De Pegasus-spyware voor Android en iPhone waarmee aanvallers hun slachtoffers op allerlei manieren kunnen bespioneren is in 45 verschillende landen aangetroffen, waaronder Nederland. Dat laat het Canadese Citizen Lab vandaag weten, onderdeel van de universiteit van Toronto.

Citizen Lab doet onderzoek naar het gebruik van politieke macht in cyberspace. De organisatie was in 2016 betrokken bij de ontdekking van de spyware. Aanvallers hadden Pegasus toen geprobeerd te installeren op een volledig gepatchte iPhone van een mensenrechtenactivist. Hiervoor gebruikten ze drie zeroday-lekken in het besturingssysteem van Apple. De spyware is ontwikkeld door de NSO Group, een Israëlisch bedrijf dat software aanbiedt waarmee overheidsinstanties en opsporingsdiensten op afstand toegang tot smartphones kunnen krijgen.

Tussen augustus 2016 en augustus 2018 zochten onderzoekers van Citizen Lab naar servers die met de Pegasus-spyware verband houden. In totaal werden bijna 1100 ip-adressen gevonden en iets meer dan duizend domeinnamen die naar deze ip-adressen wijzen. Vervolgens werd gekeken in welke landen de afnemers van de spyware actief waren of zijn. Er werden 45 landen geïdentificeerd waar Pegasus-operators mogelijk actief zijn. Tien van deze Pegasus-operators lijken betrokken te zijn bij surveillance die over hun eigen landsgrenzen heen plaatsvindt.

Pegasus wordt onder andere ingezet in landen waar de mensenrechten onder druk staan en is aangetroffen bij verschillende mensenrechtenactivisten, journalisten en advocaten. Veel details over de verspreiding van Pegasus zijn onbekend. In 2016 werd bekend dat er drie zeroday-lekken in iOS werden gebruikt. Zodra het doelwit van deze aanval een linkje zou hebben geopend, zou de spyware automatisch zijn geïnstalleerd. Een jaar later werd ook de Android-versie van Pegasus ontdekt. Die maakte echter geen gebruik van zeroday-lekken. Hoe de Android-versie wordt geïnstalleerd is onbekend. Dit kan via social engineering waarbij het slachtoffer wordt verleid de spyware zelf op zijn toestel te installeren of via een aanvaller die fysieke toegang tot het toestel heeft.

Eén van de operators die Citizen Lab identificeerde zou in Israël, Nederland, Palestina, Qatar, Turkije en de Verenigde Staten actief zijn. Ook een andere operator is mogelijk in Nederland actief of actief geweest, maar dit kon niet met zekerheid worden vastgesteld. Citizen Lab stelt dat sommige klanten van de NSO Group de spyware mogelijk voor criminele onderzoeken of onderzoeken naar staatsveiligheid inzetten, maar dat de spyware ook is aangetroffen in landen die een verleden hebben van het misbruiken van spyware om burgerdoelen te bespioneren. Zo werden voorstanders van een suikerbelasting in Mexico via de Pegasus-spyware aangevallen.

Citizen Lab vroeg de NSO Group om een reactie op het onderzoek. Het bedrijf stelde dat het alleen aan overheidsinstanties en opsporingsdiensten levert en het een ethische commissie heeft die toeziet op transacties en ingrijpt bij misbruik. "Het blijven leveren van diensten aan landen die slecht omgaan met mensenrechten en waar misbruik van spyware is voorgekomen zorgt voor twijfels over de effectiviteit van dit interne mechanisme, als het al bestaat", aldus Citizen Lab.