211service.com
Binnen NSO, de miljarden-dollar spyware-gigant van Israël
'S Werelds meest beruchte surveillancebedrijf zegt dat het zijn daad wil opschonen. Ga door, we luisteren. 19 augustus 2020
Ariel Davis
Maâti Monjib spreekt langzaam, als een man die weet dat er naar hem geluisterd wordt.
Het is de dag van zijn 58e verjaardag als we spreken, maar er is weinig feest in zijn stem. De bewaking is hels, zegt Monjib. Het is echt moeilijk. Het bepaalt alles wat ik doe in mijn leven.
Dit verhaal maakte deel uit van ons nummer van september 2020
- Zie de rest van het nummer
- Abonneren
Monjib, hoogleraar geschiedenis aan de Universiteit van Mohammed V in Rabat, Marokko, herinnert zich nog levendig de dag in 2017 toen zijn leven veranderde. Beschuldigd van het in gevaar brengen van de staatsveiligheid door de regering die hij fel en publiekelijk heeft bekritiseerd, zat hij buiten een rechtszaal toen zijn iPhone plotseling oplichtte met een reeks sms-berichten van nummers die hij niet herkende. Ze bevatten links naar wellustig nieuws, petities en zelfs Black Friday-shoppingdeals.
Een maand later verscheen er een artikel waarin hij werd beschuldigd van verraad op een populaire nationale nieuwssite die nauwe banden had met de koninklijke heersers van Marokko. Monjib was gewend aan aanvallen, maar nu leek het erop dat zijn belagers alles over hem wisten: een ander artikel bevatte informatie over een pro-democratie-evenement dat hij zou bijwonen, maar waarover hij bijna niemand had verteld. Eén verhaal verkondigde zelfs dat de professor geen geheimen voor ons heeft.
Hij was gehackt. De berichten hadden allemaal geleid tot websites die volgens onderzoekers waren opgezet als lokaas om de apparaten van bezoekers te infecteren met Pegasus, de meest beruchte spyware ter wereld.
Pegasus is het kaskrakerproduct van NSO Group, een geheimzinnig Israëlisch bewakingsbedrijf van een miljard dollar. Het wordt verkocht aan wetshandhavings- en inlichtingendiensten over de hele wereld, die de tools van het bedrijf gebruiken om een menselijk doelwit te kiezen, de telefoon van de persoon met de spyware te infecteren en vervolgens het apparaat over te nemen. Zodra Pegasus op uw telefoon staat, is het niet langer uw telefoon.

De Marokkaanse academische en campagnevoerder voor vrije meningsuiting Maâti Monjib wordt al jaren door zijn regering in de gaten gehouden. De bewaking is hels, zegt hij.
NSO verkoopt Pegasus met dezelfde toonhoogte die wapenhandelaars gebruiken om conventionele wapens te verkopen, en positioneert het als een cruciaal hulpmiddel bij de jacht op terroristen en criminelen. In een tijdperk van alomtegenwoordige technologie en sterke versleuteling, is dergelijk rechtmatig hacken naar voren gekomen als een krachtig hulpmiddel voor de openbare veiligheid wanneer wetshandhavers toegang tot gegevens nodig hebben. NSO houdt vol dat de overgrote meerderheid van haar klanten Europese democratieën zijn, hoewel dat nooit is geverifieerd omdat het geen klantenlijsten vrijgeeft en de landen zelf zwijgen.
Het geval van Monjib is echter een van een lange lijst van incidenten waarbij Pegasus is gebruikt als een instrument van onderdrukking. Het is in verband gebracht met zaken als de moord op de Saoedische journalist Jamal Khashoggi, het aanvallen van wetenschappers en campagnevoerders die aandringen op politieke hervormingen in Mexico, en het toezicht door de Spaanse regering op Catalaanse separatistische politici. Mexico en Spanje hebben ontkend Pegasus te hebben gebruikt om tegenstanders te bespioneren, maar de beschuldigingen dat ze dit hebben gedaan, worden ondersteund door substantieel technisch bewijs.
Het basisargument van NSO is dat het de maker is van een technologie die overheden gebruiken, maar dat het niet verantwoordelijk kan worden gehouden omdat het niemand zelf aanvalt.
Een deel van dat bewijs is te vinden in een rechtszaak die afgelopen oktober in Californië is aangespannen door WhatsApp en het moederbedrijf, Facebook, waarin wordt beweerd dat Pegasus de infrastructuur van WhatsApp heeft gemanipuleerd om meer dan 1.400 mobiele telefoons te infecteren. Volgens gerechtelijke documenten troffen speurders bij Facebook meer dan 100 mensenrechtenverdedigers, journalisten en publieke figuren aan onder de doelwitten. Elke oproep die werd opgenomen, ontdekte ze, stuurde kwaadaardige code via de infrastructuur van WhatsApp en zorgde ervoor dat de telefoon van de ontvanger spyware downloadde van servers die eigendom zijn van NSO. Volgens WhatsApp was dit een schending van de Amerikaanse wet.
Verwant verhaal
Binnen NSO, de miljarden-dollar spyware-gigant van Israël 'S Werelds meest beruchte surveillancebedrijf zegt dat het zijn daad wil opschonen. Ga door, we luisteren.NSO heeft dergelijke beschuldigingen lang stilzwijgend geconfronteerd. Bewerend dat een groot deel van zijn zaken een Israëlisch staatsgeheim is, heeft het weinig openbare details gegeven over zijn activiteiten, klanten of waarborgen.
Nu suggereert het bedrijf echter dat er dingen veranderen. In 2019 werd NSO, dat eigendom was van een private equity-onderneming, terugverkocht aan de oprichters en een andere private equity-onderneming, Novalpina, voor $ 1 miljard. De nieuwe eigenaren kozen voor een nieuwe strategie: kom uit de schaduw. Het bedrijf huurde elite pr-bureaus in, ontwikkelde een nieuw mensenrechtenbeleid en ontwikkelde nieuwe documenten voor zelfbestuur. Het begon zelfs te pronken met enkele van zijn andere producten, zoals een covid-19-volgsysteem genaamd Fleming, en Eclipse, dat drones kan hacken die als een veiligheidsrisico worden beschouwd.
Gedurende een aantal maanden heb ik met de NSO-leiding gesproken om te begrijpen hoe het bedrijf werkt en wat het zegt te doen om mensenrechtenschendingen met behulp van zijn tools te voorkomen. Ik heb met zijn critici gesproken, die het zien als een gevaar voor de democratische waarden; aan degenen die aandringen op meer regulering van de hacking-business; en aan de Israëlische regelgevers die er vandaag de dag verantwoordelijk voor zijn. De leiders van het bedrijf spraken over de toekomst van NSO en haar beleid en procedures voor het omgaan met problemen, en het deelde documenten die de relatie beschrijven met de bureaus waaraan het Pegasus en andere tools verkoopt. Wat ik vond was een bloeiende wapenhandelaar - binnen het bedrijf erkennen medewerkers dat Pegasus een echt wapen is - die worstelde met nieuwe niveaus van controle die de fundamenten van zijn hele industrie bedreigen.
Een moeilijke taak
Vanaf de eerste dag dat Shmuel Sunray als algemeen adviseur bij NSO kwam werken, kreeg hij te maken met het ene internationale incident na het andere. Hij werd slechts enkele dagen nadat de rechtszaak van WhatsApp was aangespannen, aangenomen en ontdekte dat er andere juridische problemen op zijn bureau stonden te wachten zodra hij aankwam. Ze waren allemaal gebaseerd op dezelfde basisbeschuldiging: de hacktools van de NSO Group worden verkocht aan, en kunnen worden misbruikt door, rijke en repressieve regimes met weinig of geen verantwoordelijkheid.
Sunray had veel ervaring met geheimhouding en controverse: zijn vorige baan was als vice-president van een grote wapenfabrikant. Tijdens verschillende gesprekken was hij vriendelijk toen hij me vertelde dat hij door de eigenaren was geïnstrueerd om de cultuur en activiteiten van NSO te veranderen, deze transparanter te maken en te proberen schendingen van de mensenrechten te voorkomen. Maar hij was duidelijk ook gefrustreerd door de geheimzinnigheid die hem ervan weerhield om op critici te reageren.
Het is een moeilijke taak, vertelde Sunray me via de telefoon vanuit het hoofdkantoor van het bedrijf in Herzliya, ten noorden van Tel Aviv. We begrijpen de kracht van de tool; we begrijpen de impact van misbruik van de tool. We proberen het juiste te doen. We hebben echte uitdagingen met betrekking tot overheid, inlichtingendiensten, vertrouwelijkheid, operationele behoeften, operationele beperkingen. Het is geen klassiek geval van mensenrechtenschending door een bedrijf, omdat we de systemen niet bedienen - we zijn niet betrokken bij de daadwerkelijke werking van de systemen - maar we begrijpen dat er een reëel risico op misbruik door de klanten bestaat. We proberen de juiste balans te vinden.
Dit onderbouwt het basisargument van NSO, een veel voorkomend argument bij wapenfabrikanten: het bedrijf is de maker van een technologie die overheden gebruiken, maar het valt zelf niemand aan, dus het kan niet verantwoordelijk worden gehouden.
Toch zijn er volgens Sunray verschillende beschermingslagen om ervoor te zorgen dat de verkeerde mensen geen toegang hebben.
Een verkoop doen
Net als de meeste andere landen heeft Israël exportcontroles die vereisen dat wapenfabrikanten een vergunning hebben en onder toezicht van de overheid staan. Bovendien doet NSO zijn eigen due diligence, zegt Sunray: haar medewerkers onderzoeken een land, kijken naar de mensenrechtensituatie en onderzoeken de relatie met Israël. Ze beoordelen de staat van dienst van het specifieke bureau op het gebied van corruptie, veiligheid, financiën en misbruik, en houden ook rekening met de mate waarin het de tool nodig heeft.
Soms worden negatieven afgewogen tegen positieven. Marokko heeft bijvoorbeeld een verslechterende staat van dienst op het gebied van de mensenrechten, maar heeft een lange geschiedenis van samenwerking met Israël en het Westen op het gebied van veiligheid, evenals een echt terrorismeprobleem, dus naar verluidt werd een verkoop goedgekeurd. NSO heeft daarentegen gezegd dat China, Rusland, Iran, Cuba, Noord-Korea, Qatar en Turkije tot de 21 landen behoren die nooit klanten zullen worden.
Ten slotte, voordat een verkoop wordt gesloten, moet het bestuur, de risico- en nalevingscommissie van NSO het ondertekenen. Het bedrijf zegt dat de commissie, bestaande uit managers en aandeelhouders, verkopen kan weigeren of voorwaarden kan toevoegen, zoals technologische beperkingen, die per geval worden beslist.
Misbruik voorkomen
Zodra een verkoop is overeengekomen, zegt het bedrijf, voorkomen technologische vangrails bepaalde vormen van misbruik. Pegasus staat bijvoorbeeld niet toe dat Amerikaanse telefoonnummers worden geïnfecteerd, zegt NSO, en geïnfecteerde telefoons kunnen zelfs niet fysiek in de Verenigde Staten worden gelokaliseerd: als men zich binnen de Amerikaanse grenzen bevindt, zou de Pegasus-software zichzelf vernietigen.
NSO zegt dat onder andere ook Israëlische telefoonnummers worden beschermd, maar wie nog meer bescherming krijgt en waarom blijft onduidelijk.
Wanneer er een melding van misstanden binnenkomt, wordt een ad hoc team van maximaal 10 NSO-medewerkers samengesteld om onderzoek te doen. Ze interviewen de klant over de beschuldigingen en vragen Pegasus-datalogs op. Deze logboeken bevatten niet de inhoud die de spyware heeft geëxtraheerd, zoals chats of e-mails - de NSO houdt vol dat het nooit specifieke informatie ziet - maar bevatten wel metagegevens zoals een lijst van alle telefoons die de spyware op dat moment probeerde te infecteren en hun locaties.
Volgens een recent contract dat ik heb verkregen, mogen klanten het systeem alleen gebruiken voor het opsporen, voorkomen en onderzoeken van misdaden en terrorisme en ervoor zorgen dat het systeem niet wordt gebruikt voor mensenrechtenschendingen. Ze moeten het bedrijf op de hoogte stellen van mogelijk misbruik. De NSO zegt in het verleden drie contracten te hebben opgezegd voor onder meer misbruik van Pegasus, maar wil niet zeggen welke landen of instanties daarbij betrokken waren of wie de slachtoffers waren.
We zijn niet naïef
Gebrek aan transparantie is niet het enige probleem: de waarborgen kennen grenzen. Hoewel de Israëlische regering de vergunning van NSO kan intrekken voor schendingen van de exportwet, nemen de regelgevers het niet op zich om misbruik door potentiële klanten op te sporen en zijn ze niet betrokken bij het misbruikonderzoek van het bedrijf.
Veel van de andere procedures zijn ook slechts reactief. NSO heeft geen permanent intern misbruikteam, in tegenstelling tot bijna elk ander technologiebedrijf dat miljarden dollars kost, en de meeste van haar onderzoeken worden alleen op gang gebracht wanneer een externe bron zoals Amnesty International of Citizen Lab beweert dat er sprake is van een misdrijf. NSO-medewerkers interviewen de onderzochte bureaus en klanten, maar praten niet met de vermeende slachtoffers, en hoewel het bedrijf vaak de technische rapporten die als bewijs worden aangeboden, betwist, beweert het ook dat zowel het staatsgeheim als de zakelijke vertrouwelijkheid ervoor zorgen dat het niet meer informatie kan delen.
De Pegasus-logboeken die cruciaal zijn voor elk misbruikonderzoek, roepen ook veel vragen op. De klanten van NSO Groep zijn hackers die werken voor spionagebureaus; hoe moeilijk zou het voor hen zijn om met de logboeken te knoeien? In een verklaring benadrukt het bedrijf dat dit niet mogelijk is, maar weigerde details te geven.
Als de logboeken niet worden betwist, zullen NSO en haar klanten samen beslissen of doelen legitiem zijn, of er echte misdaden zijn gepleegd en of er toezicht is gehouden volgens een behoorlijke rechtsgang of dat autocratische regimes tegenstanders hebben bespioneerd.
Sunray, hoorbaar geërgerd, zegt dat hij het gevoel heeft alsof geheimhouding hem dwingt te opereren met zijn handen op zijn rug gebonden.
Het is frustrerend, vertelde hij me. We zijn niet naïef. Er zijn misbruiken geweest. Er zullen misbruiken zijn. Wij verkopen aan veel overheden. Zelfs de Amerikaanse regering - geen enkele regering is perfect. Misbruik kan voorkomen en moet worden aangepakt.
Ariel DavisMaar Sunray komt ook terug op de standaardreactie van het bedrijf, het argument dat ten grondslag ligt aan zijn verdediging in de WhatsApp-rechtszaak: NSO is een fabrikant, maar niet de exploitant van de spyware. We bouwde het maar zij deed het hacken - en het zijn soevereine naties.
Dat is voor veel critici niet genoeg. Geen enkel bedrijf dat gelooft dat het de onafhankelijke waakhond van hun eigen producten kan zijn, overtuigt me ooit, zegt Marietje Schaake, een Nederlandse politica en voormalig lid van het Europees Parlement. Het hele idee dat ze hun eigen mechanismen hebben terwijl ze geen probleem hebben met het verkopen van commerciële spyware aan iedereen die het wil kopen, wetende dat het wordt gebruikt tegen mensenrechtenverdedigers en journalisten - ik denk dat het het gebrek aan verantwoordelijkheid van dit bedrijf meer laat zien dan wat dan ook.
Dus waarom nu de interne druk op meer transparantie? Omdat de stortvloed aan technische rapporten van mensenrechtenorganisaties, de WhatsApp-rechtszaak en toenemend overheidstoezicht de status-quo van de NSO bedreigen. En als er een nieuw debat komt over hoe de industrie wordt gereguleerd, loont het om een krachtige stem te hebben.
Toenemende controle
Rechtmatig hacken en cyberspionage zijn het afgelopen decennium enorm gegroeid als bedrijf, zonder tekenen van terugtrekking. De vorige eigenaren van de NSO Group kochten het bedrijf in 2014 voor $ 130 miljoen, minder dan een zevende van de waardering waarvoor het vorig jaar werd verkocht. De rest van de industrie breidt zich ook uit, profiterend van de verspreiding van communicatietechnologie en de toenemende wereldwijde instabiliteit. Het lijdt geen twijfel dat elke staat het recht heeft om deze technologie te kopen om misdaad en terrorisme te bestrijden, zegt Danna Ingleton, adjunct-directeur van Amnesty International. Staten zijn rechtmatig en wettelijk in staat om deze instrumenten te gebruiken. Maar dat moet meer gepaard gaan met een regelgevend systeem dat misbruiken voorkomt en voorziet in een verantwoordingsmechanisme wanneer misbruik heeft plaatsgevonden. Door een veel helderder licht op de hacking-industrie te laten schijnen, stelt ze, zullen betere regelgeving en meer verantwoordelijkheid mogelijk zijn.
Eerder dit jaar stond Amnesty International voor de rechtbank in Israël met het argument dat het ministerie van Defensie de vergunning van de NSO zou moeten intrekken vanwege misbruik van Pegasus. Maar net op het moment dat de zaak begon, kregen ambtenaren van Amnesty en 29 andere indieners van verzoekschriften te horen dat ze de rechtszaal moesten verlaten: op aandringen van het ministerie werd een spreekverbod opgelegd. Toen, in juli, verwierp een rechter de zaak ronduit.
Ik geloof principieel en wettelijk niet dat NSO's volledig geen verantwoordelijkheid kunnen claimen voor de manier waarop hun instrumenten worden gebruikt, zegt Agnès Callamard, speciaal rapporteur van de Verenigde Naties. Zo werkt het niet volgens internationaal recht.
Callamard adviseert de VN over buitengerechtelijke executies en heeft zich uitgesproken over NSO Group en de spyware-industrie sinds bleek dat Pegasus werd gebruikt om vrienden en medewerkers van Khashoggi te bespioneren kort voordat hij werd vermoord. Voor haar heeft de kwestie gevolgen op leven of dood.
Als NSO de WhatsApp-zaak verliest, stelt een advocaat, stelt het al die bedrijven ter discussie die hun brood verdienen door fouten in software te vinden en ze uit te buiten.
We pleiten niet voor iets radicaal nieuws, zegt Callamard. We zeggen dat wat er op dit moment is, onvoldoende blijkt te zijn, en daarom moeten regeringen of regelgevende instanties snel in een andere versnelling schakelen. De industrie breidt zich uit en zou moeten uitbreiden op basis van het juiste kader om misbruik te reguleren. Het is belangrijk voor de wereldvrede.
Er is gepleit voor een tijdelijk moratorium op de verkoop totdat er strengere regelgeving komt, maar het is niet duidelijk hoe dat wettelijk kader eruit zou zien. In tegenstelling tot conventionele wapens, die onderworpen zijn aan verschillende internationale wetten, worden cyberwapens momenteel niet gereguleerd door een wereldwijde wapenbeheersingsovereenkomst. En hoewel non-proliferatieverdragen zijn gesuggereerd, is er weinig duidelijkheid over hoe ze bestaande capaciteiten zouden meten, hoe monitoring of handhaving zou werken, of hoe de regels de snelle technologische ontwikkelingen zouden bijhouden. In plaats daarvan vindt de meeste controle tegenwoordig plaats op nationaal juridisch niveau.
In de VS onderzoeken zowel de FBI als het Congres mogelijke hacks van Amerikaanse doelen, terwijl een onderzoek onder leiding van het kantoor van senator Ron Wyden wil weten of er Amerikanen betrokken zijn bij het exporteren van bewakingstechnologie naar autoritaire regeringen. Een recent ontwerp van Amerikaanse inlichtingenwet zou een overheidsrapport over commerciële spyware en bewakingstechnologie vereisen.
De WhatsApp-rechtszaak raakt de kern van de NSO-activiteiten. De gigant uit Silicon Valley stelt dat de NSO, door zich te richten op inwoners van Californië, dat wil zeggen WhatsApp en Facebook, de rechtbank in San Francisco jurisdictie heeft gegeven, en dat de rechter in de zaak het Israëlische bedrijf kan uitsluiten van toekomstige pogingen om de WhatsApp- en Facebook-netwerken te misbruiken. Dat opent de deur naar ontzettend veel mogelijkheden: Apple, wiens iPhone een belangrijk NSO-doelwit is geweest, zou mogelijk een soortgelijke juridische aanval kunnen opzetten. Ook Google heeft NSO gespot die zich op Android-apparaten richt.
En financiële schade is niet het enige zwaard dat NSO boven het hoofd hangt. Dergelijke rechtszaken brengen ook de dreiging van ontdekking in de rechtszaal met zich mee, wat het potentieel heeft om details van de zakelijke deals en klanten van NSO onder de aandacht te brengen.
Veel hangt af van hoe de rechtbank precies beslist en hoe breed deze de overtreding karakteriseert die de NSO hier zou hebben begaan, zegt Alan Rozenshtein, een voormalig advocaat van het ministerie van Justitie nu aan de University of Minnesota Law School. Als NSO deze zaak verliest, worden op zijn minst al die bedrijven in twijfel getrokken die hun producten maken of hun brood verdienen door fouten in berichtensoftware te vinden en diensten te verlenen die deze fouten uitbuiten. Dit zal genoeg rechtsonzekerheid creëren dat ik me kan voorstellen dat deze potentiële klanten twee keer zouden nadenken voordat ze een contract met hen aangaan. Je weet niet of het bedrijf blijft bestaan, of ze voor de rechter worden gesleept, of je geheimen worden onthuld. NSO wilde geen commentaar geven op de vermeende WhatsApp-hack, omdat het nog steeds een actieve zaak is.
We worden altijd bespioneerd
In Marokko werd Maâti Monjib in 2019 onderworpen aan minstens vier andere hackaanvallen, elk geavanceerder dan de vorige. Op een gegeven moment werd zijn telefoonbrowser onzichtbaar omgeleid naar een verdacht domein waarvan onderzoekers vermoeden dat het werd gebruikt om stilletjes malware te installeren. In plaats van zoiets als een sms-bericht dat alarm kan slaan en een zichtbaar spoor achterlaat, was dit een veel stillere netwerkinjectie-aanval, een tactiek die gewaardeerd wordt omdat het bijna onmerkbaar is, behalve voor deskundige onderzoekers.
Op 13 september 2019 lunchte Monjib thuis met zijn vriend Omar Radi, een Marokkaanse journalist die een van de scherpste critici van het regime is. Diezelfde dag, zo bleek later uit een onderzoek, werd Radi getroffen door dezelfde soort netwerkinjectie-aanvallen die Monjib hadden verstrikt. De hackcampagne tegen Radi duurde in ieder geval tot januari 2020, aldus onderzoekers van Amnesty International. Sindsdien wordt hij regelmatig door de politie lastiggevallen.
Nog minstens zeven Marokkanen kregen waarschuwingen van WhatsApp over het gebruik van Pegasus om hun telefoons te bespioneren, waaronder mensenrechtenactivisten, journalisten en politici. Zijn dit het soort legitieme spionagedoelen - de terroristen en criminelen - die zijn vastgelegd in het contract dat Marokko en alle NSO-klanten ondertekenen?
In december stuurden Monjib en de andere slachtoffers een brief naar de Marokkaanse gegevensbeschermingsautoriteit met het verzoek om onderzoek en actie. Er kwam formeel niets van terecht, maar een van de mannen, de pro-democratische econoom Fouad Abdelmoumni, zegt dat zijn vrienden hoog bij het bureau hem vertelden dat de brief hopeloos was en hem aanspoorde om de zaak te laten vallen. De Marokkaanse regering heeft ondertussen gereageerd door te dreigen Amnesty International het land uit te zetten.
Wat er in Marokko gebeurt, staat symbool voor wat er in de wereld gebeurt. Hoewel het duidelijk is dat democratieën grote begunstigden zijn van legaal hacken, blijkt uit een lange en groeiende lijst van geloofwaardige, gedetailleerde, technische en openbare onderzoeken dat Pegasus wordt misbruikt door autoritaire regimes met een lange geschiedenis van mensenrechtenschendingen.
Marokko is een land onder een autoritair regime dat gelooft dat mensen als Monjib en ikzelf vernietigd moeten worden, zegt Abdelmoumni. Om ons te vernietigen, is toegang tot alle informatie essentieel. We denken altijd dat we worden bespied. Al onze informatie is in handen van het paleis.
Lees verder
De man die een spyware-imperium heeft gebouwd, zegt dat het tijd is om uit de schaduw te komen Shalev Hulio, mede-oprichter en CEO van NSO, zegt dat zijn sector vol zit met bedrijven die controle proberen te vermijden.
