant zijn of waren van NSO. Het gaat zowel om democratieën als India en Mexico als om autocratische regimes als Bahrein en Saudi-Arabië.
Onder de ruim 180 journalisten vinden we lokale reporters, maar ook journalisten die werken voor gevestigde internationale titels zoals de Financial Times, The New York Times, persagentschappen AP, AFP, Reuters en Bloomberg, CNN, de Franse media Médiapart, Le Canard enchaîné en Le Monde, de Spaanse krant El Pais en het Britse weekblad The Economist. Een aantal van de ruim 180 journalisten zijn de voorbije jaren gearresteerd of zwartgemaakt, andere moesten hun land ontvluchten.
‘Dissidente stemmen onderdrukken’
De voorbije jaren zijn al herhaaldelijk gevallen van Pegasus-infecties bij journalisten publiek gemaakt. Zo onthulde het Citizen Lab aan de Universiteit van Toronto in Canada – gespecialiseerd in het detecteren van malware – in december 2020 nog dat journalisten van nieuwszender Al Jazeera waren bespioneerd. Maar dat de surveillance van media op zo’n gigantische schaal gebeurt als nu blijkt uit het Pegasus Project, dat is nieuws. Slecht nieuws.
Meer dan 20 van de ruim 180 journalisten konden we de voorbije weken en maanden ook overtuigen om hun smartphone te laten onderzoeken door IT-specialisten van Amnesty International Security Lab (in een aantal landen was het gewoonweg te gevaarlijk om hen te benaderen). Resultaat? De gsm’s van ruim een dozijn journalisten vertoonden sporen van malware of pogingen tot infectie: volgens Security Lab gaat het duidelijk om Pegasus. De meest recente besmetting die werd vastgesteld, dateert van juli 2021.
‘Die cijfers tonen duidelijk dat het misbruik wijdverspreid is. Het brengt de levens van journalisten en hun families in gevaar, ondermijnt de persvrijheid en legt kritische media het zwijgen op’, zegt Agnes Callamard, secretaris-generaal van Amnesty International. ‘Het is hen erom te doen het publieke narratief te controleren, controle te voorkomen en dissidente stemmen te onderdrukken.’
Domino-effect op de bredere gemeenschap
Het Israëlische bedrijf NSO Group, dat de spyware Pegasus verkoopt aan een reeks landen, zegt dat Pegasus dient om criminaliteit en terrorisme te bestrijden. Het stelt dat het géén zicht heeft op wie de doelwitten zijn die door klanten worden geselecteerd. Bovendien stelt NSO dat het bij aanwijzingen van misbruik steeds een grondig onderzoek voert, wat kan leiden tot het afsluiten van de klant van het systeem.
‘De claim van NSO dat zijn tool enkel gebruikt wordt om misdaad en terrorisme te bestrijden, ligt aan flarden’, reageert Dana Ingleton, vicedirecteur van Amnesty Tech. ‘Het aantal journalisten geïdentificeerd als doelwit is huiveringwekkend. Dat toont aan hoe Pegasus wordt gebruikt om de persvrijheid aan te vallen en journalisten in gevaar te brengen.’
Wanneer de smartphone van een journalist bespioneerd wordt, kan dat tal van gevolgen hebben. Zijn confidentiële bronnen kunnen worden achterhaald – wat raakt aan de kern van journalistiek en persvrijheid. Informatie op de smartphone kan ook gebruikt worden om de journalist te intimideren, chanteren, tot zelfcensuur aan te zetten, zijn of haar imago en geloofwaardigheid publiek te besmeuren, of toekomstige publicaties in het publieke belang te beïnvloeden of te voorkomen.
‘De impact van onder digitaal toezicht te staan kan verwoestend zijn’, zegt Ingleton. ‘Het maakt het niet alleen moeilijker voor journalisten om hun legitieme werk te doen, maar ook het psychologische leed kan hun leven ernstig beïnvloeden. Dat kan volgens Ingleton leiden tot échte schade, van lastercampagnes tot onwettige opsluiting – en in extreme gevallen zelfs tot moord. ‘Maar de schade beperkt zich niet tot wie doelwit is van spionage. Journalisten en activisten bespioneren, kan en zal een domino-effect hebben op de bredere gemeenschap. Zo plant je zaadjes van twijfel over met wie je veilig kunt communiceren en wie je kunt vertrouwen. Ik ken een activiste die zelfs geen berichtjes van haar eigen dochter meer durfde te openen uit angst dat daardoor haar gsm zou worden geïnfecteerd.’
‘Iedereen zal nu denken dat we toxisch zijn’
Dat de telefoon van een journaliste als Khadija Ismayilova in een land als Azerbeidzjan bespioneerd wordt, hoeft misschien niet meteen te verrassen – gelet op alle andere moeilijkheden die ze al moest doorstaan. Maar ook dichter bij huis blijken journalisten het doelwit te zijn van Pegasus. Zoals onze collega’s van het Hongaarse medium Direkt36, waarmee Knack geregeld samenwerkt in projecten van het Internationaal Consortium van Onderzoeksjournalisten (ICIJ).
‘Verwoestend.’ In één woord beschrijft Szalbolcs Panyi, onderzoeksjournalist bij Direkt36, hoe het nieuws dat zijn telefoon besmet was met Pegasus bij hem aankwam. De dertiger met ronde brilglazen won al verschillende awards en is gespecialiseerd in berichtgeving over defensie en buitenlandse zaken. Ook zijn gsm-nummer staat op de gelekte lijst. En Amnesty International Security Lab vond op zijn smartphone inderdaad aanwijzingen dat het toestel herhaaldelijk besmet was met Pegasus in 2019. In die periode werkte hij onder meer aan verschillende onderzoeksverhalen. Panyi is nu vooral bezorgd dat bronnen misschien niet meer naar hem zullen stappen. ‘Iedereen zal nu denken dat we toxisch zijn.’
Ook zijn Direkt36-collega András Szabó kreeg te horen dat zijn smartphone besmet was met Pegasus. ‘Ik begreep niet hoe dat kon gebeuren’, zegt Szabó, ‘want we zijn bij Direkt36 altijd zeer voorzichtig geweest als het aankomt op veiligheid. We bellen niet via de telefoon maar via de Signal-app, die in theorie niet gehackt kan worden. Ik bescherm mijn telefoon en laptop met paswoorden. Maar blijkbaar volstonden al die voorzorgen niet, want hackers gebruikten zogenaamde zero-day-kwetsbaarheden op mijn telefoon om zich toegang te verschaffen tot mijn data.’ Die zero-days zijn eenvoudigweg kwetsbaarheden in software die nog niet eerder publiek zijn gemaakt en daardoor door hackers misbruikt kunnen worden. Onderzoek door Amnesty International Security Lab wees uit dat Szabó’s iPhone minstens twee keer gehackt was in de loop van 2019. ‘Ik heb nog altijd een hoop vragen’, zegt Szabó. ‘Ik weet bijvoorbeeld niet voor wie de hackers werkten en waarom ze mij interessant vonden.’
Correspondent voor Le Soir
Sinds Viktor Orbán in 2010 premier werd van Hongarije, is het land gezakt op de Wereld Persvrijheid Index van de 23e naar de 92e plaats. Een andere journalist die in Hongarije verbleef op het moment dat tevergeefs een poging werd ondernomen om zijn gsm met Hongaars nummer te infecteren – zo blijkt uit forensisch onderzoek door Security Lab – is de Belgisch-Canadese Adrien Beauduin.
Dat jaar, in 2018, werkte hij eigenlijk nog niet als freelance correspondent voor Le Soir, maar schreef hij een doctoraat aan de Central European University (CEU), een instelling gefinancierd door de Hongaarse miljardair George Soros.
Beauduin werd in december 2018 nog gearresteerd tijdens een protestactie in de Hongaarse hoofdstad Boedapest op verdenking van geweld tegen de politie. Zijn advocaat zegt dat daarvoor geen echt bewijs voorhanden was. Ze vermoedt dat de arrestatie ‘sterk politiek gemotiveerd’ was. Niet lang na de arrestatie toont Beauduins telefoon een spoor dat volgens Amnesty International Security Lab leidt naar Pegasus maar níét wijst op een geslaagde infectie. Ook Beauduins nummer stond op de gelekte lijst.
In een reactie aan onze mediapartner Süddeutsche Zeitung wijst een woordvoerder van de Hongaarse regering alle beschuldigingen van de hand. ‘Hongarije is een democratische rechtsstaat, en als zodanig heeft het altijd gehandeld en zal het blijven handelen in overeenstemming met de geldende wetgeving, wanneer het om een individu gaat. In Hongarije worden staatsorganen die gemachtigd zijn geheime instrumenten te gebruiken, regelmatig gecontroleerd door gouvernementele en niet-gouvernementele instellingen. Hebt u dezelfde vragen gesteld aan de regeringen van Amerika, het Verenigd Koninkrijk, Duitsland of Frankrijk? In het geval dat u dat hebt gedaan, hoe lang heeft het geduurd voordat zij antwoordden en hoe hebben zij geantwoord? Was er een inlichtingendienst die u hielp bij het formuleren van de vragen? Zou u zo vriendelijk willen zijn om ons antwoord volledig en ongewijzigd te publiceren?’
Mediapart
Nog dichter bij huis: de telefoon van Edwy Plenel, directeur en medeoprichter van het Franse onderzoeksplatform Mediapart, werd in de zomer van 2019 geïnfecteerd, zo blijkt uit een analyse door Amnesty International Security Lab, gepeerreviewd door het Candese Citizen Lab.
In juni 2019 had Plenel deelgenomen aan een tweedaagse conferentie in Marokko, op uitnodiging van een Marokkaans onderzoeksmagazine. Plenel sprak op de conferentie over mensenrechtenschendingen in Marokko. Zodra hij terug in Parijs was, begonnen vreemde berichten te verschijnen op zijn toestel, merkte hij. Zelf denkt Plenel dat de selectie van zijn telefoonnummer als doelwit – én dat van een andere collega bij Mediapart waarbij infectie van het toestel is vastgesteld – waarschijnlijk een ’trojaans paard was, gericht op onze Marokkaanse collega’s’.
Een woordvoerder van de Marokkaanse ambassade in Parijs antwoordde aan onze Franse mediapartner Le Monde dat de Marokkaanse overheid de ‘context van de vragen over surveillance-technologie van de NSO Group’ niet begrijpt. ‘We herinneren eraan dat ongegronde aantijgingen die eerder al door Amnesty International zijn gepubliceerd en door Forbidden Stories zijn overgenomen, reeds het voorwerp hebben uitgemaakt van een officieel antwoord van de Marokkaanse autoriteiten, die de aantijgingen categorisch van de hand hebben gewezen. Sinds 22 juni 2020 wachten we op materiële bewijzen van Amnesty International, dat geen relatie heeft kunnen aantonen tussen Marokko en de bovengenoemde Israëlische onderneming.’
Een wolk van paranoia
Nog een andere case die het Pegasus Project vandaag onthult, gaat over Jamal Khashoggi. Zoals bekend werd de Washington Post-columnist op 2 oktober 2018 vermoord in het Saudische consulaat in Turkije. Twee weken later berichtte Citizen Lab al dat de telefoon van Omar Abdulaziz, een goede vriend van de vermoorde reporter, besmet was met Pegasus twee maanden voor de moord. Uit ons nieuwe onderzoek blijkt nu dat ook de smartphones van familieleden en andere vrienden van Khashoggi als doelwit geselecteerd werden voor spyware. NSO Group ontkent formeel elke betrokkenheid.
Dana Ingleton van Amnesty Tech stelt dat journalisten en activisten bespioneren voor hun legitieme werk niet minder is dan een mensenrechtenschending. ‘Dat kun je nooit rechtvaardigen.’ Ze zegt ook dat de surveillance-industrie veel beter en transparanter moet worden gereguleerd. ‘En zij die verantwoordelijk zijn voor de mensenrechtenschendingen die in dit project worden onthuld, moeten voor het gerecht worden gebracht.’
‘De angst die gepaard gaat met zo’n surveillanceklimaat is slopend voor het wereldwijde middenveld’, zegt ook professor politieke wetenschappen Ron Debeirt. Hij is directeur en oprichter van het Citizen Lab aan de Universiteit van Toronto, Canada, dat gespecialiseerd is in het detecteren van malware. ‘Dit is een probleem voor de liberale democratie. Wanneer journalisten, mensenrechtenverdedigers, activisten en advocaten moeten werken in een wolk van paranoia, dan vertraagt dat hun werk. Want het duurt gewoon tien keer langer om een conversatie te starten met iemand als je verontrust bent dat die persoon zijn telefoon wordt bespioneerd.’
NSO betwist de resultaten van ons onderzoek
NSO Group, de ontwikkelaar van Pegasus, ontkent dat de gelekte lijst met telefoonnummers ook maar iets te maken heeft met zijn Pegasus-systeem. Het bedrijf stelt ook de betrouwbaarheid van de forensische analyse door Amnesty International Security Lab ter discussie. Het technisch rapport van die analyse zou neerkomen op een ‘compilatie van speculatieve en ongefundeerde veronderstellingen’.
NSO stelt ook de ‘betrouwbaarheid van de bronnen’ van het Pegasus Project ter discussie: ‘Uw bronnen hebben u informatie gegeven die géén feitelijke basis heeft.’ NSO Group hekelt voorts dat Forbidden Stories de lijst met telefoonnummers niet aan het bedrijf heeft voorgelegd en vermoedt dat dat komt ‘omdat de lijst via illegitieme of onwettelijke manieren is verkregen’. Het bedrijf stelt ook dat het hoge aantal telefoonnummers op de lijst al duidelijk maakt dat het niet kan gaan om telefoonnummers die door NSO-klanten als doelwit worden aangemerkt.
Het bedrijf heeft, aldus een advocaat, ‘goede redenen om aan te nemen dat de lijst van “duizenden telefoonnummers” géén lijst is van nummers die door regeringen worden gebruikt voor Pegasus, maar integendeel deel zou kunnen uitmaken van een grotere lijst van nummers die mogelijk door klanten van NSO Group gebruikt worden voor andere doeleinden’. Het zou volgens NSO kunnen gaan om gelekte data van ‘publiek toegankelijke, open bronnen, zoals de HLR Lookup Service’. Dat zogenaamde Home Location Register (HLR) bevat informatie over in welk land op welk moment een gsm-toestel zich bevindt en of het aan staat. ‘Diensten als HLR Lookup zijn beschikbaar voor iedereen, eender waar, eender wanneer, en worden algemeen gebruikt door overheidsinstanties en particuliere bedrijven voor talrijke doeleinden.’
Fout opgemerkt of meer nieuws? Meld het hier
