Je moet er niet aan denken: iemand kan op afstand alle inhoud van je smartphone meelezen. Zonder dat je iets merkt en zonder dat je er iets tegen kunt doen. Een groot datalek verklapte het bestaan van dit soort malware: Pegasus. Waarbij de controverse vooral zit in het feit dat de surveillancemalware vooral gebruikt werd door overheden.
Als we denken aan cyberaanvallen, denken we vaak aan China en Rusland. Die de intensiteit van hun ontkenningen lijken te koppelen aan de hoeveelheid bewijslast van de aanval. Maar natuurlijk wassen Westerse landen hun handen niet in onschuld als het aankomt op cyberaanvallen. Hierbij natuurlijk als grootste voorbeeld de enorme ongeoorloofde (en mensenrechten-schendende) surveillance, hacks en aanvallen die worden uitgevoerd door de Amerikaanse NSA, Britse GCHQ en Westerse partners, die dankzij Edward Snowden aan het licht kwamen.
NSO Group: malware uit Israël
Het nieuwste overheidsmalware-schandaal komt uit Israëlische hoek. Ongebruikelijk, maar ook niet helemaal onverwacht. Al eerder is Israël op de kaart gezet als het aankomt op cyberaanvallen, dankzij de Stuxnet-malware. Deze malware was ontzettend geavanceerd en ontwikkeld om Iraanse kernreactoren, die gebruikt werden voor het Iraanse nucleaire programma, stil te leggen. Met succes. Stuxnet werd ontdekt en de kwetsbaarheden die werden gebruikt om de malware zijn werk te laten doen kwamen aan het licht. Hierdoor konden cybercriminelen aan de haal met code en kwetsbaarheden voor het ontwikkelen van hun eigen malware, wat een kettingreactie aan cybercrime veroorzaakte.
Achter Pegasus zit de Israëlische NSO Group, een techfirma die naar eigen zeggen surveillancetools ontwikkelt en licenseert aan buitenlandse overheden. Naar eigen zeggen alleen om criminele- en terreurorganisaties te bestrijden. Al blijkt uit de lekken dat niet alle overheidsafnemers even betrouwbaar zijn en veel doelwitten juist geen criminelen of terroristen waren, maar ook vaak journalisten en dissidenten. De NSO Group verschuilt zich achter de onduidelijkheid van de afkomst van de lekken, die door veel media (waaronder The Guardian) naar buiten zijn gebracht.
In deze datalekken bevindt zich een database van 50.000 telefoonnummers van vermeende doelwitten sinds 2016. Forbidden Stories, een Franse nonprofit journalistenorganisatie en Amnesty International kregen de lijst in handen en werkte met 16 mediabureau’s samen om hierover te berichten.Jaren na de onthullingen van Edward Snowden blijkt er in praktijk niks verbeterd.
Wat doet Pegasus?
Net als Stuxnet valt bij Pegasus op dat de malware ontzettend geavanceerd is; waarbij eigenlijk iedereen met een smartphone doelwit kan zijn. Ook wordt de malware gebruikt om gericht te schieten. Specifieke doelwitten worden uitgezocht voor de cyberaanval. De onderzoekers die Pegasus aan het licht brachten hadden de grootste moeite om de malware te achterhalen. Zo moest er forensisch onderzoek aan te pas komen in het veiligheidslaboratorium van Amnesty International om de activiteiten van de malware te achterhalen. Hoe de malware zich op een toestel nestelt, daar is nog niks over bekend. Evenals de vraag wie de opdrachtgever is. Doelwitten en uitvoerders van Pegasus zijn vooral aan het licht gekomen door een datalek.
De malware weet zich op een smartphone te nestelen door gebruik te maken van kwetsbaarheden in het toestel en geïnstalleerde apps. Eventueel is het ook mogelijk om de malware op een toestel te installeren door het doelwit een link te laten openen die naar de malware verwijst.
Wanneer Pegasus zich op een smartphone heeft genesteld kan het in theorie overal bij. Je sms’jes, mails, chats (zowel WhatsApp als iMessage), bestanden, foto’s en video’s, je contactenlijst, agenda en systeemonderdelen zoals je locatiegegevens, microfoon, camera en zelfs telefoonoproepen opnemen.
Het malware-arsenaal is dusdanig uitgebreid dat het niet uit maakt of het doelwit een iPhone of een Android-smartphone gebruikt.Ondanks Apple’s heftige security-marketing, blijkt geen enkel apparaat veilig. Ook iPhones niet.
Wie gebruikt Pegasus?
De NSO Group doet geen uitspraken over wie klanten zijn, al stelt het bedrijf wel dat het zestig klanten heeft verspreid over veertig landen. Uit onderzoek van de data werden meerdere overheden geïdentificeerd, waaronder Mexico, Marokko, Hongarije, India, Saudi Arabië en Rwanda. Een divers palet aan overheden, waaronder landen die worstelen met persvrijheid en daarom happig zijn op tools als deze om journalisten (en hun contacten) te volgen. Het feit dat de malware werd aangetroffen op smartphones van journalisten geeft aan dat dit ook gebeurde. Maar ook rechters, mensenrechtenactivisten, zakenlieden, diplomaten en bewindslieden bleken doelwit te zijn. De komende weken zullen meer verhalen uit de doeken worden gedaan over mogelijke doelwitten.
Ook bleek in april 2022 dat minstens vijf EU-ambtenaren doelwit waren van Pegasus. Hieronder de naam Didier Reynders; een van de commissarissen van de Europese Commissie. Wie er achter de aanval zit, blijft onbekend. Ook wast de NSO Group de handen in onschuld. Het Europees Parlement is aan het onderzoeken of de spyware gebruikt wordt in de Europese Unie.
Wat kun je zelf doen?
We worden allemaal opgevoed met verstandig gedrag op het internet. Bescherm je pc met een virusscanner, druk niet zomaar op linkjes, laat niet overal je gegevens achter, druk niet altijd op Ok en wees voorzichtig met wat je installeert. Pegasus is een bevestiging, dat als je een interessant doelwit bent, je altijd besmet kan raken. Ongeacht je goede internetgewoontes. Het is maar net hoe veel een opdrachtgever er voor over heeft je te volgen.
Omdat de malware onzichtbaar is, heb je zelf niets door van de malware-besmetting of -werking. De reden waarom er zo gericht werd geschoten met Pegasus is waarschijnlijk om de malware en gebruikte kwetsbaarheden onder de pet te houden. Dat is beangstigend. Ook dat overheden het gebruiken om te spioneren. Na de onthullingen van Edward Snowden was de reactie namelijk dat overheids-cyberaanvallen juist gebruikt worden voor veiligheid. Bijvoorbeeld door tegen terrorisme. De doelwittenlijst laat juist zien dat overheidsmalware nog altijd gebruikt wordt voor het tegenovergestelde, en dat het absoluut niet alleen uit de bekende Chinese en Russische hoek komt.
Nu de malware aan het licht is gekomen, ontstaat er een ander probleem. Na Stuxnet werd er veel nieuwe malware ontwikkeld die stukjes code en kwetsbaarheden gebruikte uit de malware. Nu Pegasus is ontdekt kan dit ook weer het geval zijn. Als iemand met kwade intenties de malware achterhaalt en ontrafelt kan deze gebruikt worden voor malware op grote schaal, zoals verspreiding van ransomware.
Overheidsmalware wordt niet in Nederland gebruikt… Toch?
Of er Nederlandse doelwitten zijn is nog onduidelijk. Ook is er nog niks bekend of Nederlandse overheden en geheime diensten klant zijn bij de NSO Group. Er is echter genoeg reden tot zorg. De kans is aanwezig dat Nederlandse overheden en geheime diensten überhaupt geen klant zijn bij de NSO Group. Het is echter naïef om te denken dat er hier niet zulke malware ingezet wordt. Deze kan mogelijk zelf ontwikkeld worden, in samenwerking worden gebruikt met andere geheime diensten of afgenomen worden bij andere bedrijven.
Zo probeerde de Volkskrant te achterhalen of de Nederlandse politie gebruikmaakt van hacksoftware, waaronder Pegasus. Via de Wet Openbaarheid Bestuur (WOB) probeerde de journalisten dit te achterhalen. Ondanks dat dit gegevensverzoek zelfs door de rechter is bekrachtigd, weigert de politie nog altijd openheid van zaken te geven. De dwangsom (opgelopen tot 15.000 euro) ten spijt.
Ook het demissionaire kabinet hield in september 2021 desgevraagd zijn kaken op elkaar op de vraag of de overheid Pegasus inzet voor spionage.
Sleepwet zet deur open
Ondanks dat regels aan de laars gelapt worden aangaande de WOB-aanvraag is het bijzondere dat Nederlandse geheime diensten mogen dit gewoon gebruiken. Zonder dat ze hierbij duidelijk hoeven te maken welke tools en kwetsbaarheden er gebruikt worden. Dat laatste zou bijdragen aan een veiligere digitale wereld voor iedereen. De controversiële Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017), ook wel de sleepwet genoemd geeft hier groen licht voor. Nadat de wet in een raadgevend referendum in 2018 werd afgekeurd, is deze toch in gebruik genomen nadat er (o.a.) een toetsingscommissie (TIB) in het leven werd geroepen.
Toch heeft de wet geheime diensten vrijheid gegeven ook dit soort malware in te zetten. Zo mag van iedereen communicatie worden afgetapt. Ook van niet-verdachte burgers en mensen die zich in de buurt van een verdacht persoon hebben begeven. Er mag worden ingebroken op apparatuur én verzamelde gegevens mogen gedeeld worden met Buitenlandse regimes zonder dat gespecificeerd wordt welke. Ook hoeft er niets te worden gedeeld over welke tools of schimmige bedrijven worden ingezet voor de hacks en infecties.
Pegasus: het topje van de ijsberg
De eerste berichten over de Pegasus malware zijn onlangs verschenen. Meerdere media-organisaties werken samen met Amnesty International en Forbidden Stories om de misstanden aan het licht te brengen.
Bron: computertotaal.nl, wikipedia.org, theguardian.com, businessam.be
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer malware nieuws
Coronavirus-campagnes verspreid Emotet, Malware
Aangezien het coronavirus uit de provincie Wuhan in China nog steeds wijdverbreide angsten wekt over een mondiale volksgezondheidscrisis, zien sommigen een kans in de uitbraak.
Muziek: Artiesten en nummers om malware te verspreiden
Kaspersky-beveiligingstechnologieën ontdekten een toename van 39% van aanvallen (pogingen om kwaadaardige bestanden te downloaden of uit te voeren) onder het mom van het werk van 'genomineerden in 2019, vergeleken met 2018'. Ariana Grande, Taylor Swift en Post Malone waren de favorieten van aanvallers, met deze genomineerden namen die het meest worden gebruikt in 2019 als vermomming voor malware.
Kerstmis malware verspreidt zich snel
Het is tijd voor lelijke kersttruien - en voor lelijke spammails met een kerstthema. Een nieuwe malspam-campagne dumpt een e-mail in uw inbox met 'Christmas Party', 'Christmas Party volgende week', 'Partymenu', 'Vakantieschema' of iets dergelijks. Maar het bijgevoegde Word-document bevat een gevaarlijke malware: de beruchte Trojan-malware van Emotet.
Nepkortingsbonnen McDonalds leiden naar bankmalware
Facebook gebruikers zijn gewaarschuwd voor zogenaamde kortingsbonnen van 'McDonalds' die via het platform worden aangeboden. In plaats van een korting op een Big Mac, wacht er een infectie met bankmalware, die gegevens voor internetbankieren onderschept. Dat meldt antivirusbedrijf ESET.
Bestandloze malware "Campagnes zonder infectie zijn moeilijk te detecteren"
Net zoals criminelen kunnen worden gepakt door vingerafdrukken of DNA op de plaats delict, laten hackers ook sporen achter op geïnfecteerde systemen. Om het bewijs van hun aanvallen te verbloemen, hebben cybercriminelen bestandsloze malware ontwikkeld. Deze schadelijke softwarevariant bestaat slechts als een artefact op het computergeheugen. De infectie of malware plaatst geen uitvoerbare bestanden op de harde schijf van het geïnfecteerde systeem om de detectie van de aanval zo lang mogelijk te verbergen. Verschillende nieuwe campagnes, die gebruikmaken van bestandsloze malware-aanvallen, zijn geanalyseerd door het Zscaler-ThreatlabZ-team.
Aanvallers blijven gebruikmaken van meer sociale engineering en verfijning
Ondanks een afwezigheid van bijna vier maanden, was de terugkeer van 'Emotet' in de laatste twee weken van september goed voor bijna 12 procent van alle kwaadaardige e-mailvoorbeelden in het derde kwartaal, waardoor miljoenen berichten met kwaadaardige URL's of bijlagen werden afgeleverd, vond Proofpoint.
Chinese hackers richten zich op sms-berichten met een nieuwe vorm van malware
Aangenomen wordt dat een Chinese, door de staat gesponsorde hackinggroep achter een nieuwe vorm van malware zit die zich richt op sms-berichten op servers van telecommunicatiebedrijven.
Malware apps in Appstore
Hoewel er behoorlijk wat apps bestaan die je leven een stuk spannender en aangenamer maken, zijn er helaas ook applicaties die het tegenovergestelde lijken te doen. Apple‘s App Store treft maatregelen om deze dubieuze apps te weren, maar kan niet voorkomen dat het soms mis gaat. Zo liet de beveiligingsfirma Wandera afgelopen donderdag weten dat zeventien apps in de App Store geïnfecteerd zouden zijn met clicker trojan malware. De geïnfecteerde apps zouden gebruikt worden om advertentiefraude te plegen door veelvuldig verbinding te maken met advertentienetwerken of websites.
Windows- en Mac-gebruikers opgepast met Flash-updates
Gebruikers van Windows en macOS moeten extra alert zijn voor pop-ups van 'Adobe Flash'. Via valse, misleidende notificaties wordt geprobeerd om jouw systeem te infecteren met malware of ransomware.
Nieuwe Malware ATTOR is compleet spionageplatform
Cybersecurity onderzoekers hebben een nieuw malware ontdekt dat onder andere het gebruik van de encryptiesoftware 'TrueCrypt' op besmette systemen monitort. De malware heet 'Attor' en wordt door antivirusbedrijf 'ESET' als een compleet spionageplatform omschreven.
Malware die audio en video opneemt bij bezoek porno-website
Cybersecurity onderzoekers hebben malware ontdekt die audio en video opneemt als de gebruiker van de besmette machine pornosites bezoekt. Het opgenomen materiaal kan mogelijk worden gebruikt om het slachtoffer af te persen (sextortion).
Face-App malafide? Zaklamp-App niet!?
Onlangs werd FaceApp veel besproken op internet, omdat het bedrijf erachter Russisch is en de app toestemming vraagt voor toegang tot onder andere foto's. Het is duidelijk dat FaceApp niet kwaadaardig is, hoewel het geldige privacy kwesties oplevert. Is dit echter een speciaal geval of moeten we ons zorgen maken over alle apps die we gebruiken? Ik heb het niet over stalkerware-apps, maar over de miljoenen schijnbaar onschadelijke apps die te vinden zijn in de Google Play Store.