Hoe een Marokkaanse nieuwssite bespioneerd werd met Italiaanse spyware

Begin 2014 werd duidelijk dat in het Amerikaanse Washington verblijvende journalisten van de Ethiopian Satellite Television Service (ESAT) geviseerd waren door gesofisticeerde spyware, erop gericht hun communicatie te onderscheppen.

Klanten blijven geheim: corporate policy.

De expat-satellietnieuwsdienst is kritisch voor de Ethiopische overheid. Cybersecurity researchers van Citizenlab, een onderzoeksgroep verbonden aan de universiteit van Toronto, gingen aan de slag en analyseerden de spyware.

Ze stelden vast dat die hoogstwaarschijnlijk afkomstig was van het Italiaanse bedrijf Hacking Team, dat surveillancetechnologie verkoopt aan politie- en inlichtingendiensten over de hele wereld. De spywarebesmetting gebeurde via een ESAT-medewerker die toen in België verbleef. Het incident haalde de voorpagina van de Washington Post.

 

Video van The Washington Post over het incident.

Hacking Team heeft bevestigd noch ontkend dat het software heeft verkocht aan de Ethiopische overheid. Klanten blijven geheim: corporate policy.

Het bedrijf maakt zich in ieder geval sterk dat het niet samenwerkt met overheden met weinig respect voor mensenrechten, of dat het technische ondersteuning beëindigt wanneer blijkt dat een klant de software misbruikt.

Het tegendeel blijkt echter waar te zijn. Begin maart kwam Citizenlab met een nieuw rapport naar buiten: eind vorig jaar zouden enkele ESAT-journalisten opnieuw aangevallen zijn met een up-to-date versie van de Hacking Team-software. Deze keer konden onderzoekers het digitale spoor traceren naar de Ethiopische overheid: alles wijst naar de Ethiopian Information Network Security Agency (INSA), die het internetverkeer in het land overziet.

Leugens

Het ethiopische verhaal klinkt al te bekend in de oren van Hisham Almiraat. Toen in februari 2011, in navolging van ontluikende burgerprotesten in Tunesië en Egypte, de eerste grote Marokkaanse betoging aangekondigd werd, moest de arts naar eigen zeggen met lede ogen aanzien hoe de ontluikende protestbeweging meteen gediscrediteerd werd door het officiële persagentschap Maghreb Arabe Presse.

‘Het was shockerend om te zien hoe zij letterlijk leugens verspreidden over de beweging’, zegt Hisham via Skype vanuit Rabat. ‘Omdat de Marokkaanse pers rechtstreeks of onrechtsreeks in handen van de overheid en machthebbers was, hebben enkele vrienden en ik daarom het idee opgevat om ons eigen medium op te richten.’

Het werd Mamfakinch, Marokkaans dialect voor ‘we laten niet los.’ Bedoeling was een medium voor en door het volk, uitgesproken democratisch en progressief: een militant platform voor activisten en burgerjournalisten, ‘voor zij die nooit ruimte kregen in de officiële krantenkolommen.’

Omdat de zogenaamde 20 februari-beweging, die elk weekend in vele steden en dorpen betogers op straat kreeg, nog steeds werd doodgezwegen door de mainstream media, nam Mamfakinch snel een hoge vlucht: tot een miljoen bezoekers vonden die eerste maanden hun weg naar de website. Het livebloggen en -tweeten van Mamfakinch sloot aan bij de toenmalige buzz rond sociale media in het begin van de Arabische Lente.

Op de site werden ook onderzoeken gepubliceerd, of er werd samengewerkt met anonieme bronnen die gevoelig materiaal konden bezorgen. Veel medewerkers waren daarom gesteld op hun anonimiteit en vertrouwden Mamfakinch om hun identiteit te beschermen. Goed een jaar na de oprichting viel de site in de prijzen: de Google/Global Voices Breaking Borders Award werd hen toegekend voor hun verwezenlijkingen rond online free speech. Mamfakinch telde toen een dertigtal vaste medewerkers.

Gevaarlijk mailtje

Het Word-documentje bleek gesofisticeerde spyware te verhullen, ontwikkeld door het Italiaanse bedrijf Hacking Team.

Enkele weken na de prijsuitreiking, op 13 juli 2012, komt er via de contactpagina van de site een mailtje binnen. De titel van de mail is ‘dénonciation’ (aanklacht) en er hangt ogenschijnlijk een Word-documentje getiteld ‘scandale’ aan vast. Het bijhorend, slordig geschreven, berichtje leest: ‘Aub gelieve mijn naam of niets te vermelden, ik wil geen problemen’

De bijlage blijkt leeg te zijn: geen smeuïg schandaal, zoals beloofd. ‘Achteraf bleek dat te mooi om waar te zijn’, zegt Hisham. ‘We besteedden er toen geen verdere aandacht aan, tot iemand uit onze mailinglijst er zich luidop vragen begon over te stellen.’

Was er misschien ongemerkt kwaadaardige software binnengeslopen? Via het netwerk van burgermedia Global Voices heeft Mamfakinch contacten met enkele cybersecurity researchers van Citizenlab, die de zaak onderzoeken.

Het resultaat laat niet lang op zich wachten. Het Word-documentje bleek gesofisticeerde spyware te verhullen, ontwikkeld door het Italiaanse bedrijf Hacking Team. Aangezien het bedrijf zelf aangeeft enkel aan overheden te verkopen, was het duidelijk van waar de aanval afkomstig was.

De krachtige spyware, die 200.000 euro zou kosten, maakt het mogelijk vanop afstand toegang te krijgen tot geïnfecteerde computers, en bij uitbreiding tot alle documenten op de harde schijf. Het in real time volgen van alles wat er op het scherm gebeurt en alle toetsaanslagen registreren, inclusief paswoorden, is ook mogelijk. Dat de spyware een gebruiker ook toelaat om een webcam aan te zetten om er foto’s en video’s mee te maken, maakt het plaatje compleet.

‘Het incident had echt iets fundamenteels onherstelbaar kapot gemaakt: het vertrouwen dat mensen hadden in ons vermogen hun identiteit te beschermen.’

‘Ik voelde me echt geschonden’, herinnert Hisham zich. ‘Want zelfs al had ikzelf niet veel te verbergen, toch had ik waarschijnlijk heel wat gegevens op mijn computer die anderen zouden identificeren, of simpelweg bewijzen dat ik met hen contact had.’

‘Dus zelfs als ik buiten schot zou blijven, zou de zaak misschien wel voor anderen gevolgen hebben. Ik voelde me echt razend en machteloos.’

Het verslag van Citizenlab is bijzonder ontnuchterend voor het team van Mamfakinch. Velen reageren ontredderd. Nu had Mamfakinch voordien al wat aan momentum verloren, zegt Hisham.

‘De politieke context was veranderd sinds het begin van de 20 februari-beweging, de geest was er wat uit. Ondertussen zat je met de gruwelijke realiteit in Syrië, radicale Islam die de kop begon op te steken. Veel mensen hadden twijfels, en het hart was eruit. Men voelde zich een beetje verloren, en men wist niet welke kant uit. Misschien leidt te veel democratie wel tot chaos, zoals in Syrië of Libië vandaag?’

‘Velen werden verleid door de gedachte van een soort verlichte despoot: iemand om de woestijn mee over te steken. Het enthousiasme en de democratische naïviteit van 2011 was er een beetje uit, en is vandaag zelfs beperkt tot een kleine cirkel van overtuigde democraten.’

‘Wat er ook van zij, het incident had echt iets fundamenteels onherstelbaar kapot gemaakt: het vertrouwen dat mensen hadden in ons vermogen hun identiteit te beschermen. Ook veilige communicatie vloog zo mee het raam uit. Ik vreesde meteen dat ons project zou stoppen, dat de wil eruit was omdat mensen opeens bang waren geworden.’

‘En dat is achteraf bewaarheid geworden. De psychologische impact was overduidelijk: mensen verzonnen allerlei smoesjes om niet meer met ons samen te werken. Stilletjes aan gleden we af naar een onhoudbare situatie.’ Eind februari 2014 hield Mamfakinch er dan ook mee op.

Shoppen voor surveillancetechnologie

Naarmate landen uit Noord-Afrika en het Midden-Oosten overspoeld werden door betogers, gingen ze shoppen voor surveillancetechnologie.

Marokko is niet het enige land dat tijdens de Arabische Lente de diensten van toen nog eerder obscure Westerse surveillancebedrijven aanzocht. Berichtgeving heeft uitgewezen dat naarmate landen uit Noord-Afrika en het Midden-Oosten overspoeld werden door betogers, ze letterlijk gingen shoppen voor surveillancetechnologie.

Syrië deed beroep op specialisten van het Italiaanse bedrijf Area SpA, om al de e-mails die over het Syrische net gingen te kunnen onderscheppen. In Egypte vonden mensenrechtenactivisten in de kantoren van de geheime dienst offertes van het Duits-Britse Gamma Group, die de prijs van hun FinSpy software preciseerden.

En in Libië werd in overheidsgebouwen hardware aangetroffen van het Franse Amesys, bedoeld om internettrafiek te onderscheppen en te analyseren. Deze bedrijven werden door Reporters without Borders bestempeld als ‘vijanden van het internet’.

Hacking Team maakt deel uit van een groeiende sector Westerse technologiebedrijven die surveillancetools verkopen aan politie- en inlichtingendiensten over de hele wereld. Kleine tot middelgrote landen kunnen maar moeilijk zelf zo’n surveillancetechnonolgie gaan ontwikkelen en zijn daarom afhankelijk van de privésector.

In een artikel in De Standaard van enkele maanden geleden beschreef een bron uit de Belgische inlichtingenwereld dit als ‘een noodzakelijk kwaad.’ Toen was door klokkenluiderswebsite Wikileaks een lijst gelekt met daarop landen die van Gamma Group de spyware FinFisher hadden aangeschaft.

België bleek voor 1 miljoen euro FinFisher-licenties te hebben aangekocht. Ook Ethiopië bleek in het verleden een gebruiker van FinFisher alsook Bahrein, dat de software daarna zou hebben ingezet tegen een persoon die in België verbleef, hoogstwaarschijnlijk een activist.

België bleek voor 1 miljoen euro spyware licenties te hebben aangekocht.

Hisham is inmiddels erg vertrouwd met het wereldje van cyberspionnen en hackers. Nog voor de ontdekking van de Italiaanse spyware, was Mamfakinch al meermaals onder vuur komen te liggen door zogenaamde DDoS-aanvallen, die een site overspoelen met massaal veel refreshverzoeken totdat ze crasht.

In de nasleep van de ontdekking zag Hisham een hele golf van cyberaanvallen tegen activisten en kritische journalisten, wiens sociale media accounts bijvoorbeeld gekaapt werden. Hij vermoedt dat het regime achter deze aanvallen schuilt:

‘Dit zie je niet enkel in Marokko. Ook in de Verenigde Arabische Emiraten, Bahrein en Egypte heeft men hetzelfde gezien: elektronische spionage maakt het mogelijk voor antidemocratische en repressieve regimes om van het internet een soort surveillancemachine te maken. Dat is wraakroepend en maakt me triest.’

Op die manier is volgens hem een onevenwichtige situatie ontstaan op het internet:  ‘Terwijl het een buitengewoon democratische uitvinding is, is het internet vandaag vooral het terrein van nihilistische fundamentalisten geworden die niets te verliezen hebben. Le jeu a changé. Redelijke mensen die iets te verliezen hebben, een job, een gezinsleven, gaan twee keer nadenken eer ze zich politiek gaan uitdrukken online omdat de inzet veel te groot is geworden. Wat er met Mamfakinch gebeurd is riskeert op een microniveau ook te gebeuren met andere activisten die zich willen organiseren.’

Surveillance als het nieuwe censuur

De getuigenis van Hisham Almiraat is ook terug te vinden in een nieuw rapport van de ngo Privacy International over surveillance in Marokko, naast die van nog twee andere medewerkers van het geviseerde Mamfakinch.

Eén van hen, Yassir Kazar, richtte na het spyware-incident zelf een bedrijf op dat zich specialiseert in IT-security en elektronische zelfverdediging. Ook Ali Anouzla, een bekende Marokkaanse onderzoeksjournalist, getuigt over jaren intimidatie en surveillance en aanvallen door hackermilities.

Anouzla zat een tijd in de cel omdat hij op zijn nu geblokeerde nieuwswebsite Lakome een link had geplaatst naar een artikel van de Spaanse krant El País, dat een video van Al Qaeda toonde waarin opgeroepen werd tot geweld tegen Marokko. Het rapport van Privacy International schetst een totaalbeeld van een erg autoritair Marokko, waar invasieve surveillance en intimidatie van dissidente stemmen schering en inslag zijn.

‘Privacy is fundamenteel een probleem van de onderdrukten, van mensen die onder het juk van autoritaire regimes leven.’

In april 2014 richtte Hisham samen met de NGO Privacy International de Association des Droits Numériques op, een organisatie die als doel heeft onder meer te sensibiliseren over elektronische privacy.

Omdat twee conferenties, de laatste in december, door de overheid verboden werden en daarom clandestien moesten doorgaan, ziet Hisham zich gesterkt in de overtuiging dat de ADN belangrijk werk verricht.

Als de hele Hacking Team-affaire hem iets geleerd heeft, dan is het het belang van privacy. ‘Voordien dacht ik dat privacy een bezorgdheid was van de westerse wereld, in tegenstelling tot de derde wereld. Ik dacht dat zoiets een luxeprobleem was van rijke westerlingen, een luxe die wij ons niet kunnen permitteren.’

‘Maar de aanval door Hacking Team heeft me doen inzien dat het eigenlijk geen eerstewereldprobleem is, wel integendeel: het is fundamenteel een probleem van de onderdrukten, van mensen die onder het juk van autoritaire regimes leven.

Waarom? Omdat het internet alles veranderd heeft. Voordien was het makkelijk om de pers te muilkorven: je had maar een krant te verbieden, of, zoals in Marokko, advertenties terug te trekken zoals onze elite dat doet. Klaar, de pers marcheert terug in de pas.’

‘Met het internet ligt dat moeilijker, omdat het alomtegenwoordig is. Je kan het niet makkelijk censureren: sluit één deurtje en een ander opent zich. Maar de technologie is spijtig genoeg ter hulp gekomen van autoritaire regimes, met dank aan Westerse bedrijven die gevestigd zijn in democratische landen en daar van vrijheid genieten, om te innoveren en geld te verdienen.

Zulke bedrijven hebben de technologie ten dienste gesteld van die regimes, met de belofte dat die laatsten niet meer hoeven te censureren. Ze zeiden: we hebben een betere oplossing voor jullie en die oplossing is surveillance.’

‘Er is niets beters om iemand te controleren dan hem ervan te overtuigen dat hij bekeken wordt. Zo iemand gaat zichzelf censureren en gaat twee keer nadenken voor hij iets zal ondernemen online. Iedereen heeft wel zijn zwaktes, zijn zondes. Het volstaat iemand lang genoeg in de gaten te houden alvorens die zich onthullen, en dan heb je een repressiemiddel. En dat gebeurt vandaag, door toedoen van bedrijven die veel geld verdienen met hun spionagewapens.’