Met Frontline video | Huib Modderkolk

Vele honderden journalisten, mensenrechtenactivisten, rechters en politici over de hele wereld zijn gehackt. Ze zijn slachtoffers geworden van de spionagesoftware Pegasus die in Israël is ontwikkeld. Ook Europese landen gebruiken de software tegen hun burgers.

De nieuwste onthullingen dit weekeinde over Pegasus, de spionagesoftware die door de Israëlische NSO Group is ontwikkeld en door overheden wereldwijd wordt ingezet tegen oppositie en media, laten zien hoe technologie in verkeerde handen een bedreiging is voor de democratische samenleving.

Het toont ook hoe Europese landen als Nederland met het inkopen van commerciële hacksoftware een verdienmodel in stand houden waarvan activisten, journalisten, rechters en volksvertegenwoordigers de dupe kunnen zijn.

De spionagesoftware van Pegasus kan haast alles: berichten onderscheppen, meeluisteren via de microfoon of een doelwit filmen via de camera. Hij kan bijhouden waar iemand is, waar iemand is geweest en met wie iemand afspreekt. De spyware, geschikt voor zowel iOS als Android, is bedoeld om terrorismeverdachten en zware criminelen op te sporen, zegt de NSO Group. Volgens het Israëlische bedrijf wordt het pakket alleen verkocht aan ‘geautoriseerde regeringen’.

Maar op een lijst van 50 duizend mogelijke doelwitten van Pegasus in 2016, in handen van de Franse ngo Forbidden Stories en van Amnesty International, en gedeeld met internationale media, prijken ook meer dan 180 journalisten en tientallen activisten en rechters.

Het nummer van de Mexicaanse journalist Cecilio Pineda Birto verscheen vlak voordat hij werd vermoord op de lijst. De smartphone van de verloofde van Jamal Khashoggi, de Saoedische columnist die in Istanbul werd vermoord en in stukken gezaagd, werd waarschijnlijk geïnfecteerd met Pegasus.

Meer dan 600 politici en overheidsmedewerkers, 65 zakenlieden en 85 mensenrechtenactivisten zijn op de lijst terug te vinden. ‘De mythe dat dit soort spyware alleen wordt verkocht om in te zetten tegen terroristen en criminelen is voor eens en altijd doorgeprikt’, zegt Marietje Schaake, directeur bij het Cyber Policy Center van Stanford University en voormalig europarlementariër die zich jarenlang inzette voor het exportverbod van spionagemiddelen.

Schaake is ontzet over de ‘hypocrisie’ van Europese landen als het gaat over dit soort ‘indringende en zeer gevaarlijke technologie’. Hongarije, lid van de EU, heeft middels de spionagesoftware de telefoons van twee Hongaarse journalisten kunnen hacken.

Schaake: ‘Europese landen propageren privacy, persvrijheid, het recht om te demonstreren. Tegelijkertijd kunnen landen binnen Europa dit soort technologieën kopen om kritische stemmen te intimideren en volgen.’

Maffia

Dat Europa een wet heeft om te voorkomen dat Europese spionagetechnologie wordt geëxporteerd naar autoritaire regimes vindt Schaake goed, maar niet afdoende. ‘Die wet verhindert niet dat Israëlische commerciële partijen hun gang gaan en voor verdere proliferatie kunnen zorgen. Iedereen die dit soort spyware wil kopen, kan het kopen. Ook de maffia en criminele partijen. Die commerciële handel moeten we stoppen.’

Pegasus is steeds geavanceerder geworden. Eerdere versies vereisten dat slachtoffers op een link klikten die ze via sms of e-mail kregen. In nieuwere versies hoefde dat niet – slachtoffers hadden niets door. In 2019 zei WhatsApp al dat de NSO Group middels een kwetsbaarheid in de app 1.400 slachtoffers had kunnen maken. Door een gesprek te beginnen kon de malware op de telefoon worden gezet. Slachtoffers hoefden het gesprek niet eens te beantwoorden om geïnfecteerd te raken.

De NSO Group werkt als een commerciële inlichtingendienst en heeft nauwe banden met de veiligheidsdiensten van Israël. Een extra reden om uiterst terughoudend te zijn met de inkoop, vindt Schaake. Ook Nederlandse inlichtingenbronnen zijn beducht voor dit risico. Ze wijzen erop dat de Israëlische overheid het netwerk van de NSO Group onderhoudt.

‘Ik heb er geen twijfel over dat Israël op deze manier meekijkt wat legitieme staten aan het doen zijn’, zegt een inlichtingenbron. In Europa werden meer dan duizend telefoonnummers nummers geselecteerd door de klanten van NSO Group.

Nederlandse politie

Ook de Nederlandse politie koopt sinds maart 2019 commerciële hacksoftware in. Ze heeft daarvoor een budget van 10 miljoen euro en moet zich aan één voorwaarde houden. In het regeerakkoord is afgesproken dat er geen spyware wordt gekocht van leveranciers die leveren aan dubieuze regimes, zoals de NSO Group.

Maar of de politie zich aan die afspraak houdt, is onmogelijk vast te stellen. De politie weigert openheid te betrachten en beantwoordt geen vragen over hacksoftware.

De Volkskrant heeft in juni 2019 een Wob-verzoek gedaan om die openheid af te dwingen. De politie heeft daarop meerdere beslistermijnen laten verstrijken en geweigerd een inhoudelijke reactie te geven, waardoor er na twee jaar nog altijd geen antwoord is. De zaak is onder de rechter.

Het traineren van dit specifieke Wob-verzoek is door hoogleraar staatsrecht Wim Voermans als voorbeeld opgenomen in zijn boek Het land moet bestuurd worden over machtsmisbruik door de overheid. Voermans noemt het een ‘betrekkelijk eenvoudige zaak’ waarbij de politie ‘niet veel beter wist te doen dan uit te stellen, niet te beslissen om uiteindelijk twintig kantjes onsamenhangende en intimiderende juridische gekkigheid op te schrijven’.

Marietje Schaake vindt die opstelling ‘kwalijk’. ‘Het gebrek aan transparantie over dit soort hackmiddelen is een groot probleem en doet weinig goeds vermoeden. We weten niet wie er verder actief zijn op deze markt en wat hun ethische standaarden zijn.’ Volgens inlichtingenbronnen is er een grote kans dat de Nederlandse politie hacksoftware inkoopt bij de NSO Group. Veel andere geschikte partijen zouden er niet zijn.

Hackbevoegdheid

De Inspectie Justitie en Veiligheid stelde in juni vast dat de politie bij bijna alle hacks in 2020 gebruikmaakte van commerciële hacksoftware waarbij ‘de leverancier toegang heeft zonder dat de politie dit kan beperken of controleren’.

De inzet is risicovol, zegt de Inspectie. ‘Risico’s kunnen niet worden uitgesloten voor wat betreft de betrouwbaarheid van met de hackbevoegdheid verkregen bewijs en de privacy van de betrokkene.’

Ronald Prins, oprichter van beveiligingsbedrijf Hunt & Hackett dat bij klanten zoekt naar sporen van spionagesoftware, vindt dat overheden terughoudend moeten zijn met het inkopen van hacksoftware. ‘Je moet als westers land heel goed opletten met welke leverancier je in zee gaat, want Israël kijkt met je mee.’

Of er ook Nederlandse slachtoffers in de nu opgedoken lijst zaten, is niet bekend. Er is geen forensisch onderzoek gedaan op Nederlandse smartphones om Pegasus te vinden, wat kan betekenen dat er geen Nederlandse nummers in de database zaten, of dat de internationale onderzoekers de voorkeur gaven aan onderzoek op andere plekken.

Bron: Volkskrant