Dit jaar lieten de lokale autoriteiten de telefoons van een Servische journalist en een activist hacken met behulp van een apparaat voor het ontgrendelen van mobiele telefoons, gemaakt door de maker van forensische hulpmiddelen Cellebrite. Het doel van de autoriteiten was niet alleen om de telefoons te ontgrendelen om toegang te krijgen tot hun persoonlijke gegevens, zoals Cellebrite toestaat, maar ook om spyware te installeren om verder toezicht mogelijk te maken. Dat blijkt uit een nieuw rapport van Amnesty International.
Amnesty zei in haar rapport dat zij van mening is dat dit “de eerste forensisch gedocumenteerde spyware-infecties zijn die mogelijk worden gemaakt door het gebruik” van Cellebrite-tools.
Deze ruwe maar effectieve techniek is een van de vele manieren waarop overheden spyware gebruiken om hun burgers in de gaten te houden. In de afgelopen tien jaar hebben organisaties als Amnesty en digitale rechtengroep Citizen Lab tientallen gevallen gedocumenteerd waarin overheden geavanceerde spyware gebruikten die was gemaakt door westerse leveranciers van surveillancetechnologie, zoals NSO Groep, Intellexaen de inmiddels ter ziele gegane spywarepionier Hack-teamonder meer om dissidenten, journalisten en politieke tegenstanders op afstand te hacken.
Nu, als zero-days en op afstand geplaatste spyware duurder worden dankzij beveiligingsverbeteringenzullen autoriteiten wellicht meer moeten vertrouwen op minder geavanceerde methoden, zoals het fysiek in handen krijgen van de telefoons die ze willen hacken.
Hoewel er over de hele wereld veel gevallen van spyware-misbruik plaatsvonden, is er geen garantie dat dit in de Verenigde Staten niet zou kunnen gebeuren (of niet zal gebeuren). In november, Dat meldt Forbes dat de Immigration and Customs Enforcement (ICE) van het Department of Homeland Security 20 miljoen dollar heeft uitgegeven om tools voor het hacken van telefoons en surveillance-instrumenten aan te schaffen, waaronder Cellebrite. Gezien de beloofde massale deportatiecampagne van de nieuwgekozen president Donald Trump Forbes Volgens berichten zijn deskundigen bezorgd dat ICE zijn spionageactiviteiten zal uitbreiden wanneer de nieuwe regering de controle over het Witte Huis overneemt.
Een korte geschiedenis van vroege spyware
De geschiedenis heeft de neiging zich te herhalen. Zelfs wanneer iets nieuws (of ongedocumenteerd) voor het eerst verschijnt, is het mogelijk dat het feitelijk een herhaling is van iets dat al is gebeurd.
Twintig jaar geleden, toen overheidsspyware al bestond, maar er nog weinig bekend was binnen de antivirusindustrie die zich ertegen moest verdedigen, was het fysiek plaatsen van spyware op de computer van een doelwit de manier waarop de politie toegang kon krijgen tot hun communicatie. De autoriteiten moesten fysieke toegang hebben tot het apparaat van het doelwit – soms door in te breken in hun huis of kantoor – en vervolgens de spyware handmatig installeren.
Neem contact met ons op
Heeft u meer informatie over overheidsspyware en de makers ervan? Vanaf een niet-werkapparaat kunt u veilig contact opnemen met Lorenzo Franceschi-Bicchierai op Signal op +1 917 257 1382, of via Telegram en Keybase @lorenzofb, of e-mail. U kunt ook contact opnemen met TechCrunch via SecureDrop.
Dat is de reden waarom vroege versies van de spyware van Hacking Team uit het midden van de jaren 2000 bijvoorbeeld zijn ontworpen om te starten vanaf een USB-sleutel of een cd. Nog eerder, in 2001, de FBI brak in in het kantoor van gangster Nicodemo Scarfo om spyware te installeren die is ontworpen om te controleren wat Scarfo op zijn toetsenbord typt, met als doel de sleutel te stelen die hij gebruikte om zijn e-mails te coderen.
Deze technieken worden weer populair, al is het niet uit noodzaak.
Citizen Lab documenteerde eerder in 2024 een geval waarin de Russische inlichtingendienst FSB zou spyware hebben geïnstalleerd op de telefoon van de Russische staatsburger Kirill Parubetseen politieke activist van de oppositie die sinds 2022 in Oekraïne woonde terwijl hij in hechtenis zat. De Russische autoriteiten hadden Parabuts gedwongen de toegangscode van zijn telefoon op te geven voordat hij spyware installeerde die toegang kon krijgen tot zijn privégegevens.
Stop en zoek
In de recente gevallen in Servië heeft Amnesty nieuwe spyware aangetroffen op de telefoons van journalist Slaviša Milanov en jeugdactivist Nikola Ristić.
In februari 2024 hield de lokale politie Milanov tegen voor wat leek op een routinematige verkeerscontrole. Hij werd later naar een politiebureau gebracht, waar agenten zijn Android-telefoon, een Xiaomi Redmi Note 10S, afpakten terwijl hij werd ondervraagd, aldus Amnesty.
Toen Milanov het terugkreeg, zei hij dat hij iets vreemds had gevonden.
“Ik heb gemerkt dat mijn mobiele data (datatransmissie) en wifi zijn uitgeschakeld. De mobiele data-applicatie op mijn mobiele telefoon staat altijd ingeschakeld. Dit was het eerste vermoeden dat iemand mijn mobiele telefoon had ingevoerd”, vertelde Milanov onlangs aan TechCrunch.
Milanov zei dat hij toen gebruikte BlijfVrijeen software die bijhoudt hoeveel tijd iemand zijn apps gebruikt, en merkte op dat “veel applicaties actief waren” terwijl de telefoon zogenaamd was uitgeschakeld en in handen was van de politie, die hem volgens hem nooit had gevraagd of gedwongen om te geven de toegangscode van zijn telefoon opvragen.
“Daaruit bleek dat in de periode van 11:54 uur tot 13:08 uur voornamelijk de applicaties Instellingen en Beveiliging waren geactiveerd, en Bestandsbeheer en Google Play Store, Recorder, Galerij, Contact, wat samenvalt met het tijdstip waarop de telefoon was niet bij mij”, zei Milanov.
“Gedurende die tijd hebben ze 1,6 GB data uit mijn mobiele telefoon gehaald”, zei hij.
Op dat moment was Milanov ‘onaangenaam verrast en erg boos’ en had hij een ‘slecht gevoel’ dat zijn privacy in het gedrang kwam. Hij nam contact op met Amnesty om zijn telefoon forensisch te laten controleren.
Donncha Ó Cearbhaill, het hoofd van Amnesty’s Security Lab, analyseerde de telefoon van Milanov en ontdekte inderdaad dat deze was ontgrendeld met behulp van Cellebrite en een Android-spyware had geïnstalleerd die Amnesty NoviSpy noemt, van het Servische woord voor ’nieuw‘.
Spyware wordt waarschijnlijk ‚op grote schaal‘ gebruikt in het maatschappelijk middenveld
Amnesty’s analyse van de NoviSpy-spyware en een reeks operationele veiligheidsfouten (OPSEC) wijzen erop dat de Servische inlichtingendienst de ontwikkelaar van de spyware is.
Volgens het rapport van Amnesty werd de spyware gebruikt om “systematisch en heimelijk mobiele apparaten te infecteren tijdens arrestatie, detentie of in sommige gevallen tijdens informatieve interviews met leden van het maatschappelijk middenveld. In meerdere gevallen lijken de arrestaties of detenties te zijn georkestreerd om geheime toegang tot het apparaat van een individu mogelijk te maken om gegevensextractie of apparaatinfectie mogelijk te maken”, aldus Amnesty.
Amnesty gelooft dat NoviSpy waarschijnlijk in het land is ontwikkeld, te oordelen naar het feit dat er Servisch taalcommentaar en strings in de code staan, en dat het geprogrammeerd is om te communiceren met servers in Servië.
Door een fout van de Servische autoriteiten konden Amnesty-onderzoekers NoviSpy koppelen aan het Servische Veiligheidsinformatiebureau, bekend als Bezbedonosno-informaciona Agencija, of BIA, en een van zijn servers.
Tijdens hun analyse ontdekten de onderzoekers van Amnesty dat NoviSpy was ontworpen om te communiceren met een specifiek IP-adres: 195.178.51.251.
In 2015 werd exact hetzelfde IP-adres gekoppeld aan een agent in de Servische BIA. Destijds, Citizen Lab ontdekte dat dat specifieke IP-adres identificeerde zichzelf als “DPRODAN-PC” op Shodan, een zoekmachine die servers en computers weergeeft die zijn blootgesteld aan internet. Het blijkt dat een persoon met een e-mailadres met daarin “dprodan” contact had gehad met de spywaremaker Hacking Team over een demo in februari 2012. Volgens gelekte e-mails van Hacking Team gaven werknemers van het bedrijf rond die datum een demo in de Servische hoofdstad Belgrado, wat Citizen Lab ertoe bracht te concluderen dat “dprodan” ook een Servische BIA is medewerker.
Hetzelfde IP-adresbereik geïdentificeerd door Citizen Lab in 2015 (195.178.51.xxx) wordt nog steeds geassocieerd met de BIA, volgens Amnesty, die zei dat het ontdekte dat de openbare website van de BIA onlangs binnen dat IP-bereik werd gehost.
Amnesty zei dat het forensische analyses heeft uitgevoerd van twintig leden van het Servische maatschappelijk middenveld, de meesten van hen Android-gebruikers, en andere mensen heeft aangetroffen die besmet zijn met NoviSpy. Sommige aanwijzingen in de spywarecode duiden erop dat de BIA en de Servische politie deze op grote schaal hebben gebruikt, aldus Amnesty.
De BIA en het Servische ministerie van Binnenlandse Zaken, dat toezicht houdt op de Servische politie, hebben niet gereageerd op het verzoek van TechCrunch om commentaar.
De code van NoviSpy bevat wat volgens Amnesty-onderzoekers een oplopende gebruikers-ID zou kunnen zijn, die in het geval van één slachtoffer 621 was. In het geval van een ander slachtoffer, ongeveer een maand later besmet, was dat aantal hoger dan 640, wat erop wijst dat de autoriteiten meer hadden besmet. dan twintig mensen in die tijdspanne. De onderzoekers van Amnesty zeiden dat ze een versie uit 2018 van NoviSpy hadden gevonden op VirusTotal, een online opslagplaats voor het scannen van malware, wat erop wijst dat de malware al enkele jaren wordt ontwikkeld.
Als onderdeel van haar onderzoek naar spyware die in Servië wordt gebruikt, identificeerde Amnesty ook een zero-day-exploit in Qualcomm-chipsets die werden gebruikt tegen het apparaat van een Servische activist, waarschijnlijk met behulp van Cellebrite. Qualcomm maakte in oktober bekend dat het de kwetsbaarheid had verholpen na de ontdekking van Amnesty.
Toen Cellebrite’s woordvoerder Victor Cooper om commentaar werd gevraagd, zei hij dat de tools van het bedrijf niet kunnen worden gebruikt om malware te installeren; een „derde partij zou dat moeten doen.“
De woordvoerder van Cellebrite weigerde details over zijn klanten te geven, maar voegde eraan toe dat het bedrijf “verder onderzoek zou doen”. Het bedrijf zei dat als Servië zijn eindgebruikersovereenkomst zou verbreken, het bedrijf “opnieuw zou beoordelen of het een van de 100 landen is waarmee we zaken doen.”
