De Pegasus-software is in tal van landen in gebruik om politici, activisten en ook journalisten te monitoren. Met de software kunnen allerlei belangrijke gegevens uit iemands telefoon gehaald worden: de software kan berichten onderscheppen, de microfoon en camera inschakelen en locatiegegevens delen.
In Spanje is er al weken ophef over. Dezelfde spionagesoftware gebruikte de centrale overheid zelf eerder om Catalaanse separatisten af te luisteren. Het Spaanse ministerie van Defensie zei hierover dat de software altijd ‘op legale wijze’ is gebruikt. Catalonië riep in 2017 de onafhankelijkheid uit, nadat veel mensen in een door Madrid verboden referendum voor afscheiding hadden gestemd. Nadien werden betrokken separatistenleiders opgepakt en berecht.
Bekijk ook: Voorzitter Catalaans Parlement zegt door Spaanse overheid gehackt te zijn
Sánchez en Robles slachtoffer
Nu blijkt dat de telefoons van premier Pedro Sánchez en de minister van Defensie, Margarita Robles in mei en juni 2021 zijn afgetapt met het Israëlische programma Pegasus. De Spaanse regering heeft een klacht ingediend bij het Audiencia Nacional en beweert dat de inbraken, waarbij een grote hoeveelheid informatie is gestolen, een ‘externe’ oorsprong hebben.
De hackers haalden een enorme hoeveelheid informatie uit de telefoon van Sánchez: 2,6 gigabyte bij de eerste inbraak, en 130 megabyte bij de tweede. De buit op de mobiele telefoon van de minister van Defensie was veel kleiner, althans qua volume: 9 megabyte. De regering weet echter nog niet welke informatie werd gestolen en hoe gevoelig die was, maar in beide gevallen ging het om haar werktelefoon en niet om haar privé-telefoons.
Melding door minister Bolaños
De minister van het Presidentschap, Félix Bolaños, verscheen maandagochtend vroeg in La Moncloa, in in gezelschap van woordvoerder Isabel Rodríguez en maakte melding van ‘gepleegde inbraken; waarbij ‘een bepaalde hoeveelheid gegevens aan de terminals werd onttrokken’ en omschreef de interventies als ‘onwettig’ en ‘extern’.
Wie erachter zit en of de daders in opdracht van een ander land handelden, maakte Bolaños niet duidelijk. De Spaanse overheid noch het ministerie van Justitie hebben er volgens hem toestemming voor gegeven. De Spaanse regering verzekert dat de computeraanvallen ‘van buiten de staatsorganen’ komen. ‘Als we het hebben over inbraken van buitenaf, bedoelen we dat ze buiten de staatsorganen om plaatsvinden en geen rechterlijke toestemming hebben. Daarom omschrijven wij ze als illegaal en extern’, benadrukte Bolaños.
Maandagmorgen heeft het Openbaar Ministerie een klacht ingediend bij de rechter van de Audiencia Nacional om de feiten te onderzoeken. In de klacht worden de mogelijke daders niet bij naam genoemd, maar wordt uitgegaan van ‘geverifieerde en gecontrasteerde’ gegevens, waarover ‘geen twijfel bestaat’, aldus Bolaños.
Hack-proof telefoon
Wanneer een hoge ambtenaar zijn ambt aanvaardt, krijgt hij van het Departemento de Securidad Nacional (DSN) een versleutelde en in theorie hack-proof mobiele telefoon, die op zijn beurt wordt verstrekt door het Centro Criptológico Nacional(CCN), dat verantwoordelijk is voor het garanderen van de geheimhouding van de staatscommunicatie. Het feit dat de telefoons van de president en de minister van Defensie werden bespioneerd zonder dat de aanval werd ontdekt, is een duidelijke inbreuk op de nationale veiligheid.
Bronnen in La Moncloa wijzen erop dat in een twintigtal landen inbraken van dit type zijn ontdekt zonder dat het in de meeste gevallen mogelijk was de bron te ontdekken. Het Pegasus-programma is namelijk theoretisch niet in het bezit van de geheime diensten van zogenaamd vijandige landen, zoals Rusland of China, maar juist van bevriende landen, zoals Marokko, Saoedi-Arabië, de Emiraten of Mexico.
Grondige forensische analyse
De ontdekking werd gedaan nadat de CCN een grondige forensische analyse van de twee mobiele telefoons had verricht, waarbij Sánchez en Robles deze gedurende een periode van 24 tot 36 uur moesten afstaan, omdat de periodieke en routinecontroles waaraan de telefoons van hoge ambtenaren worden onderworpen deze niet hadden gedetecteerd. Na de publicatie van de lijst van meer dan 60 Catalaanse pro-onafhankelijkheidsleiders die volgens Citizen Lab, een groep deskundigen van de Universiteit van Toronto (Canada), besmet waren met Pegasus en het besef dat velen van hen nooit door de CNI waren bespioneerd, besloot de regering haar eigen mobiele telefoons te controleren.
Versterken veiligheidssystemen
‘Een van de conclusies van de regering is dat wij onze veiligheidssystemen zullen versterken. We gaan alle kennis en capaciteiten van de centrale regering ter beschikking stellen van de regionale regeringen en parlementen,’ voegde Bolaños eraan toe. De regering beweert dat deze ontdekking geen invloed zal hebben op de hoorzittingen in het Congres om het Catalaanse afluisterschandaal op te helderen.
Geen nieuwe inbraken na juni 2021 volgens minister
De regering beweert dat zij zondag het rapport in handen had van het Nationaal Cryptologisch Centrum (CCN), het onder de CNI ressorterende orgaan dat toeziet op de veiligheid van de communicatie van hoge ambtenaren. Volgens het rapport is er na juni 2021 niet opnieuw ingebroken in de telefoons van Sánchez en Robles. ‘Wij weten dat er sinds die data niet meer is ingegrepen in die twee terminals. Er is geen bewijs dat er een nieuwe inbraak is geweest,’ hield de minister vol.
Lees ook: Ruim 200 Spaanse telefoonnummers ook op lijst met spionagesoftware van Pegasus