Diktaturernes foretrukne cybervåben

En håndfuld af verdens undertrykkende regimer overvåger aktivister, journalister, jurister med flere ved hjælp af den sofistikerede spyware Pegasus, udviklet af israelske NSO Group. Det har et datalæk, Amnesty International og et storstilet samarbejde mellem
en række af verdens førende medier afsløret. 

Af Bjarke Windahl Pedersen
Illustrationer: Howie Shia
Artiklen er bragt i medlemsbladet Amnesty #3, november 2021


Opdatering: Den 3. november 2021 satte USA det israelske firma NSO Group på sin liste over firmaer og grupper, som ikke uden specielle tilladelser kan få adgang til at købe eksempelvis tekniske komponenter fra amerikanske firmaer. Amnesty bifalder beslutningen, fordi den amerikanske regering dermed anerkender det, som Amnesty og andre aktivister i flere år har fremført: At NSO Groups spyware bliver brugt til at begå grove krænkelser af menneskerettighederne.

Verden over udviser autoritære stater ofte stor iderigdom, når de forfølger menneskerettighedsforkæmpere, politiske modstandere eller kritikere.

Men en række af verdens repressive regimer henter også hjælp hos den samme virksomhed, israelske NSO Group, som i de senere år er blevet kendt for overvågningsredskabet Pegasus.

Pegasus kan inficere en mobiltelefon og i al hemmelighed give afsenderen mulighed for at overvåge ejeren af mobilen. Afsenderen kan for eksempel tænde for kameraet på den inficerede telefon og kigge med i en aktivists professionelle og private liv, tænde for mikrofonen og lytte med, tilgå mails og beskeder og læse med, overvåge lokationsdata og følge med i bevægelsesmønstre.

Og efterspørgslen på disse muligheder er stor.

Det har Amnesty International og mere end 80 journalister fra 17 medier i ti lande for nylig afsløret gennem en fælles undersøgelse, kaldet Pegasusprojektet.

En liste med mere end 50.000 telefonnumre på potentielle overvågningsmål, som NSO Groups kunder siden 2016 har udvalgt, giver således et unikt indblik i, at Pegasus – stik imod de officielle udmeldinger fra NSO Group – ikke kun er et redskab, som stater bruger til legitim bekæmpelse af kriminalitet og terrorisme. Derimod er journalister, aktivister, jurister, politikere og andre lovlydige borgere også på listen over mulige mål, som NSO Group har modtaget fra potentielle kunder i lande som Aserbajdsjan, Bahrain, Mexico, Marokko, Rwanda, Saudi Arabien, Ungarn, Indien og De Forenede Arabiske Emirater.

”NSO’s overvågningsprogram Pegasus er et foretrukket våben hos repressive regeringer, som vil gøre journalister tavse, angribe aktivister og nedkæmpe modstand. Det sætter utallige menneskers liv i fare”, siger Agnès Callamard, generalsekretær i ­Amnesty International.


Pegasus-projektets afsløringer


Amnesty International og række medier, herunder Forbidden Stories, Le Monde, The Guardian, Süddeutsche Zeitung og Washington Post har blandt andet afdækket;

Mindst 180 journalister i 20 lande er de seneste fem år blevet udpeget som potentielle over­vågnings­mål, herunder journalister i lande som Indien, Ungarn og Aserbajdsjan, hvor ­uafhængige medier
er under angreb.

Kvindelige journalister, eksempelvis fra mediet Al-Jazeera, har fået stjålet private fotos fra deres telefoner, som siden er spredt online for at udskamme dem og skade deres omdømme.
 
Myndighederne i Rwanda potentielt har angrebet mere end 3500 aktivister, journalister og politikere med Pegasus. Spywaren har også inficeret en telefon tilhørende Carine Kanimba, der er datter af Paul Rusesabagina, kendt fra filmen Hotel Rwanda og for nylig idømt 25 års fængsel for terrorisme efter en uretfærdig retssag.
      
Mere end 300 ungarske borgeres telefoner har været mulige overvågningsmål, og Pegasus har i en række tilfælde inficeret telefoner tilhørende ungarske borgere.

Saudisk klapjagt

Pegasus blev globalt kendt allerede i 2016, da det ramte Ahmed Mansoor, en af De Forenede Emiraters mest anerkendte menneskerettighedsforkæmpere, som i dag er fængslet på femte år for sit fredelige arbejde.

Siden er det påvist, at eksempelvis aktivister i Marokko og undersøgende journalister i Mexico er blevet overvåget. Rækken af nye afsløringer, som begyndte i juli år, gør det i dag klart, at overvågningsredskabet er globalt udbredt og ofte er et integreret værktøj i regimernes klapjagt på blandt andre menneskerettighedsforkæmpere. 

Saudiske Yahya Assiri leder organisationen ALQST, som arbejder for menneskerettighederne i Saudi-Arabien. Han fik asyl i Storbritannien i 2017 efter at have modtaget trusler om fængsling og tortur fra den saudiske regering.

I slutningen af maj 2018 blev hans mobilenheder inficeret med Pegasus, kunne Amnesty dokumentere.

”Jeg modtog en besked, hvori der stod, at jeg skulle for retten i Saudi-Arabien, og hvis jeg ønskede at vide mere, skulle jeg trykke på et link. Jeg åbnede linket på en anden enhed for at være sikker. Det åbnede et link til Justitsministeriet, så jeg følte, det var sikkert”, har Yahya Assiri fortalt Amnesty International.

Året før cyberangrebet på Yahya Assiri havde Saudi-Arabien ifølge medier indkøbt Pegasus for 55 millioner dollars, og kort tid derefter indledte Saudi-Arabiens kronprins, Mohammed bin Salman, en klapjagt på menneskerettighedsaktivister i landet.

”De arresterede alle menneskerettighedsforkæmpere i landet. Heriblandt de kvinder, som vi plejede at samarbejde med”, beretter Yahya Assiri.

En af de primære anklager mod de arresterede var, at de havde været i kontakt med Yahya Assiri, som indtil da havde været i kontakt med dusinvis af aktivister i lukkede grupper på de sociale medier.

Nu blev den ene profil efter den anden lukket ned, fordi aktivisterne blev fængslet.

Også en Amnestyresearcher blev i juni 2018 forsøgt inficeret med Pegasus fra Saudi-Arabien, mens den kendte saudiske aktivist Omar Abdulaziz’ telefon i samme måned blev inficeret, så afsenderen kunne overvåge hans kommunikation fra Montreal, Canada, hvor han boede.

Drabet på Khashoggi

Da Omar Abdulaziz blev angrebet med Pegasus var han i tæt kontakt med Jamal Khashoggi, der som journalist og klummeskribent for Washington Post var en de af mest prominente kritikere af den politiske kurs i kongedømmet.

I tæt ved 400 beskeder på den krypterede beskedtjeneste WhatsApp havde Abdulaziz og Khashoggi fra maj 2017 til oktober 2018 blandt andet diskuteret, hvordan man kunne forbedre ytringsfriheden i Saudi Arabien, når man, som de begge gjorde, befandt sig uden for landet.

Den 1. oktober 2018 blev det doku­menteret, at Omar Abdulaziz’ telefon var blevet inficeret med Pegasus. Dagen efter gik Jamal Khashoggi ind på det saudiske konsulat i Istanbul for at få ordnet papirer i forbindelse med sit forestående bryllup.

I dag ved omverdenen, at han her blev ­brutalt myrdet af et hold agenter, fløjet ind fra Saudi-Arabien.

Pegasus-projektet har føjet nye brikker til billedet af det saudiske styres ageren før og efter mordet på Jamal Khashoggi. Således kunne Amnesty og Washington Post i juli i år afsløre, at Khashoggis hustrus telefon var blevet forsøgt angrebet med Pegasus et halvt år før drabet på det saudiske konsulat.

Undersøgelsen kunne ikke fastslå, om hendes telefon var blevet inficeret ved angrebet. En anden kvinde i Khashoggis liv, hans forlovede Hatice Cengiz, havde ledsaget ham helt hen til indgangen ved konsulatet, hvor han sidst blev set i live. Hendes telefon blev inficeret med Pegasus bare fire dage senere, har Amnestys undersøgelse afsløret.

”Det var det værste tidspunkt i mit liv, og alligevel udspionerede morderne mig. De er skamløse og må stilles til ansvar”, skrev Hatice Cengiz i juli på Twitter.

Det er fortsat uvist om også Khashoggis egen telefon var inficeret med Pegasus. Ifølge Washington Post gav han den til sin forlovede, da han gik ind på konsulatet, og hun gav den til de tyrkiske myndigheder, som med henvisning til efterforskningen af drabet har afvist at udlevere den.

En farlig industri

Firmaet bag, NSO Group, insisterer på, at Pegasus alene bruges af stater til at indsamle data fra mobile enheder, som tilhører specifikke mistænkte for alvorlige forbrydelser.

I et langt modsvar til afsløringerne i Pegasus-projektet skriver NSO Group, at virksomheden på det kraftigste benægter ”falske påstande”.  Virksomheden tilføjer, at ”den ikke opererer de systemer, som sælges til godkendte regeringskunder, og at den ikke har adgang til data fra kunders overvågningsmål, selvom kunder er forpligtet til at give os den information i tilfælde af undersøgelser.”

Ifølge NSO Group gør hensyn til kontrakter og nationale sikkerhedshensyn det i øvrigt umuligt for virksomheden at be- eller afkræfte identiteten på kunder.

Amnestys vurdering er, at overvågningsangrebene mod civilsamfundet ikke blot udgør en personlig fare for de overvågede, men også destabiliserer menneskerettighederne og den digitale sikkerhed på verdensplan.

Derfor arbejder Amnesty for det første for, at NSO Group omgående lukker ned for de klienter, som beviseligt har misbrugt Pegasus, og at virksomheden stilles til ansvar for igen og igen at have undladt at forhindre, at dens teknologi er blevet brugt til at krænke menneskerettighederne.

For det andet for, at det israelske forsvarsministerium tilbagekalder sine eksporttilladelser til NSO Group.

Og for det tredje for, at eksport af overvågningsprogrammer som Pegasus globalt set sættes på pause, indtil landene har indført national lovgivning, der pålægger virksomheder at efterprøve potentielle kunder, så det sikres, at teknik med potentielt ødelæggende konsekvenser for menneskerettighederne ikke eksporteres til kunder, der misbruger den.

”NSO Group er blot én virksomhed. Dette er en farlig industri, som alt for længe har opereret på kanten af loven, og det kan ikke få lov til at fortsætte. Vi har brug for en større regulering af cyberovervågningsindustrien og brug for, at der placeres et ansvar i sager om menneskerettighedskrænkelser”, siger Agnès Callamard.

Amnestys afdækning af Pegasus


Amnesty International har i flere år arbejdet med at afdække misbrugen af Pegasus.

Efter en Amnesty-ansat blev angrebet med Pegasus, har Amnesty i Israel støttet et sagsanlæg mod det israelske forsvarsministerium med henblik på at få tilbagekaldt NSO Groups eksporttilladelser. 

I det igangværende Pegasusprojekt har Amnesty været teknisk partner. Teknologieksperter ved Amnesty Techs Sikkerhedslaboratorium i Berlin har udviklet nye metoder til at foretage digitale ”retsmedicinske” analyser af mobiltelefoner, ramt af Pegasus, og igennem det seneste år har Amnesty undersøgt telefoner tilhørende personer, som bor i Belgien, Canada, Frankrig, Tyskland, Tyrkiet, Storbritannien og USA.

Amnestys research og konklusioner er siden blevet efterprøvet og bekræftet af uafhængige eksperter ved Citizen Lab ved Universitetet i Toronto, Canada.