De bibliotheek voor digitale criminaliteit | Cybercrimeinfo.nl | #CCINL

Het leek op een populaire chat-app. Het is stiekem een spionagetool.

Gepubliceerd op 15 januari 2020 om 01:29

Het leek op een populaire chat-app. Het is stiekem een spionagetool.

ToTok, een berichtenapp van Emirati die is gedownload naar miljoenen telefoons, is de nieuwste escalatie van een digitale wapenwedloop.

Het Aldar-gebouw in Abu Dhabi, Verenigde Arabische Emiraten, waar de Emiraten het inlichtingenbureau hebben staan samen met  Pax AI, een dataminingfirma verbonden aan ToTok. (Ben Job / Reuters)

WASHINGTON - Het wordt voorgesteld als een gemakkelijke en veilige manier om via video of sms te chatten met vrienden en familie, zelfs in landen waar de populaire berichtenservices zoals WhatsApp en Skype zijn ingeperkt.

Maar de service, ToTok, is eigenlijk een spionagetool, volgens Amerikaanse functionarissen die bekend zijn met een geheime inlichtingenbeoordeling en een New York Times-onderzoek naar de app en de ontwikkelaars. Het wordt gebruikt door de regering van de Verenigde Arabische Emiraten om elk gesprek, elke beweging, relatie, afspraak, geluid en beeld te traceren van degenen die het op hun telefoons installeren.

ToTok, dat slechts enkele maanden geleden werd geïntroduceerd, werd miljoenen keren gedownload van de Apple en Google app-stores door gebruikers in het Midden-Oosten, Europa, Azië, Afrika en Noord-Amerika. Hoewel de meerderheid van de gebruikers zich in de Emiraten bevindt, is ToTok afgelopen week uitgegroeid tot een van de meest gedownloade sociale apps in de Verenigde Staten, volgens app-ranglijsten en App Annie, een onderzoeksbureau.

Digitale wapenwedloop

ToTok is de laatste escalatie in een digitale wapenwedloop tussen rijke autoritaire regeringen. Dat uit interviews met huidige en voormalige Amerikaanse buitenlandse functionarissen en een forensisch onderzoek bleek. De regeringen streven naar effectievere en gemakkelijkere methoden om buitenlandse tegenstanders, criminele en terroristische netwerken, journalisten en critici te bespioneren - inspanningen die mensen over de hele wereld in hun bewakingsnetten hebben gevangen.

Landen uit de Perzische Golf zoals Saoedi-Arabië, de Emiraten en Qatar wendden zich eerder tot particuliere bedrijven - waaronder Israëlische en Amerikaanse aannemers - om rivalen en, in toenemende mate, hun eigen burgers te hacken. De ontwikkeling van ToTok, aldus experts, toonde aan dat de regeringen de tussenpersoon kunnen uitschakelen om hun doelen direct te bespioneren, die hun informatie vrijwillig of onbewust overhandigen.

Technische analyse

Een technische analyse en interviews met computerbeveiligingsexperts hebben aangetoond dat het bedrijf achter ToTok, Breej Holding, waarschijnlijk een frontbedrijf is dat is aangesloten bij DarkMatter, een in Abu Dhabi gevestigd cyberintelligence- en hackbedrijf waar inlichtingenfunctionarissen van Emirati, voormalige werknemers van de National Security Agency en voormalige Israëlische militaire inlichtingendiensten werken. DarkMatter staat onder F.B.I. onderzoek, volgens voormalige werknemers en wetshandhavingsfunctionarissen, naar mogelijke cybercriminaliteit. De Amerikaanse inlichtingendienst en de technische analyse koppelden ToTok ook aan 'Pax AI', een dataminingbedrijf in Abu Dhabi dat verbonden lijkt te zijn aan 'DarkMatter'.

Het hoofdkantoor van Pax AI werkt vanuit hetzelfde Abu Dhabi-gebouw als het signaalbureau van de Emiraten, waar tot voor kort DarkMatter was gevestigd.

Bondgenoten van Amerika

De U.A.E. is een van de nauwste bondgenoten van Amerika in het Midden-Oosten, door de regering Trump gezien als een bolwerk tegen Iran en een hechte partner voor terrorismebestrijding. De heersende familie promoot het land als een voorbeeld van een moderne, gematigde Arabische natie, maar het heeft ook een voortrekkersrol gespeeld bij het gebruik van bewakingstechnologie om interne dissidenten te bestrijden - inclusief het hacken van westerse journalisten, het leegmaken van de bankrekeningen van critici en het houden van mensenrechtenactivisten in langdurige eenzame opsluiting over Facebook-berichten.

De overheid blokkeert specifieke functies van apps zoals WhatsApp en Skype, een realiteit die ToTok bijzonder aantrekkelijk heeft gemaakt in het land. Huawei, de Chinese telecomreus, promootte onlangs ToTok in advertenties.

Woordvoerders van de C.I.A. en de regering van Emiraten weigerde commentaar te geven. Bellen naar een telefoonnummer voor Breej Holding ging onbeantwoord en Pax-medewerkers reageerden niet op e-mails en berichten. Een F.B.I. woordvoerster zei dat "de F.B.I. geeft geen commentaar op specifieke apps, we willen gebruikers altijd bewust maken van de potentiële risico's en kwetsbaarheden die deze mechanismen kunnen opleveren. ”

The New York Times

Toen 'The New York Times' aanvankelijk contact opnam met vertegenwoordigers van Apple en Google met vragen over de connectie van ToTok met de Emirati-regering, zeiden ze dat ze het zouden onderzoeken. Op donderdag heeft Google de app uit de Play Store verwijderd, nadat is vastgesteld dat ToTok niet-gespecificeerd beleid heeft geschonden. Apple heeft ToTok vrijdag uit de App Store gehaald, "er is nog steeds onderzoek naar de app", zei een woordvoerder. ToTok-gebruikers die de app al hebben gedownload, kunnen deze nog steeds gebruiken totdat ze de app van hun telefoon verwijderen.

Emirati-inlichtingen

Het was onduidelijk toen Amerikaanse inlichtingendiensten voor het eerst bepaalden dat ToTok een hulpmiddel was voor Emirati-inlichtingen, maar een persoon die bekend was met de beoordeling zei dat Amerikaanse functionarissen enkele bondgenoten voor de gevaren ervan hebben gewaarschuwd. Het is niet duidelijk of Amerikaanse functionarissen hun tegenhangers in de Emirati-regering hebben geconfronteerd met de app. Een expert op het gebied van digitale beveiliging in het Midden-Oosten, die sprak over de voorwaarde van anonimiteit om krachtige hacktools te bespreken, zei dat hoge functionarissen van Emirati hem vertelden dat ToTok inderdaad een app was ontwikkeld om zijn gebruikers in de Emiraten en daarbuiten te volgen.

Volgens een forensische analyse van Patrick Wardle, een voormalige hacker van het National Security Agency die werkt als een particulier beveiligingsonderzoeker, lijkt ToTok relatief eenvoudig te ontwikkelen. Het lijkt een kopie te zijn van een Chinese berichten-app met gratis videogesprekken, 'YeeCall', enigszins aangepast voor het Engelse en Arabische publiek.

ToTok is een slim ontworpen hulpmiddel voor massabewaking, volgens de technische analyse en interviews, omdat het net zo werkt als talloze andere Apple- en Android-apps die de locatie en contacten van gebruikers bijhouden.

Op het eerste gezicht volgt ToTok de locatie van gebruikers door een nauwkeurige weersvoorspelling te bieden. Het zoekt naar nieuwe contacten telkens wanneer een gebruiker de app opent, onder het mom dat het helpt contact te maken met zijn vrienden, net zoals hoe Instagram Facebook-vrienden markeert. Het heeft toegang tot microfoons, camera's, agenda- en andere telefoongegevens van gebruikers. Zelfs de naam is een duidelijk spel op de populaire Chinese app TikTok.

Hoewel gecheckt als "snel en veilig", maakt ToTok geen aanspraak op end-to-end encryptie, zoals WhatsApp, Signal of Skype. De enige hint dat de app gebruikersgegevens onthult, is begraven in het privacybeleid: "We kunnen uw persoonlijke gegevens delen met groepsmaatschappijen."

ToTok App

In plaats van hackers

Dus in plaats van het betalen van hackers om de toegang tot de telefoon van een doel te krijgen - normale prijs is tot $ 2,5 miljoen voor een hack tool die op afstand toegang heeft tot Android-telefoons, volgens recente prijslijsten - gaf ToTok de Emirati-regering een manier om miljoenen gebruikers te overtuigen om hun meest persoonlijke informatie gratis te overhandigen.

"Er zit een schoonheid in deze aanpak," zei de heer Wardle, nu een beveiligingsonderzoeker bij 'Jamf', een softwarebedrijf. "Je hoeft mensen niet te hacken om hen te bespioneren als je mensen kunt overtuigen om deze app vrijwillig naar hun telefoon te downloaden. Waarbij er toegang is tot contacten, videochats, locaties enz..."

In een operatie voor het verzamelen van informatie, zei de heer Wardle, zou ToTok fase 1 zijn. Net zoals het bulk metadata-verzamelprogramma van de National Security Agency - dat dit jaar stilletjes werd afgesloten - kunnen ToTok intelligentieanalisten de oproepen en contacten van gebruikers analyseren op zoek van patronen, hoewel de collectie veel invasiever is. Het is onduidelijk of ToTok de Emiratis toestaat video- of audiogesprekken van zijn gebruikers op te nemen.

Miljarden mensen zien elke dag vrijelijk af van privacy voor het gemak van het gebruik van apps op hun telefoons. In het gedeelte Privacy Project by the Times’s Opinion werd vorige week een onderzoek gepubliceerd waaruit bleek hoe app-makers en derden de bewegingen van mobiele gebruikers van minuut tot minuut bijhouden.

Particuliere bedrijven verzamelden die gegevens voor gerichte marketing. In het geval van ToTok wordt - volgens huidige en voormalige ambtenaren - er digitale kruimels achtergelaten, tevens is er veel van de informatie doorgestuurd naar inlichtingenanalisten die namens de Emiraten werken.

In de afgelopen maanden begonnen semi-officiële staatspublicaties ToTok te promoten als de gratis app waar lang op gewacht is door Emiratis. Deze maand ontvingen gebruikers van een berichtenservice in de Emiraten waarvoor betalende abonnementen nodig waren, 'Botim', een waarschuwing dat gebruikers moesten overschakelen naar ToTok - want het een "gratis, snelle en veilige" berichten-app noemde. Bij het bericht was een link om het te installeren.

De marketing lijkt zijn vruchten te hebben afgeworpen

In recensies complimenteerden Emiratis de ontwikkelaars van ToTok voor het eindelijk uitbrengen van een gratis berichten-app. “Blessings! Je app is de beste app tot nu toe die mij en mijn familie in staat heeft gesteld om verbonden te blijven !!! ”, schreef een. "Kudos," schreef een ander. "Eindelijk een app die werkt in de VAE!"

De populariteit van ToTok reikte verder dan de Emiraten. Volgens recente Google Play-ranglijsten stond het in de top 50 van gratis apps in Saoedi-Arabië, Groot-Brittannië, India, Zweden en andere landen. Sommige analisten zeiden dat het vooral populair was in het Midden-Oosten omdat het - althans op het eerste gezicht - niet verbonden was met een grote, krachtige natie.

Hoewel de app een hulpmiddel is voor de Emirati-overheid, is de exacte relatie tussen de bedrijven erachter onduidelijk. De werknemers van Pax bestaan uit Europese, Aziatische en Emirati-gegevenswetenschappers en het bedrijf wordt geleid door Andrew Jackson, een Ierse gegevenswetenschapper die eerder werkte bij 'Palantir', een bedrijf in Silicon Valley dat samenwerkt met het Pentagon en Amerikaanse spionagentschappen.

De kantoren van DarkMatter in Abu Dhabi. Technische analyse en interviews toonden aan dat het bedrijf achter ToTok, Breej Holding, waarschijnlijk een frontbedrijf is dat is aangesloten bij DarkMatter. Jon Gambrell / Associated Press

DarkMatter

Het aangesloten bedrijf, 'DarkMatter', is in feite een tak van de regering van Emiraten. Haar activiteiten omvatten het hacken van ministeries in Iran, Qatar en Turkije; leidinggevenden van FIFA, de wereldvoetbalorganisatie; journalisten en dissidenten.

Vorige maand kondigde de Emirati-regering aan dat DarkMatter fuseren met een tweetal andere bedrijven om een defensieconglomeraat te creëren dat gericht is op het afweren van cyberaanvallen.

De F.B.I. onderzoekt Amerikaanse werknemers van DarkMatter op mogelijke cybercriminaliteit, volgens mensen die bekend zijn met het onderzoek. Het onderzoek nam toe nadat voormalige hackers van het National Security Agency die voor het bedrijf werkten, zich zorgen maakten over de activiteiten en contact namen met het bureau. Reuters rapporteerde eerst het programma waaraan ze werkten, 'Project Raven'.

Pax

Bij 'Pax' scheppen datawetenschappers openlijk op over hun werk op LinkedIn. Iemand die zijn titel vermeldde als "data science team lead" zei dat hij een "message intelligence-platform" had gecreëerd dat miljarden berichten leest om vier vragen te beantwoorden: "wie je bent, wat je doet, hoe denk je en wat is je relatie met anderen. " "Met de antwoorden op deze vier vragen weten we alles over één persoon," schreef de datawetenschapper, Jingyan Wang.

Andere Pax-medewerkers beschrijven hun ervaring met het maken van tools die kunnen zoeken in gegevenssets van de overheid naar gezichten van miljarden videofeeds en Arabische dialecten van getranscribeerde videoberichten kunnen lokaliseren.

Niemand vermeldt een relatie met ToTok.

Bron: nytimes.com


«   »