Een onderzoekscommissie in het EU-parlement moet het gebruik van trojans tegen leden van de oppositie en de media in Europa onderzoeken. Volgens een analyse van de Meta Group zouden ook Duitse klanten het doelwit kunnen zijn.
Op 10 maart heeft het Europees Parlement besloten een onderzoekscommissie voor het Pegasus Trojan-programma aan te stellen, die afgelopen dinsdag voor de constituerende vergadering bijeenkwam . De achtergrond hiervan is het bekende gebruik van spionagesoftware van de Israëlische NSO-groep tegen oppositiefiguren en journalisten in Hongarije en Polen. Het bedrijf wil zijn gereedschap in bijna elk land van Europa hebben verkocht, meldt het tijdschrift New Yorker .
Bij het onderzoek, dat de afkorting “PEGA” draagt, zijn parlementsleden betrokken die zelf zijn gemonitord met de NSO-spyware, waaronder de Catalaanse politicus Carles Puigdemont. De Canadese onderzoeksgroep Citizen Lab maakte deze “CatalanGate” bij de start van “PEGA” openbaar . De EU-Commissie was blijkbaar ook het doelwit van de Trojan .
Onderzoek door Citizen Lab
Uit voorzorg hebben Europarlementariërs het mandaat van de commissie uitgebreid tot “vergelijkbare bewakings- en spionagesoftware” als deze “op mobiele apparaten is geïnstalleerd door gebruik te maken van IT-kwetsbaarheden”. Dit zou een slimme zet kunnen zijn in het geval van de Trojan Predator, die momenteel voor opschudding zorgt in Griekenland.
Op 11 april maakte het Griekse internetmagazine Inside Story bekend dat er spyware was gevonden op de telefoon van Thanasis Koukakis, een journalist gespecialiseerd in financiën en corruptie. Ook hier was het rapport gebaseerd op een onderzoek van Citizen Lab. Volgens deze informatie was de mobiele telefoon van Koukakis besmet met een gepersonaliseerd sms-bericht met een gecompromitteerde link. De civiele geheime dienst in Griekenland wordt genoemd als mogelijke initiatiefnemer .
De fabrikant van Predator is het bedrijf Cytrox, dat volgens BalkanInsight in 2017 werd opgericht door vijf Israëlische staatsburgers en één Hongaar als een naamloze vennootschap in Skopje (Noord-Macedonië). De eigenaar van het bedrijf, dat nu eigendom is van een bedrijf in Hongarije, is de 70-jarige veteraan van de Israëlische luchtmacht, Meir Shamir. De Noord-Macedoniër Ivo Malinkovksi is de algemeen directeur. Cytrox zou extra productiefaciliteiten en kantoren hebben in Hongarije en Israël.
Pegasus versus Predator
Predator werkt op telefoons met Android- en iOS-besturingssystemen en verzamelt informatie van mobiele apparaten en bijbehorende cloudservices. Bestanden, foto’s, internetgeschiedenis, contacten en wachtwoorden worden na een succesvolle infectie doorgestuurd naar de klant.
De software werd onder meer bekend uit Egypte, waar Citizen Lab het gebruik ervan op mobiele telefoons kon bewijzen door twee leden van de oppositie . De infectie vond plaats door op een link in een WhatsApp-bericht te klikken. De NSO-trojan was zelfs geïnstalleerd op een van de getroffenen, wat de onderzoekers ertoe bracht de kop “Pegasus vs. Predator” te noemen.
In december waarschuwde de metagroep 50.000 eigenaren van Facebook- of Instagram-accounts voor staatstoezicht met Trojaanse programma’s en sloot accounts. De Predator-spyware werd ook genoemd in het gepubliceerde rapport . De Trojaanse smederij Cytrox is een van de zeven bedrijven waarvan de aanwezigheid is verwijderd van 1.500 nepaccounts op sociale Meta-netwerken. Volgens Facebook zijn alleen al 300 van deze accounts opgezet door Cytrox.
Concurrentie met de NSO Groep
Niet alleen het feit dat een journalist in een EU-lidstaat werd gemonitord met Predator, zet de software op de radar van de onderzoekscommissie in het Brusselse parlement. Cytrox maakt deel uit van de zogenaamde “Intellexa Alliance”, waarin verschillende Trojaanse fabrikanten hun krachten hebben gebundeld, waarschijnlijk om te kunnen concurreren met andere fabrikanten zoals de NSO Group. Volgens eigen verklaringen heeft het netwerk zes locaties en onderzoekslaboratoria in heel Europa.
De Israëlische ex-commandant Tal Dilian , die betrokken is bij zijn bedrijf WiSpear, wordt beschouwd als de ontwerper van de “Intellexa Alliance” . Blijkbaar in Passitora Ltd. Het in Cyprus gevestigde bedrijf haalde de krantenkoppen in 2019 toen Dilian een zwart busje van 9 miljoen dollar vol bewakingsapparatuur naar het eiland bracht .
De onderzoekscommissie heeft tot nu toe niet bepaald welke getuigen zullen worden opgeroepen voor de hoorzitting, maar dit zal in ieder geval gevolgen hebben voor CEO’s van de Trojaanse bedrijven. Onder bepaalde omstandigheden zouden ook Duitse autoriteiten het doelwit kunnen zijn. Volgens Meta wordt Cytrox-spyware ingezet in Armenië, Saoedi-Arabië, Oman, Colombia, Ivoorkust, Vietnam en de Filippijnen. Duitsland is na Griekenland de tweede bekende EU-lidstaat waaraan Predator is verkocht, volgens het rapport van Meta.