Journalist Jelena Veljkovic uit Servië - Balkan Investigative Reporting Network (BIRN). Ze werd in februari 2025 aangevallen door de Pegasus-spyware van NSO Group.
© BIRN

Servië: journalisten doelwit van Pegasus-spyware

Twee journalisten van de Balkan Ivestigative Reporting Network (BIRN), een bekend Servisch netwerk van onderzoeksjournalisten, zijn vorige maand getroffen door Pegasus-spyware van de NSO Group.

Dat blijkt uit een onderzoek van Amnesty International. Het gaat om Bogdana (niet haar echte naam) en Jelena Veljkovic, die verdachte berichten ontvingen op de app Viber van een onbekend Servisch nummer dat gelinkt was aan Telekom Srbija, het staatstelecombedrijf.  

De twee journalisten hadden het vermoeden dat hun smartphones het doelwit waren van een spyware-aanval en namen contact op met het Security Lab van Amnesty International. Het forensische onderzoek bevestigde hun vermoedens. 

“We kwamen erachter dat de berichten hyperlinks bevatten die gelinkt waren aan de Servische domeinnaam die – zo kunnen we met hoge zekerheid zeggen – verbonden is aan de Pegasus spyware van de NSO Group”, zegt Donncha Ó Cearbhaill van Amnesty’s Security Lab. “Dit is de derde keer in twee jaar tijd dat Amnesty’s Security Lab ontdekt dat Pegasus spyware van de NSO Group wordt gebruikt om het Servische maatschappelijk middenveld tot doelwit te maken. In november 2023 beschreven Amnesty International, Access Now, SHARE Foundation en Citizen Lab hoe twee Servische ngo-medewerkers werden aangevallen door spyware. Amnesty International schreef deze aanvallen later toe aan Pegasus.  

Op 14 februari 2025 ontving Bogdana een bericht op Viber met een link naar een nieuwsbericht en de tekst: “Heb je informatie dat hij de volgende is? Ik heb iets geheel anders gehoord.” Ze werkte toen aan een artikel over buitenlandse investeringen en aan de staat gelinkte corruptiezaken. De dagen ervoor had ze bronnen ontmoet voor haar verhaal, onder wie mensen met nauwe banden met de overheid.  

Bogdana klikte niet op de met Pagasus geïnfecteerde link, en uit een forensische analyse van haar telefoon bleek dat er geen Pegasus spyware was geïnstalleerd op haar apparaat. Amnesty’s Security Lab kwam er later achter dat als ze op de link had geklikt, deze haar had doorgelinkt naar een neppagina van een Servisch mediabedrijf, een techniek die eerder was gezien bij een poging van Pegasus om een Servische protestleider aan te vallen in juli 2023. 

Reactie NSO Group

NSO Group beweerde in een brief aan Amnesty International dat “alle verkopen van onze systemen gaan naar goed doorgelichte overheidsgebruikers.” Amnesty International denkt dat het voortdurende gebruik van door Pegasus geïnfecteerde domeinnamen in de Servische taal, het tot doelwit maken van het Servische maatschappelijke middenveld op consistente manieren, erop wijzen dat deze aanvallen worden uitgevoerd door een Servische staatseenheid.  

 

Het voelde alsof er een indringer was in mijn huis

Bodgana reageerde: “Toen ik erachter kwam dat de link op mijn telefoon van Pegasus was, was ik kwaad. Deze telefoon stond op mijn naam, en het voelde alsof er een indringer in mijn huis was. Dat is een eng gevoel… Ik maakte me ernstige zorgen over mijn bronnen die risico liepen omdat ze met mij hadden gecommuniceerd.” 

Jelena Veljkovic ontving een soortgelijk Viber-bericht als Bogdana van hetzelfde Servische telefoonnummer op 14 februari. Ze verwijderde het zonder erop te klikken. Volgens de conclusie van Amnesty International ging het om een Pegasus spyware-aanval door een zogenaamde 1-click-actie: de ontvanger moet daarbij actie nemen om de infectie op hun apparaat binnen te halen, vaak door te klikken op een geïnfecteerde link.

“Toen ik erachter kwam dat ik het doel was van een Pegasus-aanval, was ik niet speciaal bang, maar vond ik het wel eng”, vertelt Jelena. “Dit was mijn privé-telefoon, die ik ook gebruik voor werk, en een virus zoals Pegasus, is niet selectief en kan toegang krijgen tot alles op mijn telefoon, dus dat kan ook voor mijn familie gevolgen hebben.” 

“Dit was een doelgerichte aanval op onderzoeksjournalisten – een vorm van druk en een waarschuwing. Ik weet niet of het een aanval op mij persoonlijk was, of op BIRN als mediabedrijf.” 

Aanvallen op BIRN

BIRN en zijn medewerkers worden vaak bedreigd en geïntimideerd en zijn regelmatig onderwerp van zogenaamde SLAPPs: Strategic Lawsuits against Public Participation, onder meer door de overheid, vanwege hun onderzoeksjournalistiek. Op het moment lopen er vier SLAPP-aanklachten, onder meer van de huidige burgemeester van Belgrado en anderen met links met de overheid. 

Amnesty International deelde haar bevindingen met de NSO Group die antwoordde: “We kunnen geen commentaar geven over specifieke bestaande klanten of klanten uit het verleden. Daarnaast geven we vanuit beleidsoverwegingen geen informatie over onze technische specificaties, functionaliteit of operationele kenmerken van onze producten.” 

Herhaalde verzoeken om contact te krijgen met het Servische Informatie-Agentschap (BIA, Bezbednosno-informativna Agencija) bleven onbeantwoord. 

Dit onderzoek bevat verder bewijs voor het feit dat de Servische autoriteiten misbruik maken van extreem invasieve spyware producten en andere digitale surveillance technologiën om journalisten, activisten en leden van ngo’s tot doelwit te maken. Dit in de context van de grote studentenprotesten die het land sinds november 2024 in zijn greep houden. 

Oproep Amnesty International 

Amnesty International roept de Servische autoriteiten op om te stoppen met het gebruik van zeer invasieve spyware en om slachtoffers die onwettig tot doelwit zijn gemaakt van surveillance genoegdoening te bieden. Degenen die verantwoordelijk zijn voor deze schendingen moeten ter verantwoording worden geroepen. Daarnaast moet de NSO Group stoppen met de verkoop van Pegasus en het gebruik van haar producten in Servië.

Meer over dit onderwerp