Eind december, vlak voor Kerstmis, werd de Ethiopische oppositiezender ESAT in Brussel via Skype benaderd door kijker Yalfalkenu Meches. Om 15.04 uur stuurde Meches de redactie een artikel toe in pdf. Hij wilde daar graag commentaar op van de redacteur.

Het artikel bleek geen pdf, maar een programmaatje. De alerte redacteur weigerde het te openen en vroeg om opheldering. Yalfalkenu toonde zich van geen kwaad bewust en stuurde vervolgens een Word-bestand. Dit bestand werd wel geopend, maar het sloot zichzelf meteen weer. 

De redacteuren van ESAT stuurden de  door aan onderzoekers van de Canadese onderzoeksgroep Citizen Lab. Zij lieten de malware in een gesloten computeromgeving zijn werk doen. De software nestelde zich vrijwel onzichtbaar in de computer en registreerde wat daarop gebeurde. Het nam Skype-gesprekken op, onderschepte e-mails (voordat ze werden versleuteld) en wachtwoorden, kopieerde documenten, foto’s en video’s op de harde schijf en kon de webcam en microfoon aanzetten. 

De onderschepte informatie werd vervolgens verzonden naar de hackers. En daar zat de zwakke schakel. De onderzoekers konden het dataspoor volgen en kwamen uit in Milaan. De malware bleek het zogenoemde Remote Control System (RCS) van het Italiaanse securitybedrijf Hacking Team - een bedrijf waarvan opsporings- en inlichtingendiensten hacksoftware kunnen kopen. Deze diensten kiezen vervolgens zelf hun doelwit uit en kunnen verschillende onderdelen van dit programma toepassen om informatie te onderscheppen. Het hacken door overheden is op die manier voor een flink deel geautomatiseerd.

Citizen Lab besloot hier onderzoek naar te doen en probeerde Yalfalkenu te achterhalen. Uit gesprekken met ESAT-redacteuren bleek al snel dat Yalfalkenu een tijd hand- en spandiensten voor de oppositiezender had verricht, maar plotseling was verdwenen. Vermoedelijk wordt zijn Skype-account nu door iemand

In opdracht van onderdrukkende regimes

Het Italiaanse Hacking Team was eerder al in opspraak gekomen toen bleek dat in 2012 een Marokkaanse mediasite was gehacked met behulp van de Hacking Team ontkende toen aan onderdrukkende regimes te leveren. 

Die ontkenning is zeer twijfelachtig.

Vorige week kwam Citizen Lab namelijk met nóg over Hacking Team. In een zeer knap staaltje forensisch speurwerk hebben de onderzoekers in 21 landen gevonden die door de software van Hacking Team zouden worden gebruikt, nu of in het verleden. In die lijst van 21 landen prijkt een aantal democratieën (of wat daarbij in de buurt komt): Colombia, Panama, Polen, Italië, Hongarije, Maleisië, Mexico, Thailand, Turkije en Zuid-Korea. Maar de meeste klanten staan hoog in de who’s who van onfrisse regimes: Azerbeidzjan, Egypte, Ethiopië, Kazachstan, Marokko, Nigeria, Oman, Saoedi-Arabië, Soedan, de Verenigde Arabische Emiraten en Oezbekistan.

In Saoedi-Arabië, Oezbekistan, Kazachstan en Soedan werden meerdere servers gevonden. Deze landen hebben een deplorabele staat van dienst op het gebied van mensenrechten

Citizen Lab stelde vast dat RCS tussen juni en november 2013 in Azerbeidzjan is gebruikt, in aanloop naar de verkiezingen. Die verkiezingen verliepen niet goed. Vlak voordat ze gehouden werden, lekte de uitslag bijvoorbeeld al uit. Er gingen rond die tijd ook naaktfilmpjes rond van een prominente onderzoeksjournaliste die mogelijk met de webcam van haar computer zijn gemaakt, of van haar computer zijn gestolen. In Saoedi-Arabië, Oezbekistan, Kazachstan en Soedan werden meerdere servers gevonden. Al deze landen hebben een deplorabele staat van dienst op het gebied van mensenrechten.

Het viel de onderzoekers op dat de software van Hacking Team gebruik lijkt te maken van de software van een ander Europees bedrijf, het Franse Vupen. Vupen zoekt en ontwikkelt zogenoemde exploits, vaak nog niet bekende zwakheden in software die gebruikt kunnen worden om een systeem binnen te dringen. In Windows bijvoorbeeld worden geregeld zwakheden gevonden die door hackers misbruikt kunnen worden. Vupen verkoopt de kennis over die zwakheden aan bijvoorbeeld overheden. En ze levert aan de National Security Agency. Hacking Team zou deze exploits gebruiken om hun software op computers te krijgen. 

‘Alleen voor opsporingsdiensten’

Hacking Team blijft de aantijgingen dat haar software door dictatoriale regimes wordt gebruikt ontkennen, maar wenst ze ook niet toe te lichten. Een woordvoerder zegt alleen dat de onderzoekers van Citizen Lab de informatie verkeerd hebben De software zou alleen voor opsporingsdoeleinden worden gebruikt. Een team van mensenrechtendeskundigen zou vetorecht hebben over de verkopen. Hacking Team wil er alleen geen details over geven.

Feit blijft dat er op dit moment nog weinig in de weg staat om dit soort software te exporteren. De afgelopen jaren zijn meerdere bedrijven in opspraak geraakt omdat hun surveillancesoftware opdook bij regimes die het niet al te nauw nemen met mensenrechten.

Nokia Siemens bleek surveillance-apparatuur te hebben geleverd aan Iran. Die apparatuur zou worden gebruikt om de Groene Revolutie neer te slaan

Gamma International, een Brits-Duits bedrijf, ligt al jaren onder vuur omdat hun hackingsoftware in het Midden-Oosten Nokia Siemens bleek surveillance-apparatuur te hebben geleverd aan de Iraanse overheid. Die apparatuur zou worden gebruikt om de Groene Revolutie De internationale organisatie Reporters Without Borders richtte haar pijlen vorig jaar ook op dit soort bedrijven en noemde een aantal bij naam: Amesys (Frankrijk), Trovicor (Duitsland) en Blue Coat (Verenigde Staten). De journalistieke organisatie vreest dat reporters vaak doelwit zijn.

Wel wordt er op internationaal niveau gewerkt aan het beperken van de export van commerciële surveillancesoftware. Begin december de zogenoemde Wassenaar Arrangement om deze export aan banden te leggen. De Wassenaar Arrangement is een internationale organisatie waarin inmiddels zich committeren aan exportbeperkingen van wapens en ‘dual use’-goederen, goederen voor zowel militaire als civiele toepassingen. De taal van het besluit is nog erg voorzichtig en het kan nog jaren duren voordat de exportbeperkingen zijn geïmplementeerd. 

  Stuxnet: de ultieme hack Het eerste grote cyberwapen Stuxnet blijkt ingewikkelder en gevaarlijker dan gedacht. Lees verder

  Of lees hier over het boek van de directeur van Citizen Lab Het internet is officieel dood. Vind je de onthullingen van Edward Snowden over de NSA al spannend? Lees dan vooral het boek Black Code van Ron Deibert. En huiver pas echt. Lees verder