Hoe de iPhone van een Saoedische vrouw hacking over de hele wereld onthulde

Eén enkele activist heeft geholpen het tij te keren tegen de NSO Groep, één van de meest geavanceerde spywarebedrijven ter wereld, die nu in Washington met een hele reeks rechtszaken en onderzoeken wordt geconfronteerd wegens nieuwe beschuldigingen dat zijn software gebruikt is om regeringsfunctionarissen en dissidenten over de hele wereld te hacken.

Het begon allemaal met een softwarefoutje op haar iPhone.

Door een ongebruikelijke fout in de spyware van NSO konden de Saoedische vrouwenrechtenactiviste Loujain al-Hathloul en privacy-onderzoekers een schat aan bewijsmateriaal ontdekken dat erop wijst dat de Israëlische spywaremaker geholpen had haar iPhone te hacken, volgens zes mensen die bij het incident betrokken waren. Een mysterieus vals beeldbestand in haar telefoon, per vergissing achtergelaten door de spyware, tipte veiligheidsonderzoekers.

De ontdekking op de telefoon van al-Hathloul ontketende vorig jaar een storm van juridische en overheidsmaatregelen die de NSO in het defensief heeft gebracht. Hoe de hack aanvankelijk aan het licht kwam, wordt hier voor het eerst gemeld.

Al-Hathloul, een van de meest prominente activisten van Saoedi-Arabië, is bekend omdat zij heeft geholpen een campagne te leiden om het verbod op vrouwelijke chauffeurs in Saoedi-Arabië te beëindigen. Zij werd in februari 2021 uit de gevangenis vrijgelaten op beschuldiging van het schaden van de nationale veiligheid.

Kort na haar vrijlating uit de gevangenis ontving de activiste een e-mail van Google die haar waarschuwde dat door de staat gesteunde hackers hadden geprobeerd haar Gmail-account binnen te dringen. Uit vrees dat ook haar iPhone gehackt was, nam al-Hathloul contact op met de Canadese privacyrechtengroep Citizen Lab en vroeg hen haar toestel te onderzoeken op bewijzen, vertelden drie mensen die dicht bij al-Hathloul staan aan Reuters.

Na zes maanden graven in de gegevens van haar iPhone, deed Citizen Lab onderzoeker Bill Marczak wat hij een ongekende ontdekking noemde: een defect in de bewakingssoftware die op haar telefoon geïmplanteerd was, had een kopie van het kwaadaardige afbeeldingsbestand achtergelaten, in plaats van zichzelf te wissen, na de berichten van zijn doelwit gestolen te hebben.

Hij zei dat de vondst, computercode die door de aanval was achtergelaten, rechtstreeks bewijs leverde dat de NSO het spionage-instrument had gebouwd.

"Het was een spelwisselaar," zei Marczak "Wij hebben iets gevangen waarvan het bedrijf dacht dat het niet te vangen was."

De ontdekking kwam neer op een hackersblauwdruk en leidde ertoe dat Apple Inc duizenden andere door de staat gesteunde hackers over de hele wereld op de hoogte bracht, volgens vier mensen met directe kennis van het incident.

De vondst van Citizen Lab en al-Hathloul vormde de basis voor de rechtszaak die Apple in november 2021 tegen NSO aanspande, en galmde ook door in Washington, waar Amerikaanse functionarissen vernamen dat het cyberwapen van NSO gebruikt was om Amerikaanse diplomaten te bespioneren.

De laatste jaren heeft de spyware-industrie een explosieve groei gekend, nu regeringen over de hele wereld software voor het hacken van telefoons kopen, die het soort digitale bewaking mogelijk maakt dat vroeger slechts het terrein was van enkele elitaire inlichtingendiensten.

Het afgelopen jaar heeft een reeks onthullingen van journalisten en activisten, waaronder het internationale journalistieke samenwerkingsverband Pegasus Project, de spyware-industrie in verband gebracht met schendingen van de mensenrechten, waardoor de NSO en haar soortgenoten nog kritischer zijn bekeken.

Maar veiligheidsonderzoekers zeggen dat de ontdekking van al-Hathloul de eerste was die een blauwdruk gaf van een krachtige nieuwe vorm van cyberspionage, een hackinstrument dat apparaten binnendringt zonder enige interactie van de gebruiker, en dat het tot nu toe het meest concrete bewijs was van de reikwijdte van het wapen.

In een verklaring zei een woordvoerder van NSO dat het bedrijf de hackgereedschappen die het verkoopt niet exploiteert - "dat doen overheids-, wetshandhavings- en inlichtingendiensten." De woordvoerder beantwoordde geen vragen over de vraag of zijn software gebruikt is om al-Hathloul of andere activisten als doelwit te nemen.

Maar de woordvoerder zei dat de organisaties die deze beweringen deden "politieke tegenstanders van cyber intelligence waren," en suggereerde dat sommige van de beweringen "contractueel en technologisch onmogelijk" waren. De woordvoerder weigerde details te geven, onder verwijzing naar vertrouwelijkheidsovereenkomsten met cliënten.

Zonder op details in te gaan, zei het bedrijf dat het een vaste procedure had om vermeend misbruik van zijn producten te onderzoeken en dat het klanten had afgezet wegens mensenrechtenkwesties.

DE BLAUWDRUK ONTDEKKEN

Al-Hathloul had goede reden om achterdochtig te zijn - het was niet de eerste keer dat zij in de gaten werd gehouden.

Uit een onderzoek van Reuters uit 2019 bleek dat zij in 2017 het doelwit was van een team van Amerikaanse huurlingen die namens de Verenigde Arabische Emiraten dissidenten in de gaten hielden in het kader van een geheim programma, Project Raven genaamd, dat haar als een "bedreiging voor de nationale veiligheid" categoriseerde en in haar iPhone hackte.

Zij werd gearresteerd en bijna drie jaar gevangen gehouden in Saoedi-Arabië, waar haar familie zegt dat zij gemarteld en ondervraagd werd met gebruikmaking van de informatie die van haar toestel gestolen was. Al-Hathloul werd in februari 2021 vrijgelaten en mag momenteel het land niet verlaten.

Reuters heeft geen bewijs dat NSO betrokken was bij die eerdere hack.

Al-Hathloul's ervaring met bewaking en gevangenschap maakte haar vastbesloten om bewijzen te verzamelen die gebruikt kunnen worden tegen degenen die deze instrumenten hanteren, zei haar zus Lina al-Hathloul. "Zij voelt dat zij de verantwoordelijkheid heeft om deze strijd voort te zetten, omdat zij weet dat zij dingen kan veranderen."

Het type spyware dat Citizen Lab op de iPhone van al-Hathloul ontdekte, staat bekend als een "zero click," wat betekent dat de gebruiker geïnfecteerd kan worden zonder ooit op een kwaadaardige link te klikken.

Zero-click malware verwijdert zichzelf gewoonlijk na een gebruiker geïnfecteerd te hebben, waardoor onderzoekers en tech-bedrijven geen monster van het wapen hebben om te bestuderen. Dat kan het verzamelen van harde bewijzen van iPhone-hacks bijna onmogelijk maken, zeggen beveiligingsonderzoekers.

Maar deze keer was het anders.

Door de softwarefout bleef een kopie van de spyware verborgen op de iPhone van al-Hathloul, waardoor Marczak en zijn team een virtuele blauwdruk van de aanval konden verkrijgen en bewijsmateriaal over wie hem had gebouwd.

"Hier hadden we de huls van de plaats van het misdrijf," zei hij.

Marczak en zijn team ontdekten dat de spyware gedeeltelijk werkte door via een onzichtbaar sms-bericht beeldbestanden naar al-Hathloul te sturen.

De afbeeldingsbestanden verleidden de iPhone ertoe toegang te geven tot zijn hele geheugen, waardoor de beveiliging omzeild werd en spyware geïnstalleerd kon worden die de berichten van een gebruiker zou stelen.

De ontdekking van Citizen Lab leverde solide bewijs dat het cyberwapen door NSO was gebouwd, zei Marczak, wiens analyse werd bevestigd door onderzoekers van Amnesty International en Apple, volgens drie mensen met directe kennis van de situatie.

De spyware die op het toestel van al-Hathloul werd gevonden, bevatte code waaruit bleek dat het communiceerde met servers waarvan Citizen Lab eerder had vastgesteld dat ze door de NSO werden gecontroleerd, zei Marczak. Citizen Lab noemde deze nieuwe iPhone-hackmethode "ForcedEntry." De onderzoekers hebben het monster vervolgens in september jl. aan Apple verstrekt.

Doordat Apple een blauwdruk van de aanval in handen had, kon het de kritieke kwetsbaarheid verhelpen en kon het duizenden andere iPhone-gebruikers die het doelwit van de NSO-software waren, waarschuwen dat zij het doelwit waren geworden van "door de staat gesponsorde aanvallers."

Het was de eerste keer dat Apple deze stap had gezet.

Terwijl Apple vaststelde dat de overgrote meerderheid het doelwit was via de tool van NSO, ontdekten beveiligingsonderzoekers ook dat spionagesoftware van een tweede Israëlische verkoper QuaDream gebruik maakte van dezelfde iPhone-kwetsbaarheid, meldde Reuters eerder deze maand. QuaDream heeft niet gereageerd op herhaalde verzoeken om commentaar.

De slachtoffers varieerden van dissidenten die kritiek hadden op de regering van Thailand tot mensenrechtenactivisten in El Salvador.

Onder verwijzing naar de bevindingen die uit de telefoon van al-Hathloul waren verkregen, heeft Apple in november NSO voor de federale rechtbank gedaagd, omdat de spywaremaker de wetten van de VS zou hebben overtreden door producten te bouwen die ontworpen waren "om Apple-gebruikers, Apple-producten en Apple te targeten, aan te vallen en schade toe te brengen." Apple heeft Citizen Lab gecrediteerd voor het leveren van "technische informatie" die gebruikt is als bewijs voor de rechtszaak, maar heeft niet onthuld dat die oorspronkelijk verkregen is van de iPhone van al-Hathloul.

NSO zei dat zijn hulpmiddelen de rechtshandhaving hebben bijgestaan en "duizenden levens" hebben gered. Het bedrijf zei dat sommige van de beschuldigingen die aan de NSO-software worden toegeschreven niet geloofwaardig zijn, maar weigerde uit te wijden over specifieke beweringen onder verwijzing naar vertrouwelijkheidsovereenkomsten met zijn klanten.

Onder de waarschuwingen van Apple waren ten minste negen medewerkers van het Amerikaanse Ministerie van Buitenlandse Zaken in Oeganda die het doelwit waren van de NSO-software, volgens mensen die met de zaak vertrouwd zijn, waardoor in Washington een nieuwe golf van kritiek op het bedrijf is ontstaan.

In november plaatste het Amerikaanse ministerie van Handel NSO op een zwarte handelslijst, waardoor Amerikaanse bedrijven het Israëlische bedrijf geen softwareprodukten meer mochten verkopen, waardoor de toeleveringsketen bedreigd werd.

Het ministerie van Handel zei dat de actie gebaseerd was op bewijzen dat de spyware van NSO gebruikt werd om "journalisten, zakenlieden, activisten, academici en ambassadepersoneel" te viseren.

In december riepen de Democratische senator Ron Wyden en 17 andere wetgevers het ministerie van Financiën op om NSO Group en drie andere buitenlandse bewakingsbedrijven, die volgens hen autoritaire regeringen hielpen bij het schenden van de mensenrechten, een sanctie op te leggen.

"Toen het publiek zag dat Amerikaanse regeringsfunctionarissen gehackt werden, heeft dat de zaak duidelijk in beweging gebracht," zei Wyden tegen Reuters in een interview, verwijzend naar de aanvallen op Amerikaanse functionarissen in Oeganda.

Lina al-Hathloul, de zus van Loujain, zei dat de financiële klappen voor NSO misschien het enige zijn dat de spyware-industrie kan afschrikken. "Het heeft hen geraakt waar het pijn doet," zei zij.