‘Predator Files’: spywareschandaal onthult aanvallen op politici, ambtenaren en journalisten
Er zijn schokkende spyware-aanvallen uitgevoerd op middenveldorganisaties, journalisten, politici en academici in de Europese Unie, de Verenigde Staten en Azië, zo blijkt uit een groot nieuw onderzoek van Amnesty International.
Doelwitten van de Predator-spyware waren onder anderen ambtenaren van de Verenigde Naties, een Amerikaanse senator en Congreslid, de voorzitter van het Europees Parlement en de president van Taiwan. Het onderzoek maakt deel uit van het ‘Predator Files’-project, in samenwerking met de European Investigative Collaborations (EIC) en ondersteund door een diepgaande rapportage van Mediapart en Der Spiegel.
Tussen februari en juni 2023 werden X (voorheen Twitter) en Facebook gebruikt om ten minste 50 accounts van 27 personen en 23 instellingen aan te vallen. Het spionagewapen dat daarvoor werd gebruikt was een invasieve spywaretool met de naam Predator, die is ontwikkeld en verkocht door de Intellexa-alliantie. Deze alliantie, die zichzelf aanprijst als “in de EU gevestigd en gereguleerd”, is een complexe en vaak wisselende groep bedrijven die surveillanceproducten ontwikkelt en verkoopt, waaronder Predator spyware.
Predator is zeer invasieve spyware. Dit betekent dat de aanvaller die met deze spyware binnendringt, ongehinderd toegang heeft tot de microfoon, camera en alle gegevens zoals contacten, berichten, foto's en video's. De eigenaar van de telefoon merkt daar niets van. Ook is er op dit moment geen onafhankelijk toezicht of controle op deze spyware.
“Opnieuw hebben we bewijs in handen dat er krachtige surveillanceapparatuur wordt gebruikt bij schokkende aanvallen,” zegt Agnès Callamard, secretaris-generaal van Amnesty International.
“De doelwitten zijn deze keer journalisten in ballingschap, publieke figuren en ambtenaren. Maar uiteindelijk zijn we hier allemaal slachtoffer van en worden mensenrechten en goed bestuur op de helling gezet. De Intellexa-alliantie, de in Europa gevestigde ontwikkelaars van Predator en andere surveillanceproducten, hebben niets gedaan om te beperken wie deze spyware kan gebruiken en voor welk doel. In plaats daarvan negeren ze de ernstige gevolgen voor de mensenrechten die op het spel staan. In de nasleep van dit laatste schandaal is de enige effectieve reactie voor staten om een onmiddellijk wereldwijd verbod op zeer invasieve spyware in te stellen.”
In een uitgebreid rapport dat vandaag is gepubliceerd door het Security Lab van Amnesty International zijn onder andere de voorzitter van het Europees Parlement, Roberta Metsola, de president van Taiwan, Tsai Ing-Wen, het Amerikaanse congreslid Michael McCaul, de Amerikaanse senator John Hoeven, de Duitse ambassadeur in de Verenigde Staten, Emily Haber en de Franse Europarlementariër Pierre Karleskind het doelwit.
Andere ambtenaren, wetenschappers en instellingen werden ook geviseerd, maar het is onzeker of hun apparaten daadwerkelijk besmet zijn geraakt tijdens de aanval.
Aanvalsgolf
Het Security Lab van Amnesty International doet al enige tijd onderzoek naar het gebruik van de Predator-spyware en de link met de Intellexa-alliantie.
Via een door aanvallers gecontroleerd account op X (voorheen Twitter), genaamd '@Joseph_Gordon16', werden veel van de geïdentificeerde aanvalslinks gedeeld die bedoeld waren om doelen te infecteren met de Predator spyware. Een van de eerste doelwitten van dit account was de Berlijnse journalist Khoa Lê Trung, die oorspronkelijk uit Vietnam komt. Khoa is hoofdredacteur van thoibao.de, een nieuwswebsite die in Vietnam wordt geblokkeerd. Sinds 2018 wordt hij met de dood bedreigd vanwege zijn journalistieke activiteiten. Vietnam hanteert een repressief mediabeleid, waarbij journalisten, bloggers en mensenrechtenactivisten vaak tot zwijgen worden gedwongen.
De aanval, die weliswaar mislukte, is vooral belangrijk omdat de website en de journalist in de EU gevestigd zijn, en alle EU-lidstaten verplicht zijn om de verkoop en verspreiding van bewakingstechnologieën te controleren. Uit het onderzoek bleek dat het account nauwe banden had met Vietnam en mogelijk handelde namens Vietnamese autoriteiten of belangengroepen.
“Je kunt deze technologieën niet zomaar verkopen aan landen als Vietnam. Dit schaadt ook de persvrijheid en de vrijheid van meningsuiting van mensen hier in Duitsland”, aldus Khoa Lê Trung.
In april 2023 begon het Security Lab van Amnesty International dezelfde gebruikersnaam '@Joseph_Gordon16' te observeren die het gemunt had op meerdere academici en ambtenaren die zich bezighouden met maritieme kwesties, met name onderzoekers en ambtenaren die verantwoordelijk zijn voor het beleid van de EU en de VN inzake illegale of ongedocumenteerde visserij. Vietnam kreeg in 2017 een 'gele kaart waarschuwing' van de Europese Commissie voor illegale, niet aangegeven en ongereglementeerde visserij.
“We hebben tientallen gevallen gezien waarin de aanvalsaccount in openbare berichten op sociale media een schadelijke link naar Predator plakte”, zegt Donncha Ó Cearbhaill, hoofd van Amnesty Internationals Security Lab. “Soms leek de link een betrouwbare nieuwsbron, zoals The South China Morning Post, om de lezer te verleiden erop te klikken.”
“Onze analyse laat zien dat het klikken op de link ertoe kon leiden dat het apparaat van de lezer werd besmet met Predator. We kunnen niet met absolute zekerheid zeggen dat de dader zich binnen de overheid van Vietnam zelf bevindt. Maar de belangen van het account en die van de Vietnamese autoriteiten komen sterk overeen.”
Het onderzoek onthulde ook dat een bedrijf binnen de Intellexa-alliantie begin 2020 een miljoenencontract voor "infectieoplossingen" had gesloten met het Vietnamese ministerie van Openbare Veiligheid, met de codenaam "Angler Fish". Documenten en exportgegevens bevestigden de verkoop van Predator aan het ministerie via tussenhandelaren.
Beveiligingsonderzoekers van Google lieten Amnesty weten te denken dat deze
Predator-aanvalsinfrastructuur in verband kan worden gebracht met een overheidsinstantie in Vietnam. Google had zelf ook onafhankelijk de schadelijke links geanalyseerd.
Amnesty International heeft het Vietnamese ministerie van Openbare Veiligheid om commentaar gevraagd, maar ontving geen reactie.
Spionagesoftware onder EU regelgeving kan vrij circuleren over de hele wereld
Predator kan ook worden gebruikt in 'zero click'-aanvallen, wat betekent dat het een apparaat kan infiltreren zonder dat de gebruiker op een link heeft geklikt. Dit kan bijvoorbeeld worden gedaan door zogenaamde "tactische aanvallen" die apparaten in de buurt kunnen infecteren.
Zeer invasieve spyware kan momenteel niet onafhankelijk worden gecontroleerd of in zijn functionaliteit worden beperkt. Het is daarom bijzonder moeilijk om misbruik in verband met het gebruik ervan te onderzoeken.
Het onderzoek bracht aan het licht dat producten van de Intellexa-alliantie in minstens 25 landen in Europa, Azië, het Midden-Oosten en Afrika zijn verspreid. Het rapport documenteert hoe ze zijn gebruikt om mensenrechten, persvrijheid en maatschappelijke bewegingen over de hele wereld te ondermijnen.
De Intellexa-alliantie heeft bedrijven in verschillende landen, waaronder Frankrijk, Duitsland, Griekenland, Ierland, Tsjechië, Cyprus, Hongarije, Zwitserland, Israël, Noord-Macedonië en de Verenigde Arabische Emiraten (VAE). Amnesty International roept al deze staten op om onmiddellijk alle marketing- en exportvergunningen van de Intellexa-alliantie in te trekken. Ze moeten ook een onafhankelijk, onpartijdig en transparant onderzoek instellen om de omvang van de onwettige aanvallen vast te stellen. Daarnaast roept Amnesty International alle staten op om het gebruik, verkoop en export van zeer invasieve spyware te stoppen en te verbieden.
“Intellexa zegt dat het een in de EU gevestigd en gereguleerd bedrijf is. Dat is een felle aanklacht en bewijst jammer genoeg dat de EU-lidstaten en -instellingen faalden om de immer groeiende reikwijdte van surveillanceproducten te stoppen. Dit ondanks eerdere onderzoeken, zoals het Pegasus Project uit 2021. Het gaat zelfs zo ver dat, zoals uit dit onderzoek blijkt, zelfs EU-ambtenaren en -instellingen zelf in het net verstrikt raakten”, aldus Agnès Callamard.
Amnesty’s oproep
Amnesty International vindt dat de Intellexa-alliantie zou moeten stoppen met de productie en verkoop van Predator en vergelijkbare invasieve spyware, die geen technische waarborgen bevat voor gewettigd gebruik waarbij de mensenrechten worden gerespecteerd. De alliantie moet ook zorgen voor afdoende compensatie of andere vormen van effectieve genoegdoening voor slachtoffers van onwettige surveillance.
Amnesty International heeft de betrokken entiteiten om commentaar gevraagd, maar geen reactie ontvangen. EIC ontving echter wel een reactie van de belangrijkste aandeelhouders en voormalige leidinggevenden van Nexa Group. In hun antwoord beweren ze dat de Intellexa-alliantie niet meer bestaat. Met betrekking tot Vietnam beweren ze dat Nexa Group slechts een deel van het contract met betrekking tot cyberbeveiliging heeft nageleefd. Ze beweren ook dat de entiteiten van de Intellexa-alliantie “nauwgezet de exportregels respecteerden”, terwijl ze erkennen dat ze “commerciële relaties” aangingen met landen die “verre van perfect waren in termen van de rechtsstaat”, en stellen verder dat dit vaak een functie was van “politieke keuzes” van de Franse regering.
Amnesty International heeft een lijst met indicatoren gepubliceerd, waarmee technologen bij maatschappelijke organisaties deze spyware kunnen herkennen en ertegen in actie komen.
Bekijk hier het volledige rapport: ‘The Predator Files: Caught in the Net’.
