De vermeende hacks, die plaatsvonden te midden van een steeds vijandiger klimaat in El Salvador voor media en rechtenorganisaties onder de populistische president Nayib Bukele, werden eind vorig jaar ontdekt door The Citizen Lab, dat spyware bestudeert aan de Munk School of Global Affairs van de Universiteit van Toronto. Mensenrechtengroepering Amnesty International, die met Citizen Lab samenwerkte aan het onderzoek, zegt dat zij later een steekproef van de bevindingen van Citizen Lab bevestigde via haar eigen technologietak.
Citizen Lab zei dat het bewijzen vond van inbraken op de telefoons die plaatsvonden tussen juli 2020 en november 2021. Het zei dat het niet kon vaststellen wie verantwoordelijk was voor het inzetten van de Israëlisch ontworpen spyware. De software, Pegasus genaamd, is wereldwijd aangekocht door staatsactoren, van wie sommigen het middel hebben gebruikt om journalisten te surveilleren.
Bij de aanval op El Salvador wijst de zware focus op redacteuren, verslaggevers en activisten die in dat ene Midden-Amerikaanse land werken op een plaatselijke klant met een bijzondere belangstelling voor hun activiteiten, aldus Scott-Railton, een senior onderzoeker bij Citizen Lab.
"Ik kan geen geval bedenken waarin een bijna-exclusieve Pegasus targeting in één land niet uitliep op een gebruiker in dat land," zei Scott-Railton.
Citizen Lab heeft woensdag een rapport over zijn bevindingen uitgebracht.
In een verklaring aan Reuters zei het communicatiebureau van Bukele dat de regering van El Salvador geen klant was van NSO Group Technologies, het bedrijf dat Pegasus ontwikkeld heeft. Het zei dat de regering de vermeende inbraak onderzoekt en over informatie beschikte dat sommige topambtenaren van de regering ook hun telefoon geïnfiltreerd zouden kunnen hebben.
"Wij hebben aanwijzingen dat ook wij, regeringsambtenaren, het slachtoffer zijn van aanvallen," aldus de verklaring.
Met Pegasus kunnen gebruikers versleutelde berichten, foto's, contacten, documenten en andere gevoelige informatie van besmette telefoons stelen zonder dat de gebruikers het weten. Het kan ook handsets in afluisterapparatuur veranderen door stilletjes hun camera's en microfoons in te schakelen, volgens producthandleidingen die door Reuters zijn ingezien.
NSO, dat zijn klantenlijst lange tijd geheim heeft gehouden, weigerde commentaar te geven op de vraag of El Salvador een klant van Pegasus was. Het bedrijf zei in een verklaring dat het zijn producten alleen verkoopt aan "doorgelichte en legitieme" inlichtingen- en wetshandhavingsdiensten om misdaad te bestrijden en dat het niet betrokken is bij bewakingsoperaties. NSO zei dat het een "zero-tolerance" beleid voert voor misbruik van zijn spyware voor activiteiten zoals het in de gaten houden van dissidenten, activisten en journalisten, en dat het contracten heeft beëindigd van sommige klanten die dat hebben gedaan.
Onderzoekers van Citizen Lab zeiden dat zij in september met een forensische analyse van de telefoons in El Salvador begonnen, nadat zij door twee journalisten daar waren benaderd die vermoedden dat hun toestellen gecompromitteerd zouden kunnen zijn.
De onderzoekers zeiden dat zij uiteindelijk bewijs vonden dat spyware was geplant op in totaal 37 toestellen die toebehoorden aan drie mensenrechtengroeperingen, zes nieuwspublicaties en een onafhankelijke journalist.
Het zwaarst getroffen was de online nieuwssite El Faro. Onderzoekers van Citizen Lab zeiden dat zij op de mobiele telefoons van 22 verslaggevers, redacteuren en administratief personeel - meer dan tweederde van het personeel van het bedrijf - duidelijke sporen van spyware-infecties vonden, en bewijzen dat van veel van die toestellen gegevens waren gestolen, waaronder een paar waar verscheidene gigabytes aan materiaal uit waren gehaald.
El Faro werd gedurende ten minste 17 maanden, tussen 29 juni 2020 en 23 november 2021, voortdurend in de gaten gehouden, waarbij de telefoon van hoofdredacteur Oscar Martinez ten minste 42 keer werd geïnfiltreerd, zo beweerde Citizen Lab.
"Het is moeilijk voor mij om te denken of te concluderen dat iets anders dan de regering van El Salvador" achter de vermeende hacks zat, zei Martinez. "Het is duidelijk dat er een radicale belangstelling is om te begrijpen wat El Faro doet."
In de tijd van de vermeende infiltraties met Pegasus berichtte El Faro uitvoerig over schandalen waarbij de regering van Bukele betrokken was, met inbegrip van beschuldigingen dat hij onderhandelde over een financiële deal met de gewelddadige straatbendes van El Salvador om het moordcijfer te verlagen om de steun van de bevolking voor de partij Nieuwe Ideeën van de president op te krikken.
Bukele, die vaak met de pers in de clinch ligt, veroordeelde de berichtgeving van El Faro over die vermeende besprekingen publiekelijk als "belachelijk" en "valse informatie" in een Twitterbericht van 3 september 2020.
Het afluisteren van telefoons is niet nieuw voor El Salvador, volgens Citizen Lab. Het beweerde in een verslag van 2020 dat El Salvador tot minstens 25 landen behoorde die een technologie voor bulkbewaking gebruiken die door een Israëlisch bedrijf, Circles genaamd, wordt gemaakt. De Circles-technologie verschilt van Pegasus in die zin dat zij gegevens opzuigt uit het wereldwijde telefoonnetwerk in plaats van spyware op specifieke toestellen te planten. Het rapport beweerde dat het Circles systeem sinds 2017 in El Salvador in gebruik was.
Circles kon niet onmiddellijk voor commentaar worden bereikt.
Sofia Medina, de communicatiesecretaris van Bukele, merkte op dat zijn regering in 2017 niet aan de macht was en beweerde, zonder bewijs te leveren, dat de vermeende Pegasus-aanvallen een voortzetting leken te zijn van surveillance die door een onbekende "machtige groepering" was opgezet.
Het laatste onderzoek van Citizen Lab in El Salvador is uitgevoerd in samenwerking met de digitale-rechtengroep Access Now, met onderzoeksassistentie van de mensenrechtengroeperingen Frontline Defenders, SocialTIC en Fundacion Acceso.
