Activisten en journalisten in Servië doelwit van spyware
De Servische politie en inlichtingendiensten gebruiken geavanceerde telefoonspionagesoftware en forensische tools voor mobiele telefoons om journalisten, milieuactivisten en anderen illegaal te hacken in een geheime surveillancecampagne, zo blijkt uit een nieuw rapport van Amnesty International.
Het rapport “A Digital Prison”: Surveillance and the Suppression of Civil Society in Serbia” omschrijft hoe digitale tools van het Israëlische bedrijf Cellebrite worden gebruikt om gegevens te verzamelen van mobiele apparaten van journalisten en activisten. Het onthult ook hoe de Servische politie en het Bureau voor Veiligheidsinformatie (Bezbedonosno-informativna Agencija – BIA) een op maat gemaakt Android spyware systeem, NoviSpy, hebben gebruikt om stiekem de apparaten van individuen te infiltreren tijdens detentie of politieverhoren.
“Ons onderzoek onthult hoe de Servische autoriteiten surveillancetechnologie en digitale onderdrukkingstactieken hebben ingezet als instrumenten van bredere staatscontrole en onderdrukking gericht tegen de burgermaatschappij,” zegt Dinushika Dissanayake van Amnesty International.
“Cellebrite wordt wereldwijd op grote schaal gebruikt door politie- en inlichtingendiensten. Als de digitale tools van Cellebrite worden gebruikt zonder strikte wettelijke controle en toezicht, kan dat een enorm risico vormen voor mensen die opkomen voor mensenrechten, het milieu en de vrijheid van meningsuiting.”
Monitoring door staat met Cellebrite en NoviSpy
Het bedrijf Cellebrite, opgericht en gevestigd in Israël met kantoren wereldwijd, ontwikkelt producten voor wetshandhavingsinstanties en overheidsinstellingen. Met hun tools kunnen zelfs zonder wachtwoord van het apparaat gegevens van een groot aantal mobiele apparaten worden verzameld, waaronder enkele van de meest recente Android-apparaten en iPhone-modellen.
NoviSpy is een tot nu toe minder bekende Android spyware. Hoewel het technisch minder geavanceerd is dan de zeer indringende commerciële spyware zoals Pegasus, biedt NoviSpy de Servische autoriteiten uitgebreide monitoringsmogelijkheden zodra het geïnstalleerd is op het apparaat van een doelwit. Zo kan deze spyware gevoelige persoonlijke gegevens van een doeltelefoon vastleggen en de microfoon of camera van een telefoon op afstand inschakelen. De forensische tools van Cellebrite worden gebruikt om de telefoon te ontgrendelen voordat de spyware wordt geïnstalleerd en om de gegevens van een apparaat te verzamelen.
Amnesty International toont in het rapport aan hoe Servische autoriteiten Cellebrite-producten gebruikten om NoviSpy spyware-infecties van telefoons van activisten mogelijk te maken. In ten minste twee gevallen werden Cellebrite UFED exploits (software die gebruik maakt van een bug of zwakke plek) gebruikt om de beveiligingsmechanismen van Android-toestellen te omzeilen, waardoor de autoriteiten heimelijk de NoviSpy spyware konden installeren tijdens politieverhoren.
Ook ontdekte Amnesty International hoe de Servische autoriteiten met Cellebrite een beveiligingsfout in Android apparaten bewust omzeilden. Zo kregen ze toegang tot de telefoon van een milieuactivist.
De beveiligingsfout die werd ontdekt in samenwerking met beveiligingsonderzoekers van Google Project Zero en Threat Analysis Group en trof miljoenen Android apparaten wereldwijd die gebruik maken van de populaire Qualcomm chipsets. Een update die het beveiligingsprobleem oploste werd uitgebracht in het Qualcomm Security Bulletin van oktober 2024.
Cellebrite telefoonhacks en spyware bedreiging voor journalisten en activisten
In februari 2024 werd de Servische onafhankelijke onderzoeksjournalist Slaviša Milanov gearresteerd en vastgehouden door de politie onder het mom van een alcoholtest. Tijdens zijn detentie werd Slaviša door agenten in burger ondervraagd over zijn journalistieke werk. Slaviša’s Android telefoon werd uitgeschakeld toen hij hem aan de politie overhandigde. Er werd hem niet om het wachtwoord gevraagd.
Na zijn vrijlating merkte Slaviša dat er met zijn telefoon, die hij tijdens zijn verhoor bij de receptie van het politiebureau had achtergelaten, geknoeid was en dat zijn telefoongegevens waren uitgeschakeld.
Hij vroeg het Security Lab van Amnesty International om een forensische analyse van zijn telefoon – een Xiaomi Redmi Note 10S. Uit de analyse bleek dat het UFED product van Cellebrite was gebruikt om de telefoon van Slaviša stiekem te ontgrendelen tijdens zijn detentie.
Aanvullend bewijs toonde aan dat NoviSpy vervolgens werd gebruikt door de Servische autoriteiten om Slaviša’s telefoon te infiltreren. Bij een milieuactivist, Nikola Ristić, werd vergelijkbaar forensisch bewijs gevonden van Cellebrite-producten. Ook bij hem werden deze ingezet om een apparaat te ontgrendelen om vervolgens het gebruik van spyware mogelijk te maken.
“Ons forensisch bewijs toont aan dat de NoviSpy spyware werd geïnstalleerd terwijl de Servische politie in het bezit was van Slaviša’s apparaat, en de infectie was afhankelijk van het gebruik van een geavanceerd hulpmiddel zoals Cellebrite UFED dat in staat was om het apparaat te ontgrendelen. Amnesty International schrijft de NoviSpy spyware met groot vertrouwen toe aan BIA,” zegt Donncha Ó Cearbhaill, het hoofd van Amnesty International’s Security Lab.
NoviSpy vrij baan tijdens verhoren
Deze tactiek van het heimelijk installeren van spyware op apparaten van mensen tijdens detentie of ondervragingen lijkt op grote schaal te zijn toegepast door de autoriteiten. In een ander geval werd de telefoon van een activist van Krokodil, een organisatie die dialoog en verzoening in de Westelijke Balkan promoot, geïnfecteerd met spyware tijdens een interview met BIA-ambtenaren in oktober 2024.
De activist was uitgenodigd op het kantoor van BIA in Belgrado om informatie te verstrekken over een aanval op hun kantoren door Russisch sprekende mensen, ogenschijnlijk in verzet tegen Krokodils publieke veroordeling van de Russische invasie in Oekraïne.
Na het interview vermoedden de activisten dat er met hun telefoon was geknoeid. Op hun verzoek voerde Amnesty International een forensisch onderzoek uit waaruit bleek dat NoviSpy tijdens het BIA-interview op het toestel was geïnstalleerd. Amnesty International was ook in staat om de bewakingsgegevens te herstellen en te ontsleutelen die NoviSpy had vastgelegd terwijl de activist zijn telefoon gebruikte. Het ging hierbij om screenshots van e-mailaccounts, Signal- en WhatsApp-berichten en social media-activiteiten.
Amnesty International meldde de NoviSpy spywarecampagne vóór publicatie aan beveiligingsonderzoekers bij Android en Google. Zij ondernamen actie om de spyware van getroffen Android-apparaten te verwijderen. Google heeft ook een ronde van “door de overheid gesteunde aanval” waarschuwingen verstuurd naar individuen die zij hebben geïdentificeerd als mogelijke doelwitten van deze campagne.
Impact van digitale surveillance en repressie door de staat is groot
Servische activisten zijn getraumatiseerd door deze tactieken. “Dit is een ongelooflijk effectieve manier om communicatie tussen mensen volledig te ontmoedigen. Alles wat je zegt kan tegen je worden gebruikt. Dit verlamt je zowel op je werk als privé,” aldus Branko*, een activist die het doelwit was van Pegasus spyware.
Het heeft ook geleid tot zelfcensuur. “We zitten allemaal in een digitale gevangenis, een digitale goelag. We hebben een illusie van vrijheid, maar in werkelijkheid hebben we helemaal geen vrijheid. Dit heeft twee gevolgen: of je kiest voor zelfcensuur, wat je vermogen om je werk te doen diepgaand beïnvloedt, of je kiest ervoor om je hoe dan ook uit te spreken, in welk geval je bereid moet zijn om de gevolgen onder ogen te zien,” zei Goran*, een activist die ook het doelwit was van Pegasus spyware.
In reactie op onze bevindingen zei Cellebrite: “Onze digitale onderzoekssoftware-oplossingen installeren geen malware en voeren geen real-time surveillance uit die overeenkomt met spyware of andere offensieve cyberactiviteiten. We waarderen het dat Amnesty International het vermeende misbruik van onze technologie onder de aandacht brengt. We nemen alle beschuldigingen serieus over mogelijk misbruik van onze technologie door een klant op manieren die in strijd zijn met zowel de expliciete als impliciete voorwaarden in onze eindgebruikersovereenkomst.
Cellebrite onderzoekt de beweringen in het rapport en geeft aan: “Als ze worden bevestigd, zijn we bereid zijn om passende sancties op te leggen, waaronder beëindiging van de relatie van Cellebrite met relevante instanties.”
In antwoord op de vragen die Amnesty International eerder in het onderzoeksproces stuurde, zei Cellebrite dat haar producten “strikt gelicentieerd zijn voor legaal gebruik, een bevelschrift of toestemming nodig hebben om wetshandhavingsinstanties te helpen met wettelijk gesanctioneerde onderzoeken nadat een misdrijf heeft plaatsgevonden.”
Hoewel dit misschien het bedoelde gebruik is, laat het onderzoek van Amnesty International zien hoe de producten van Cellebrite misbruikt kunnen worden om spyware in te zetten en op grote schaal gegevens van mobiele telefoons te verzamelen buiten gerechtvaardigde strafrechtelijke onderzoeken om, wat ernstige risico’s voor de mensenrechten met zich meebrengt.
Amnesty International heeft de bevindingen van dit onderzoek voorafgaand aan de publicatie gedeeld met de Servische regering, maar heeft nog geen reactie ontvangen.
Oproep Amnesty International
De Servische autoriteiten moeten stoppen met het gebruik van zeer invasieve spyware en slachtoffers van onwettige gerichte surveillance bijstaan en degenen die verantwoordelijk zijn voor de schendingen ter verantwoording roepen. Cellebrite en andere digitaal forensische bedrijven moeten ook voldoende zorgvuldigheid betrachten om ervoor te zorgen dat hun producten niet bijdragen aan mensenrechtenschendingen.
De afgelopen jaren is de onderdrukking door de staat en de vijandige omgeving voor voorstanders van vrijheid van meningsuiting in Servië met elke golf van anti-regeringsprotesten geëscaleerd. De autoriteiten hebben aanhoudende lastercampagnes gevoerd tegen ngo’s, media en journalisten en hebben vreedzame demonstranten gearresteerd en gerechtelijk geïntimideerd.
*Naam veranderd om identiteit te beschermen