Haaretz, 9 Aug 2022

Pegasus Spyware Maker NSO Has 22 Clients in the European Union.

Omer Benjakob

Representatives of the European Parliament Committee of Inquiry on Pegasus spyware recently visited Israel and learned from NSO personnel that the company has active contracts with 12 of the 27 European Union members. The replies of the Israeli cyber warfare company to the committee’s questions, which were obtained by Haaretz, reveal that the company is now working with 22 security organizations in the EU.

Committee representatives visited Israel in recent weeks to learn in-depth about the local cyber warfare industry, and held discussions with NSO employees, representatives of the Defense Ministry and local experts. Committee members included a Catalan legislator whose cell phone was hacked by an NSO customer.

The committee was established after the publication of Project Pegasus last year, and its objective is to create pan-European regulations for the acquisition, import and use of cyber warfare software such as Pegasus. But while committee members were in Israel, and particularly since their return to Brussels, it was revealed that Europe also has a well-developed cyber warfare industry – and many of its customers are European countries.

The Israel company’s Pegasus spyware and competing products make it possible to infect the cell phone of the victim of the surveillance, and afterwards enable the operator to eavesdrop on conversations, to read apps with encrypted messages, and provide total access to contacts and files on the device, as well as the ability to eavesdrop in real time on what is taking place around the cell phone, by operating the camera and the microphone.

Αρχή φόρμας

Τέλος φόρμας

During their visit to Israel the European legislators wanted to know the identity of NSO customers in Europe at present and were surprised to discover that most of the EU countries had contracts with the company: 14 countries have done business with NSO in the past and at least 12 are still using Pegasus for lawful interception of mobile calls, according to NSO response to the committee’s questions.

NSO works with 22 “end users” – security and intelligence organizations and law enforcement authorities – in 12 European countries. In some of the countries there is more than one client. (The contract is not with the country, but with the operating organization). In the past, as NSO wrote to the committee, the company worked with two additional countries – but the ties with them were severed. NSO did not disclose which countries are active customers and with which two countries the contract was frozen. Sources in the cyber field figure these countries are Poland and Hungary, which last year were removed from the list of countries to which Israel permits the sale of offensive cyber.

Some of the committee members believed Spain may have been frozen after the exposure of the surveillance of leaders of the Catalan separatists, but sources in the field explained that Spain, which is considered a law-abiding country, is still on the list of the Israeli Defense Ministry’s approved countries. The sources added that after the affair exploded, Israel, NSO and another Israeli firm working in Spain demanded explanations from Madrid – and were promised that the use of the Israeli devices was done legally. The sources claim that the contract between the Israeli companies and the Spanish government was not discontinued. Meanwhile, in Spain it was revealed that the hacking operations – as problematic as they are in political terms – were carried out legally.

The exposure of the scale of NSO activity in Europe sheds light on the less dark side of the offensive cyber industry: Western countries that operate according to law and judicial oversight of eavesdropping on civilians, as opposed to dictatorships which use these services secretly against dissidents. NSO, other Israeli companies and new European providers are competing for a market of legitimate customers – work which doesn’t usually involve negative publicity.

This field, which is called lawful interception, has in recent years aroused the anger of technology companies such as Apple (manufacturer of the iPhone) and Meta (Facebook is the owner of WhatsApp, via which the spyware was installed). The two sued NSO for hacking phones via their platforms and are leading the battle against the industry. The field is also causing great unease in Europe, which has led comprehensive legislation on the issue of internet privacy, but that doesn’t mean that there is no interest in these technologies or use of them on the continent.

Only last week it was revealed that Greece operated software similar to Pegasus, called Predator, against an investigative journalist and against the head of the socialist party. The prime minister claimed that the eavesdropping was legal and based on an injunction. Predator is manufactured by the cyber company Cytrox, which is registered in northern Macedonia and operates from Greece. Cytrox belongs to the Intellexa Group, owned by Tal Dilian, a former senior member of the Israeli intelligence service. Intellexa was formerly located in Cyprus, but after a series of embarrassing incidents it transferred its activity to Greece. While the export of NSO’s Pegasus is overseen by Israel’s Defense Ministry, the activity of Intellexa and Cytrox is not under supervision.

In the Netherlands, too, there was recently a public discussion after it was revealed that the secret service used Pegasus to catch Ridouan Taghi, a drug lord arrested in Dubai and accused of 10 shocking murders. Although the use was legal and activated against a criminal element, in Holland they wanted to know why the secret service was involved in an internal Dutch police investigation, and after the report there were demands for a self-examination regarding the manner in which the spyware was used in Holland.

Along with the Israeli companies that are active on the continent, it turns out there are quite a number of spyware manufacturers in Europe. Last week Microsoft revealed new spyware called Subzero, which is manufactured by an Austrian company located in Lichtenstein, called DSIRF. The spyware exploits a sophisticated zero-day weakness to hack computers. As opposed to NSO, which waited several years to admit that it works with customers in Europe, the Austrians fought back, and two days after the Microsoft exposé they reacted harshly and explained that their spyware “was developed solely for official use in EU countries, and the software was never misused.”

In Europe there are more veteran spyware companies: A few weeks ago Google security investigators revealed new spyware named Hermit, manufactured by an Italian company called RSC Labs, a successor to Hacking Team, an old and familiar competitor, whose internal correspondence exposed a huge leak to Wikileaks in 2015. Hermit also exploited an unfamiliar security weakness to enable the hacking of iPhones and Android devices, and was found on devices in Kazakhstan, Syria and Italy.

In this case as well there is an indication that the customers of RCS Labs, which is located in Milan with branches in France and Spain, includes official European enforcement organizations. On its website it proudly reports over “10,000 successful and legal hackings in Europe.”

Αρχή φόρμας

Τέλος φόρμας

Additional spyware for cell phones and computers was revealed in the past under the names FinFisher and FinSpy. In 2012 The New York Times reported how the Egyptian government used the device, which was originally designed for fighting crime, against political activists. In 2014 the spyware was found on the device of an American of Ethiopian origin, which aroused suspicion that the authorities in Addis Ababa are customers of the British-German manufacturer, a company called Lench IT Solutions.

Haaretz, 9 Αυγούστου 2022

Το Πήγασος Spyware Maker NSO έχει 22 πελάτες στην Ευρωπαϊκή Ένωση.

Omer Benjakob

Εκπρόσωποι της Εξεταστικής Επιτροπής του Ευρωπαϊκού Κοινοβουλίου για το λογισμικό κατασκοπείας Pegasus επισκέφθηκαν πρόσφατα το Ισραήλ και έμαθαν από το προσωπικό της NSO ότι η εταιρεία έχει ενεργά συμβόλαια με 12 από τα 27 μέλη της Ευρωπαϊκής Ένωσης. Οι απαντήσεις της ισραηλινής εταιρείας κυβερνοπολέμου στις ερωτήσεις της επιτροπής, τις οποίες έλαβε η Haaretz, αποκαλύπτουν ότι η εταιρεία συνεργάζεται τώρα με 22 οργανισμούς ασφαλείας στην ΕΕ.

Εκπρόσωποι της Επιτροπής επισκέφθηκαν το Ισραήλ τις τελευταίες εβδομάδες για να μάθουν σε βάθος για την τοπική βιομηχανία κυβερνοπολέμου και είχαν συζητήσεις με υπαλλήλους της NSO, εκπροσώπους του Υπουργείου Άμυνας και τοπικούς εμπειρογνώμονες. Μέλος της επιτροπής ήταν ένας Καταλανός βουλευτή του οποίου το κινητό τηλέφωνο παραβιάστηκε από έναν πελάτη της NSO.

Η επιτροπή δημιουργήθηκε μετά τη δημοσίευση του Project Pegasus πέρυσι και στόχος της είναι να δημιουργήσει πανευρωπαϊκούς κανονισμούς για την απόκτηση, εισαγωγή και χρήση λογισμικού κυβερνοπολέμου όπως το Pegasus. Αλλά ενώ τα μέλη της επιτροπής βρίσκονταν στο Ισραήλ, και ιδιαίτερα μετά την επιστροφή τους στις Βρυξέλλες, αποκαλύφθηκε ότι η Ευρώπη έχει επίσης μια καλά ανεπτυγμένη βιομηχανία κυβερνοπολέμου – και πολλοί από τους πελάτες της είναι ευρωπαϊκές χώρες.

Το λογισμικό κατασκοπείας Pegasus της Ισραηλινής εταιρείας και τα ανταγωνιστικά προϊόντα καθιστούν δυνατή τη μόλυνση του κινητού τηλεφώνου του θύματος της παρακολούθησης και στη συνέχεια επιτρέπουν στον χειριστή να κρυφακούει συνομιλίες, να διαβάζει εφαρμογές με κρυπτογραφημένα μηνύματα και να παρέχει πλήρη πρόσβαση σε επαφές και αρχεία στη συσκευή, καθώς και τη δυνατότητα να παρακολουθείται σε πραγματικό χρόνο ό,τι συμβαίνει γύρω από το κινητό τηλέφωνο, με την χρήση της κάμερας και του μικροφώνου.

Κατά την επίσκεψή τους στο Ισραήλ, οι Ευρωπαίοι βουλευτές θέλησαν να μάθουν την ταυτότητα των πελατών της NSO στην Ευρώπη αυτή τη στιγμή και εξεπλάγησαν όταν ανακάλυψαν ότι οι περισσότερες χώρες της ΕΕ είχαν συμβάσεις με την εταιρεία: 14 χώρες έχουν συνεργαστεί με την NSO στο παρελθόν και τουλάχιστον 12 εξακολουθούν να χρησιμοποιούν το Pegasus για νόμιμη παρακολούθηση κλήσεων κινητής τηλεφωνίας, σύμφωνα με την απάντηση της NSO στις ερωτήσεις της επιτροπής.

Η NSO συνεργάζεται με 22 «τελικούς χρήστες» – οργανώσεις ασφαλείας και πληροφοριών και αρχές επιβολής του νόμου, αστυνομίες – σε 12 ευρωπαϊκές χώρες. Σε ορισμένες από τις χώρες υπάρχουν περισσότεροι από ένας πελάτες. (Η σύμβαση δεν είναι με τη χώρα, αλλά με τον λειτουργούντα οργανισμό). Κατά το παρελθόν, όπως έγραψε η NSO στην Επιτροπή, η εταιρεία συνεργάστηκε με δύο επιπλέον χώρες – αλλά οι δεσμοί μαζί τους διακόπηκαν. Η NSO δεν αποκάλυψε ποιες χώρες είναι ενεργοί πελάτες και με ποιες δύο χώρες πάγωσε το συμβόλαιο. Πηγές στον κυβερνοχώρο αναφέρουν ότι αυτές οι δύο χώρες είναι η Πολωνία και η Ουγγαρία, οι οποίες πέρυσι αφαιρέθηκαν από τη λίστα των χωρών στις οποίες το Ισραήλ επιτρέπει την πώληση επιθετικού κυβερνοχώρου.

Μερικά από τα μέλη της επιτροπής πίστευαν ότι η Ισπανία μπορεί να είχε παγώσει την προμήθεια μετά την αποκάλυψη της παρακολούθησης ηγετών των Καταλανών αυτονομιστών, αλλά πηγές από τον χώρο εξήγησαν ότι η Ισπανία, η οποία θεωρείται νομοταγής χώρα, εξακολουθεί να βρίσκεται στη λίστα των Ισραηλινών για τις εγκεκριμένες χώρες του Υπουργείου Άμυνας. Οι πηγές πρόσθεσαν ότι μετά την ανάδειξη της υπόθεσης, το Ισραήλ, η NSO και μια άλλη ισραηλινή εταιρεία, που εργάζεται στην Ισπανία, ζήτησαν εξηγήσεις από τη Μαδρίτη – και πήραν την υπόσχεση ότι η χρήση των ισραηλινών συσκευών έγινε νόμιμα. Οι πηγές υποστηρίζουν ότι η σύμβαση μεταξύ των ισραηλινών εταιρειών και της ισπανικής κυβέρνησης δεν διακόπηκε. Εν τω μεταξύ, στην Ισπανία αποκαλύφθηκε ότι οι επιχειρήσεις χάκινγκ – όσο προβληματικές και αν είναι αυτές από πολιτική άποψη – έγιναν με βάση νόμο.

Η έκθεση της κλίμακας της δραστηριότητας της NSO στην Ευρώπη ρίχνει φως στη λιγότερο σκοτεινή πλευρά της επιθετικής βιομηχανίας του κυβερνοχώρου: Δυτικές χώρες που λειτουργούν σύμφωνα με το νόμο και τη δικαστική εποπτεία της υποκλοπής επικοινωνιών πολιτών, σε αντίθεση με τις δικτατορίες που χρησιμοποιούν αυτές τις υπηρεσίες κρυφά εναντίον αντιφρονούντων. Η NSO, άλλες ισραηλινές εταιρείες και νέοι Ευρωπαίοι πάροχοι ανταγωνίζονται για μια αγορά νόμιμων πελατών – εργασία που συνήθως δεν περιλαμβάνει αρνητική δημοσιότητα.

Αυτό το πεδίο, που ονομάζεται νόμιμη υποκλοπή, έχει προκαλέσει τα τελευταία χρόνια την οργή εταιρειών τεχνολογίας όπως η Apple (κατασκευαστής του iPhone) και η Meta (το Facebook είναι ο ιδιοκτήτης του WhatsApp, μέσω του οποίου εγκαταστάθηκε το spyware). Οι δυο τους μήνυσαν την NSO για χακάρισμα τηλεφώνων μέσω των πλατφορμών τους και ηγούνται της μάχης ενάντια στον κλάδο. Το πεδίο προκαλεί επίσης μεγάλη ανησυχία στην Ευρώπη, η οποία οδήγησε σε ολοκληρωμένη νομοθεσία για το ζήτημα της ιδιωτικής ζωής στο Διαδίκτυο, αλλά αυτό δεν σημαίνει ότι δεν υπάρχει ενδιαφέρον για αυτές τις τεχνολογίες ή τη χρήση τους στην ήπειρο.

Μόλις την περασμένη εβδομάδα αποκαλύφθηκε ότι η Ελλάδα λειτουργούσε λογισμικό παρόμοιο με το Pegasus, που ονομάζεται Predator, εναντίον ενός ερευνητή δημοσιογράφου και εναντίον του επικεφαλής του σοσιαλιστικού κόμματος. Ο πρωθυπουργός υποστήριξε ότι η υποκλοπή ήταν νόμιμη και βασίστηκε σε δικαστική εντολή. Το Predator κατασκευάζεται από την εταιρεία κυβερνοχώρου Cytrox, η οποία είναι εγγεγραμμένη στη Βόρεια Μακεδονία και δραστηριοποιείται από την Ελλάδα. Η Cytrox ανήκει στον Όμιλο Intellexa, ιδιοκτησίας Tal Dilian, πρώην ανώτερου στελέχους της ισραηλινής υπηρεσίας πληροφοριών. Η Intellexa βρισκόταν παλαιότερα στην Κύπρο, αλλά μετά από μια σειρά ανησυχητικών περιστατικών μετέφερε τη δραστηριότητά της στην Ελλάδα. Ενώ η εξαγωγή του Pegasus της NSO εποπτεύεται από το Υπουργείο Άμυνας του Ισραήλ, η δραστηριότητα της Intellexa και της Cytrox δεν είναι υπό επίβλεψη.

Στην Ολλανδία, επίσης, πρόσφατα έγινε δημόσια συζήτηση αφού αποκαλύφθηκε ότι η μυστική υπηρεσία χρησιμοποίησε το Pegasus για να πιάσει τον Ridouan Taghi, έναν βαρόνο των ναρκωτικών που συνελήφθη στο Ντουμπάι και κατηγορήθηκε για 10 σοκαριστικούς φόνους. Αν και η χρήση ήταν νόμιμη και ενεργοποιήθηκε κατά εγκληματικού στοιχείου, στην Ολλανδία ήθελαν να μάθουν γιατί η μυστική υπηρεσία ενεπλάκη σε εσωτερική έρευνα της ολλανδικής αστυνομίας και μετά την αναφορά υπήρξαν απαιτήσεις για αυτοεξέταση σχετικά με τον τρόπο με τον οποίο το λογισμικό κατασκοπείας χρησιμοποιήθηκε στην Ολλανδία.

Μαζί με τις ισραηλινές εταιρείες που δραστηριοποιούνται στην ήπειρο, αποδεικνύεται ότι υπάρχει αριθμός spyware κατασκευαστών στην Ευρώπη. Την περασμένη εβδομάδα η Microsoft αποκάλυψε νέο λογισμικό υποκλοπής spyware που ονομάζεται Subzero, το οποίο κατασκευάζεται από μια αυστριακή εταιρεία που βρίσκεται στο Λιχτενστάιν, που ονομάζεται DSIRF. Το spyware εκμεταλλεύεται μια εξελιγμένη αδυναμία zero-day για να χακάρει υπολογιστές. Σε αντίθεση με την NSO, η οποία περίμενε αρκετά χρόνια για να παραδεχτεί ότι συνεργάζεται με πελάτες στην Ευρώπη, οι Αυστριακοί αντέδρασαν και δύο μέρες μετά την αποκάλυψη της Microsoft αντέδρασαν σκληρά και εξήγησαν ότι το spyware τους αναπτύχθηκε αποκλειστικά για επίσημη χρήση σε χώρες της ΕΕ, και στο λογισμικό δεν έγινε ποτέ κατάχρηση.

Στην Ευρώπη υπάρχουν περισσότερες εταιρείες βετεράνων spyware: Πριν από εβδομάδες οι ερευνητές ασφαλείας της Google αποκάλυψαν νέο λογισμικό υποκλοπής, το Hermit, που κατασκευάστηκε από μια ιταλική εταιρεία, την RSC Labs, διάδοχο της Hacking Team, ενός παλιού και οικείου ανταγωνιστή, του οποίου η εσωτερική αλληλογραφία αποκάλυψε μια τεράστια διαρροή στο Wikileaks το 2015. Η Hermit εκμεταλλεύτηκε επίσης μια άγνωστη αδυναμία ασφαλείας για να επιτρέψει την παραβίαση iPhone και συσκευών Android και βρέθηκε σε συσκευές στο Καζακστάν, τη Συρία και την Ιταλία.

Και σε αυτή την περίπτωση υπάρχει ένδειξη ότι στους πελάτες της η RCS Labs, εδρεύουσα στο Μιλάνο με υποκαταστήματα σε Γαλλία και Ισπανία, περιλαμβάνει επίσημους ευρωπαϊκούς οργανισμούς επιβολής του νόμου. Στον ιστότοπό της αναφέρει περήφανα πάνω από «10.000 επιτυχημένες και νόμιμα χάκινγκ στην Ευρώπη».

Πρόσθετο λογισμικό κατασκοπείας για κινητά τηλέφωνα και υπολογιστές αποκαλύφθηκε στο παρελθόν με τα ονόματα FinFisher και FinSpy. Το 2012 οι New York Times ανέφεραν πώς η αιγυπτιακή κυβέρνηση χρησιμοποίησε τη συσκευή, η οποία αρχικά σχεδιάστηκε για την καταπολέμηση του εγκλήματος, εναντίον πολιτικών ακτιβιστών. Το 2014 το spyware λογισμικό βρέθηκε στη συσκευή ενός Αμερικανού Αιθιοπικής καταγωγής, γεγονός που δημιούργησε υποψίες ότι οι αρχές στην Αντίς Αμπέμπα είναι πελάτες ενός βρετανο-γερμανικού κατασκευαστή, μιας εταιρείας που ονομάζεται Lench IT Solutions.