Pegasus is mobiele spyware ontwikkeld door het Israëlische technologiebedrijf NSO Group. De spionagesoftware haalde het het nieuws nadat zij werd aangetroffen op de mobiele telefoon van de (vermoorde) journalist Jamal Kashoggi, maar ook op de apparaten van collega-journalisten en activisten die zich tegen de Saoedi-Arabische machthebbers hadden uitgesproken.
Pegasus is voor een bedrag van zeven of acht cijfers aan te schaffen bij genoemd bedrijf, en wordt dan ingezet via zeer gerichte social engineering om het slachtoffer ervan te overtuigen een link aan te klikken die de spyware op hun iOS-apparaat installeert.
Pegasus werd voor het eerst in 2016 ontdekt dankzij een samenwerking tussen Lookout en Citizen Lab. Sindsdien blijft het de meest geavanceerde, gerichte mobiele dreiging die ooit op iOS is gevonden.
Tegenwoordig is de spyware voorzien van een aantal upgrades waardoor het beschikt over nieuwe mogelijkheden. Pegasus kan zijn spionage-malware nu inzetten via een zogeheten ‘zero-click payload’. Dit betekent dat er geen interactie van de gebruiker nodig is om de spyware op zijn apparaat te installeren, ongeacht of het toestel draait op iOS of Android. Dit biedt de aanvaller de mogelijkheid om het apparaat volledig te controleren en privégegevens van het slachtoffer te downloaden, waaronder gps-coördinaten, e-mails, foto’s, audio- en video-opnamen en berichten – zelfs berichten die versleuteld zouden moeten zijn. Bovendien kan de spyware het apparaat inzetten om ongemerkt geluids- of video-opnames te maken.
Lijst
De NSO Group blijft bij het standpunt dat het de spyware alleen verkoopt aan de inlichtingendiensten in ongeveer veertig landen. Het bedrijf beweert ook dat het zich nog vóór de verkoop ervan verzekert dat de regering van het land in kwestie zich niet schuldig maakt aan mensenrechtenschendingen.
Recente rapporten hebben echter een lijst van de NSO blootgelegd met daarop ongeveer 50.000 mobiele telefoonnummers van mogelijke slachtoffers van de spyware, die zich bewegen in regio’s waarvan bekend is dat de autoriteiten surveillanceactiviteiten plegen. Die lijst bestaat onder andere uit bedrijfsleiders, mensenrechtenactivisten, journalisten, academici en overheidsambtenaren.
Proactief
De recente onthullingen over het gebruik van de Pegasus moeten de cybersecurity-industrie stimuleren om actie te ondernemen. Het gaat niet langer om cyberspionage op het niveau van vijandige staten. In principe kunnen alle personen in de politiek en het bedrijfsleven het doelwit worden. Daarom moet er proactief worden opgetreden tegen Pegasus en andere spyware. Hoewel Pegasus duur is, is het voor vijandige staten een realistische optie om in principe iedereen die ze willen afluisteren, in de gaten te houden. Dat moet een ieder die actie voert of zich uitspreekt tegen nationale regimes beseffen. Daar komt bij dat de inzet van Pegasus zich niet hoeft te beperken tot alleen zakelijke of politieke doeleinden.
Zo liet, aldus een Britse rechter, sjeik Mohammed bin Rasjid Al Maktoem, de minister-president van de Verenigde Arabische Emiraten en de emir van Dubai, de spyware installeren op de telefoon van zijn ex-vrouw. De sjeik ontkent dat hij hier iets vanaf weet, maar hiermee wordt duidelijk dat demogelijkheden voor misbruik zich niet beperken tot onwelwillende organisaties of politieke tegenstanders. Wie deze software heeft, kan haar tegen alles en iedereen inzetten. Een enge gedachte.
Aanvallen op mobieltjes
Dat de spyware speciaal ontwikkeld is voor mobiele telefoon, is geen verrassing. Mobiele apparaten zijn al eerder een interessante omgeving gebleken voor cybercriminelen. In de afgelopen achttien maanden is het aantal phishing-aanvallen met 125 procent gestegen, terwijl het aantal blootstellingen aan malware en kwetsbaarheden in apps met meer dan vierhonderd procent is gestegen. Ook is het gebruik van spyware en stalkerware-apps met 93 procent toegenomen. De statistieken zijn schokkend. Meer, de groei is zelfs toegenomen door de pandemie, omdat de meeste burgers hun persoonlijke apparaten actiever thuis gebruiken, met name voor werkdoeleinden. Attackers weten dit en hebben het specifiek gemunt op mobiele apparaten.
Meer samenwerking nodig
Hoe nu verder? Als we de laatste Pegasus-spyware-rapporten en commentaren uit de sector analyseren, is het duidelijk dat er veel moet gebeuren om de beveiliging en privacy te verbeteren. Pegasus blijkt gebruik te maken van kwetsbaarheden in het besturingssysteem van het toestel. Fabrikanten proberen voortdurend de strijd aan te gaan met deze bedreigingen, maar de haast om producten op de markt te brengen en aan de vraag van de klanten te voldoen, lijkt ten koste te gaan van de belangrijkste elementen, te weten beveiliging en privacy.
Door te snel te gaan en niet de nodige zorgvuldigheid te betrachten, hebben we kwaadaardige toepassingen laten binnensluipen. Natuurlijk zien we nu de daaruit voortvloeiende problemen en moeilijkheden.
Technologiegiganten Microsoft, Google en Cisco hebben aanzienlijke stappen gezet om meer samen te werken en transparanter te zijn bij de aanpak van dergelijke security-risico’s nu de roep om een ‘veiliger internet’ luider klinkt. Om apparaten zoals mobiele telefoons, die uiterst persoonlijk zijn, tegen spyware te beschermen, moeten extra stappen worden ondernomen die verdergaan dan standaardcontroles.
Beschermen
Wie wil weten hoe hij zich tegen Pegasus of andere mobiele bedreigingen kan beschermen, moet eerst begrijpen dat het – net als andere traditionele malware – wordt afgeleverd via een phishing-link met behulp van social engineering-technieken. Hoewel Pegasus tegenwoordig zonder één klik te activeren is, moet het nog steeds het host-apparaat bereiken en dit kan op allerlei manieren, zoals sms, sociale media, e-mail, games of zelfs dating-apps.
Gezien de verschillende aanvalsvectoren op mobiele apparaten, moeten gebruikers en organisaties speciale mobiele beveiliging implementeren. Beveiliging van pc’s is gebruikelijk, dus waarom zouden we onze mobiele apparaten niet beveiligen? Van phishing tot malware en aanvallen op het netwerk of op apparaten; elke dag zijn mobiele apparaten het doelwit van cyberdreigingen. Er zijn mobiele beveiligingsoplossingen beschikbaar die actief bescherming bieden tegen deze bedreigingen en tegelijkertijd de privacy van de gebruiker en gevoelige informatie op het apparaat beschermen. De mogelijkheid om een url te scannen of te verifiëren of een app veilig is, kan voor de nodige gemoedsrust zorgen.
De VS hebben NSO in de ban gedaan. Het zeer brede verdienmodel ligt blijkbaar te politiek gevoelig. Zie https://www.federalregister.gov/documents/2021/11/04/2021-24123/addition-of-certain-entities-to-the-entity-list
Amazon wil ook niet meer meewerken aan de praktijken van NSO. Amazon blokkeert de accounts van NSO Group. Zie https://www.vice.com/en/article/xgx5bw/amazon-aws-shuts-down-nso-group-infrastructure