In de ochtend van 10 augustus kreeg Ahmed Mansoor, een 46-jarige mensenrechtenactivist uit de Verenigde Arabische Emiraten een vreemd smsje van een nummer dat hij niet herkende. 

"Nieuwe geheimen over martelingen van Emiratis in staatsgevangenissen," las het bericht, dat ook een link bevatte. Hij was achterdochtig en klikte niet op de link. In plaats daarvan stuurde hij de link door naar Bill Marczak, een onderzoeker bij Citizen Lab, een privacywaakhond bij de Universiteit van Toronto. Het bericht bleek inderdaad niet pluis te zijn. De link leidde niet naar geheimen over martelingen, maar naar een zeer geavanceerd stuk malware dat drie onbekende kwetsbaarheden in Apple's iOS gebruikte.

"Een van de meest geavanceerde stukken cyberspionagesoftware die we ooit hebben gezien." Dit is de eerste keer dat iemand zo'n aanval in het wild heeft gevonden. Tot op deze maand had niemand spionagesoftware gezien die drie onbekende bugs, of zero-days, in de iPhone toepaste. De tools en technologie die nodig zijn om een dergelijke aanval – in feite op afstand een iPhone jailbreaken – uit te voeren kunnen een miljoen dollar waard zijn. Nadat de onderzoekers Apple op de hoogte brachten, heeft het bedrijf hard gewerkt om een fix uit te rollen in een update die sinds gisteren beschikbaar is. Download die.

Het lijkt erop dat het bedrijf dat de spyware en zero-days leverde een vrij onbekend Israelisch surveillancebedrijf is dat NSO Group heet. Mike Murray, hoofdonderzoeker bij Lookout, noemde het bedrijf "in feite een cyberwapenhandelaar."

De onderzoekers bij Citizen Lab en Lookout waren onder de indruk van deze nooit eerder vertoonde soort malware. "Een van de meest geavanceerde stukken cyberspionagesoftware die we ooit hebben gezien. Het steelt alle informatie op je telefoon, onderschept elk gesprek, onderschept elk bericht en steelt alle e-mails, contacten en Facetime. Het maakt een achterdeurtje in elk communicatiemechanisme dat je op de telefoon hebt," legt Murray uit. "Het steelt alle informatie uit de Gmail-app, alle Facebook-berichten, alle Facebook-informatie, je Facebook-contacten, alles van Skype, WhatsApp, Viber, WeChat, Telegram – noem maar op." 

PegasusSpyware
Deze aanval op Mansoor en een andere aanval die Citizen Lab kon terugvoeren naar een journalist in Mexico, toont datHacking Team en FinFisher niet de enige spelers zijn in de groeiende markt van privébedrijven die hackdiensten leveren aan overheden. Het toont ook dat de klanten van deze bedrijven – vaak repressieve overheden die activisten en critici als doelwit hebben – niet bang zijn om de peperdure software in te zetten.

"Dit toont de ongelofelijk macht van journalisten en activisten die dit soort extreem dure spyware aantrekken," zei Railton. Uiteindelijk zou dit een voorteken kunnen zijn. De mensen op wie deze spyware vandaag gericht is – dissidenten, activisten – dat zijn het soort mensen op de frontlinie van wat er voor ons allemaal aankomt. Ze zijn kanaries in de kolenmijn," zei Marczak. "De bedreigingen waar zij nu mee omgaan, is de misschien de bedreigingen waar wij allemaal in de toekomst mee om moeten gaan."

Een kort profiel uit 2014 in The Wall Street Journal meldde dat NSO hun producten aan de Mexicaanse overheid verkocht en interesse wekte bij de CIA. Hun spionagesoftware werd overal ter wereld verkocht.
Nu hun spyware bloot ligt en hun zero-days bekend zijn, kan NSO niet meer beweren dat ze een spook zijn. Al is het natuurlijk mogelijk dat het bedrijf meer zero-days en tools bezit. Dat is waarom onderzoekers niet verwachten dat hun rapporten en de patch van Apple ervoor gaan zorgen dat NSO stilgelegd wordt. "We gaan NSO niet bankroet maken door deze kwetsbaarheden te patchen," zei Murray.

Dit is ook het eerste teken van de opkomst van een nieuwe superspeler in de wereld van spionagesoftware. NSO heeft de potentie om te groeien na de hacks op FinFisher en Hacking Team, die tot nu toe de meest bekende en beruchte cyberwapenhandelaars zijn.

Het engste is misschien nog wel dat dit allemaal niet bekend zou zijn als Mansoor op 10 augustus op die link geklikt had.

Alles bij de bron; MotherBoard [Thnx-2-Luc]