Op deze foto-illustratie is een Google-logo te zien op een Android-smartphone. Op de achtergrond zie je een computer code.
© SOPA Images / ANP

Amnesty International onthult nieuwe hackcampagne die gelinkt is aan ingehuurd spywarebedrijf

Het Security Lab van Amnesty International heeft een geavanceerde hackcampagne van een ingehuurd spywarebedrijf blootgelegd. De hack richt zich op Google’s Android-besturingssysteem. De technische bevindingen zijn gedeeld met Google’s Threat Analysis Group, die door de overheid gesteunde cyberaanvallen wil tegengaan. Als gevolg hiervan konden Google en andere getroffen leveranciers, waaronder Samsung, beveiligingsupdates uitbrengen die miljarden Android-, Chrome- en Linux-gebruikers beschermden tegen de gebruikte aanvalstechnieken.

Amnesty International noemt het bedrijf niet bij naam terwijl het Security Lab de activiteiten ervan blijft volgen en onderzoeken. De aanval vertoonde alle kenmerken van een geavanceerde spywarecampagne die is ontwikkeld door een commercieel cyber-surveillancebedrijf en is verkocht aan overheidshackers om gerichte spionageaanvallen uit te voeren.

‘Meedogenloze spywarebedrijven vormen een reëel gevaar voor de privacy en veiligheid van iedereen’, zegt Donncha Ó Cearbhaill van Amnesty’s Security Lab. Ze roept mensen op om ervoor te zorgen dat ze de nieuwste beveiligingsupdates op hun apparaten hebben.

‘Hoewel het van essentieel belang is dat dergelijke kwetsbaarheden worden verholpen, is dit slechts een tijdelijke oplossing voor de wereldwijde spionagecrisis. Om te voorkomen dat geavanceerde cyberaanvallen worden gebruikt als repressiemiddel tegen activisten en journalisten, moet er onmiddellijk een wereldwijd verbod (moratorium) komen op de verkoop, de overdracht en het gebruik van spyware totdat er sterke wettelijke waarborgen voor de mensenrechten zijn.’

Amnesty’s Security Lab houdt actief toezicht op en onderzoekt bedrijven en overheden die cyber-surveillancetechnologieën verspreiden en misbruiken die een fundamentele bedreiging vormen voor mensenrechtenverdedigers, journalisten en de burgermaatschappij.

Op 27 maart 2023 heeft de Amerikaanse president Biden, in een belangrijke stap om de spionagecrisis aan te pakken, een uitvoerend bevel ondertekend dat het gebruik van commerciële spionagesoftware door de overheid beperkt als deze een bedreiging vormt voor de mensenrechten. Deze actie geeft een krachtig signaal af aan andere regeringen om soortgelijke maatregelen te nemen.

Zero-day-aanval

Dankzij de bevindingen van het Security Lab kon Google in december 2022 een nieuwe zero-day-aanvalsketen vastleggen die werd gebruikt om Android-apparaten te hacken. Een zero-day-aanval is een cyberaanval die gebruikmaakt van een nog onbekende kwetsbaarheid in software of systemen, waardoor de ontwikkelaar geen tijd heeft gehad om een oplossing te bedenken en uit te rollen. Met andere woorden, de ontwikkelaar heeft 0 dagen om de aanval van de hacker op te lossen. Zero-day-aanvallen zijn bijzonder gevaarlijk omdat ze aanvallers in staat stellen om zelfs volledig bijgewerkte telefoons in gevaar te brengen, aangezien de kwetsbaarheid onbekend is bij de ontwikkelaar.

De recent ontdekte spionagecampagne is sinds ten minste 2020 actief en richt zich op mobiele en desktopapparaten, waaronder gebruikers van het Android-besturingssysteem van Google. De spionagesoftware en zero-day-aanvallen werden geleverd via een uitgebreid netwerk van meer dan 1.000 kwaadaardige domeinen, waaronder domeinen die mediawebsites in meerdere landen nabootsen.

Amnesty International heeft details over de domeinen en infrastructuur gepubliceerd die het in verband heeft gebracht met de aanval om het maatschappelijk middenveld te helpen bij het onderzoeken van en reageren op deze aanvallen.

Google’s Threat Analysis Group ontdekte dat Android-gebruikers in de Verenigde Arabische Emiraten (VAE) het doelwit waren van eenmalige aanval-links die via sms werden verzonden. Als ze hierop klikten, werd de spionagesoftware op de telefoon van het doelwit geïnstalleerd. Gedurende het afgelopen decennium zijn mensenrechtenverdedigers in de VAE vaker slachtoffer geworden van spionagehulpmiddelen. Deze hulpmiddelen zijn afkomstig van cyberbewakingsbedrijven zoals NSO Group en Hacking Team. Dit geldt ook voor Ahmed Mansoor, die werd aangevallen met spionagesoftware van beide bedrijven en vervolgens door de autoriteiten van de VAE werd gevangengezet vanwege zijn mensenrechtenwerk.

Amnesty’s Security Lab identificeerde aanvullende activiteiten met betrekking tot deze spionagecampagne in Indonesië, Belarus, de VAE en Italië. Deze landen vertegenwoordigen waarschijnlijk slechts een klein deel van de algehele aanvalscampagne, gezien de omvangrijke aard van de bredere aanvalsinfrastructuur.

Amnesty ontmaskert Android cyberspionage

De Threat Analysis Group was ook in staat om het volledige lading van de Android spionagesoftware van deze aanvalscampagne te verkrijgen. De aanvalsmethode maakte gebruik van meerdere onbekende zwakke plekken en andere recentelijk opgeloste problemen, waardoor zelfs een volledig geüpdatet Samsung Android-apparaat in gevaar kon worden gebracht. Deze zwakke plekken bevatten een onbekende kwetsbaarheid in de weergavefunctie van Chrome, een manier om uit de beveiligde omgeving van Chrome te ontsnappen, en een beveiligingsprobleem in een Mali GPU-stuurprogramma waardoor iemand meer rechten kon krijgen. De Mali GPU-kwetsbaarheid was al opgelost door Arm, maar de oplossing was niet toegevoegd aan de nieuwste Samsung-software die in december 2022 beschikbaar was. De aanvalsmethode gebruikte ook een onbekend beveiligingsprobleem in het Linux-systeem om volledige controle over de telefoon te krijgen (CVE-2023-0266). De laatste kwetsbaarheid zou aanvallers ook in staat stellen om Linux desktop- en ingebedde systemen aan te vallen.

Amnesty International blijft samenwerken met een groeiend netwerk van maatschappelijke partners om de unieke cyberspionage-bedreigingen waarmee mensenrechtenverdedigers worden geconfronteerd, op te sporen en aan te pakken. Deze aanhoudende steun houdt in dat ze informatie delen over gehackte systemen, forensische onderzoekstechnieken en het ontwikkelen van hulpmiddelen, zoals de Mobiele Verificatie Toolkit (MVT). Deze toolkit kan door maatschappelijke organisaties worden gebruikt om gerichte spionagesoftware op te sporen.

Talloze misstanden die Amnesty International en maatschappelijke partners de afgelopen jaren aan het licht hebben gebracht, tonen aan dat de spionagesoftware-industrie een groot gevaar vormt voor mensenrechtenverdedigers en het maatschappelijk middenveld wereldwijd. De systematische schadelijke gevolgen van de groeiende en ongereguleerde cyberspionage gaan veel verder dan de inmiddels beruchte Pegasus-software, ontwikkeld door NSO Group.

Na het Pegasus Project, dat onthulde dat spionagesoftware werd gebruikt om journalisten, mensenrechtenverdedigers en politici wereldwijd te bespioneren, is er dringend behoefte aan een internationaal verbod (moratorium) op de ontwikkeling, het gebruik, de overdracht en de verkoop van spionagesoftwaretechnologieën. Dit moet van kracht blijven totdat er een wereldwijd juridisch kader is opgesteld om deze misstanden te voorkomen en mensenrechten in het digitale tijdperk te beschermen.

Meer over dit onderwerp