Inuti NSO, Israels miljarddollar spionprogramjätte

Världens mest ökända övervakningsföretag säger att de vill städa upp i sin handling. Fortsätt, vi lyssnar. 19 augusti 2020

Ariel Davis





Maâti Monjib talar långsamt, som en man som vet att han blir lyssnad på.

Det är dagen för hans 58-årsdag när vi pratar, men det är lite firande i hans röst. Bevakningen är helvetisk, säger Monjib till mig. Det är verkligen svårt. Den styr allt jag gör i mitt liv.

Frågan om teknonationalism

Den här historien var en del av vårt septembernummer 2020



  • Se resten av frågan
  • Prenumerera

En historieprofessor vid University of Mohammed V i Rabat, Marocko, Monjib minns tydligt dagen 2017 då hans liv förändrades. Anklagad för att äventyra statens säkerhet av regeringen som han har kritiserat hårt och offentligt, satt han utanför en rättssal när hans iPhone plötsligt lyste upp med en rad textmeddelanden från nummer han inte kände igen. De innehöll länkar till häftiga nyheter, framställningar och till och med Black Friday-shoppingerbjudanden.

En månad senare dök en artikel som anklagade honom för förräderi upp på en populär nationell nyhetssajt med nära band till Marockos kungliga härskare. Monjib var van vid attacker, men nu verkade det som att hans trakasserare visste allt om honom: en annan artikel innehöll information om ett pro-demokratiskt evenemang som han skulle delta i men nästan ingen hade berättat om. En historia förkunnade till och med att professorn inte har några hemligheter för oss.

Han hade blivit hackad. Meddelanden hade alla lett till webbplatser som forskare säger var inrättade som beten för att infektera besökarnas enheter med Pegasus, det mest ökända spionprogrammet i världen.



Pegasus är storprodukten från NSO Group, ett hemlighetsfullt israeliskt övervakningsföretag på miljarder dollar. Den säljs till brottsbekämpande och underrättelsemyndigheter runt om i världen, som använder företagets verktyg för att välja ett mänskligt mål, infektera personens telefon med spionprogram och sedan ta över enheten. När Pegasus väl är på din telefon är det inte längre din telefon.

Monjib


Den marockanska akademikern och förkämpen för yttrandefrihet Maâti Monjib har bevakats av sin regering i flera år. Bevakningen är helvetisk, säger han.

GETTY

NSO säljer Pegasus med samma pitch som vapenhandlare använder för att sälja konventionella vapen, vilket positionerar det som ett avgörande hjälpmedel i jakten på terrorister och kriminella. I en tid av allmänt förekommande teknologi och stark kryptering har sådan laglig hackning framstått som ett kraftfullt verktyg för allmän säkerhet när brottsbekämpande myndigheter behöver tillgång till data. NSO insisterar på att den stora majoriteten av dess kunder är europeiska demokratier, även om det aldrig har verifierats eftersom det inte släpper kundlistor och länderna själva förblir tysta.



Monjibs fall är dock ett av en lång rad incidenter där Pegasus har använts som ett verktyg för förtryck. Det har kopplats till fall inklusive mordet på den saudiske journalisten Jamal Khashoggi, målinriktningen på vetenskapsmän och aktivister som driver på för politiska reformer i Mexiko och spanska regeringens övervakning av katalanska separatistiska politiker. Mexiko och Spanien har förnekat att de använt Pegasus för att spionera på motståndare, men anklagelserna om att de har gjort det stöds av betydande tekniska bevis.

NSO:s grundläggande argument är att det är skaparen av en teknik som regeringar använder, men att eftersom den inte attackerar någon själv kan den inte hållas ansvarig.

En del av dessa bevis finns i en stämningsansökan som lämnades in i oktober förra året i Kalifornien av WhatsApp och dess moderbolag, Facebook, som hävdar att Pegasus manipulerat WhatsApps infrastruktur för att infektera mer än 1 400 mobiltelefoner. Utredare på Facebook hittade mer än 100 människorättsförsvarare, journalister och offentliga personer bland målen, enligt domstolsdokument. Varje samtal som togs upp, upptäckte de, skickade skadlig kod genom WhatsApps infrastruktur och fick mottagarens telefon att ladda ner spionprogram från servrar som ägdes av NSO. Detta, hävdade WhatsApp, var ett brott mot amerikansk lag.



Inuti NSO, Israels miljarddollar spionprogramjätte Världens mest ökända övervakningsföretag säger att de vill städa upp i sin handling. Fortsätt, vi lyssnar.

NSO har länge mött sådana anklagelser med tystnad. Genom att hävda att mycket av dess verksamhet är en israelisk statshemlighet, har den erbjudit värdefulla små offentliga detaljer om dess verksamhet, kunder eller skyddsåtgärder.

Nu menar företaget att saker håller på att förändras. 2019 såldes NSO, som ägdes av ett private equity-företag, tillbaka till sina grundare och ett annat private equity-företag, Novalpina, för 1 miljard dollar. De nya ägarna bestämde sig för en ny strategi: komma ut ur skuggorna. Företaget anlitade elitföretag inom PR, skapade nya människorättspolicyer och utvecklade nya självstyredokument. Det började till och med visa upp några av sina andra produkter, som ett spårningssystem för covid-19 som heter Fleming och Eclipse, som kan hacka drönare som anses vara ett säkerhetshot.

Under flera månader har jag pratat med NSO:s ledning för att förstå hur företaget fungerar och vad det säger att det gör för att förhindra brott mot mänskliga rättigheter som utförs med hjälp av dess verktyg. Jag har talat med dess kritiker, som ser det som en fara för demokratiska värderingar; till dem som efterlyser mer reglering av hackningsverksamheten; och till de israeliska tillsynsmyndigheterna som är ansvariga för att styra det idag. Företagets ledare pratade om NSO:s framtid och dess policyer och procedurer för att hantera problem, och de delade dokument som beskriver dess relation med de byråer som de säljer Pegasus och andra verktyg till. Vad jag hittade var en blomstrande vapenhandlare – inom företaget erkänner anställda att Pegasus är ett äkta vapen – som kämpar med nya nivåer av granskning som hotar grunden för hela dess bransch.

En svår uppgift

Från den första dagen som Shmuel Sunray gick med i NSO som dess generaljurist stod han inför den ena internationella incidenten efter den andra. Anställd bara några dagar efter att WhatsApps stämningsansökan lämnades in, hittade han andra juridiska problem som väntade på hans skrivbord så fort han kom. De centrerade sig alla på samma grundläggande anklagelse: NSO Groups hackverktyg säljs till, och kan missbrukas av, rika och repressiva regimer med liten eller ingen ansvarsskyldighet.

Sunray hade mycket erfarenhet av sekretess och kontroverser: hans tidigare jobb var som vicepresident för en stor vapentillverkare. Under flera samtal var han vänlig när han berättade att han har blivit instruerad av ägarna att ändra NSO:s kultur och verksamhet, göra den mer transparent och försöka förhindra brott mot mänskliga rättigheter. Men han var också uppenbarligen frustrerad över det hemlighetsmakeri som han ansåg hindrade honom från att svara kritiker.

Det är en svår uppgift, berättade Sunray för mig via telefon från företagets huvudkontor i Herzliya, norr om Tel Aviv. Vi förstår kraften i verktyget; vi förstår konsekvenserna av felaktig användning av verktyget. Vi försöker göra det rätta. Vi har verkliga utmaningar när det gäller myndigheter, underrättelsetjänster, konfidentialitet, operativa nödvändigheter, operativa begränsningar. Det är inte ett klassiskt fall av brott mot mänskliga rättigheter av ett företag, eftersom vi inte driver systemen – vi är inte involverade i den faktiska driften av systemen – men vi förstår att det finns en verklig risk för missbruk från kundernas sida. Vi försöker hitta den rätta balansen.

Detta underbygger NSO:s grundläggande argument, ett som är vanligt bland vapentillverkare: företaget är skaparen av en teknik som regeringar använder, men det attackerar inte någon själv, så det kan inte hållas ansvarigt.

Ändå, enligt Sunray, finns det flera lager av skydd på plats för att försöka se till att fel personer inte har tillgång.

Göra en försäljning

Liksom de flesta andra länder har Israel exportkontroller som kräver att vapentillverkare är licensierade och är föremål för statlig tillsyn. Dessutom gör NSO sin egen due diligence, säger Sunray: dess personal undersöker ett land, tittar på dess mänskliga rättigheter och granskar dess relation till Israel. De bedömer den specifika byråns meritlista när det gäller korruption, säkerhet, ekonomi och missbruk – samt tar hänsyn till hur mycket den behöver verktyget.

Ibland vägs negativa mot positiva. Marocko, till exempel, har försämrats i mänskliga rättigheter men en lång historia av samarbete med Israel och västvärlden om säkerhet, såväl som ett genuint terrorismproblem, så en försäljning har enligt uppgift godkänts. Däremot har NSO sagt att Kina, Ryssland, Iran, Kuba, Nordkorea, Qatar och Turkiet är bland 21 länder som aldrig kommer att bli kunder.

Slutligen, innan en försäljning görs måste NSO:s styrnings-, risk- och efterlevnadskommitté skriva av sig. Företaget säger att kommittén, som består av chefer och aktieägare, kan avböja försäljning eller lägga till villkor, såsom tekniska begränsningar, som avgörs från fall till fall.

Förebygga övergrepp

När en försäljning väl har kommit överens om, säger företaget, förhindrar tekniska skyddsräcken vissa typer av missbruk. Till exempel tillåter Pegasus inte att amerikanska telefonnummer infekteras, säger NSO, och infekterade telefoner kan inte ens lokaliseras fysiskt i USA: om man befinner sig inom amerikanska gränser, är Pegasus-mjukvaran tänkt att självförstöra.

NSO säger att bland annat israeliska telefonnummer också är skyddade, men vem mer som får skydd och varför är fortfarande oklart.

När en anmälan om övergrepp kommer in, samlas ett ad hoc-team på upp till 10 NSO-anställda för att undersöka. De intervjuar kunden om anklagelserna och de begär Pegasus dataloggar. Dessa loggar innehåller inte innehållet som spionprogrammet extraherade, som chattar eller e-postmeddelanden – NSO insisterar på att de aldrig ser specifik intelligens – men innehåller metadata som en lista över alla telefoner som spionprogrammet försökte infektera och deras platser vid den tiden.

Enligt ett kontrakt som jag nyligen fick, måste kunderna använda systemet endast för att upptäcka, förebygga och utreda brott och terrorism och säkerställa att systemet inte kommer att användas för kränkningar av mänskliga rättigheter. De måste meddela företaget om potentiellt missbruk. NSO säger att de har sagt upp tre kontrakt tidigare för överträdelser inklusive missbruk av Pegasus, men de vägrar att säga vilka länder eller byråer som var inblandade eller vilka offren var.

Vi är inte naiva

Bristande insyn är inte det enda problemet: skyddsåtgärderna har gränser. Medan den israeliska regeringen kan återkalla NSO:s licens för brott mot exportlagstiftningen, tar tillsynsmyndigheterna inte på sig att leta efter missbruk av potentiella kunder och är inte involverade i företagets missbruksutredningar.

Många av de andra procedurerna är också bara reaktiva. NSO har inget permanent internt missbruksteam, till skillnad från nästan alla andra teknikföretag för miljarder dollar, och de flesta av dess utredningar görs bara när en extern källa som Amnesty International eller Citizen Lab hävdar att det har förekommit missbruk. NSO-personal intervjuar byråerna och kunderna som granskas men pratar inte med de påstådda offren, och även om företaget ofta ifrågasätter de tekniska rapporter som erbjuds som bevis, hävdar det också att både statlig sekretess och affärssekretess hindrar det från att dela mer information.

Pegasus-loggarna som är avgörande för alla missbruksförfrågningar väcker också många frågor. NSO Groups kunder är hackare som arbetar för spionbyråer; hur svårt skulle det vara för dem att manipulera stockarna? I ett uttalande insisterade företaget på att detta inte är möjligt men vägrade att ge detaljer.

Om loggarna inte ifrågasätts kommer NSO och dess kunder tillsammans att besluta om mål är legitima, om äkta brott har begåtts och om övervakningen har utförts enligt vederbörlig rättsprocess eller om autokratiska regimer spionerar på motståndare.

Sunray, hörbart irriterad, säger att han känns som om hemligheten tvingar honom att operera med händerna bundna bakom ryggen.

Det är frustrerande, sa han till mig. Vi är inte naiva. Det har förekommit missbruk. Det kommer att bli missbruk. Vi säljer till många regeringar. Även den amerikanska regeringen – ingen regering är perfekt. Missbruk kan hända, och det bör åtgärdas.

Ariel Davis

Men Sunray återkommer också till företagets standardsvar, argumentet som underbygger dess försvar i WhatsApp-processen: NSO är en tillverkare, men det är inte operatören av spionprogrammet. Vi byggde det men de gjorde hackningen – och de är suveräna nationer.

Det räcker inte för många kritiker. Inget företag som tror att det kan vara den oberoende vakthunden för sina egna produkter övertygar mig någonsin, säger Marietje Schaake, en holländsk politiker och tidigare ledamot av EU-parlamentet. Hela idén att de har sina egna mekanismer samtidigt som de inte har några problem med att sälja kommersiella spionprogram till den som vill köpa det, med vetskapen om att det används mot människorättsförsvarare och journalister – jag tror att det visar på bristen på ansvar från detta företags sida. än något annat.

Så varför den interna pressen för mer transparens nu? Eftersom syndafloden av tekniska rapporter från människorättsgrupper, WhatsApp-processen och den ökande statliga granskningen hotar NSO:s status quo. Och om det ska bli en ny debatt om hur branschen blir reglerad lönar det sig att ha en kraftfull röst.

Växande granskning

Laglig hackning och cyberspionage har vuxit enormt som företag under det senaste decenniet, utan några tecken på reträtt. NSO Groups tidigare ägare köpte företaget 2014 för 130 miljoner dollar, mindre än en sjundedel av värderingen som det såldes för förra året. Resten av branschen expanderar också och drar nytta av spridningen av kommunikationsteknik och fördjupad global instabilitet. Det råder ingen tvekan om att vilken stat som helst har rätt att köpa den här tekniken för att bekämpa brottslighet och terrorism, säger Amnesty Internationals biträdande direktör, Danna Ingleton. Stater har rätt och lagligt rätt att använda dessa verktyg. Men det måste åtföljas mer av ett regelsystem som förhindrar missbruk och ger en ansvarsmekanism när missbruk har inträffat. Att skina ett mycket starkare ljus på hackningsbranschen, hävdar hon, kommer att möjliggöra bättre reglering och mer ansvarsskyldighet.

Tidigare i år var Amnesty International inför domstol i Israel och argumenterade för att försvarsministeriet skulle återkalla NSO:s licens på grund av missbruk av Pegasus. Men precis när ärendet startade, uppmanades tjänstemän från Amnesty och 29 andra framställare att lämna rättssalen: en gag order placerades på förfarandet på ministeriets uppmaning. Sedan, i juli, avslog en domare fallet direkt.

Jag tror inte av princip eller lag att NSO kan hävda en total brist på ansvar för hur deras verktyg används, säger FN:s specialrapportör Agnès Callamard. Det är inte så det fungerar enligt internationell rätt.

Callamard ger råd till FN om utomrättsliga avrättningar och har varit högljudd om NSO Group och spionprogramindustrin ända sedan det visade sig att Pegasus användes för att spionera på vänner och medarbetare till Khashoggi strax innan han mördades. För henne får frågan konsekvenser på liv eller död.

Om NSO förlorar WhatsApp-fallet, säger en advokat, ifrågasätter det alla de företag som lever på att hitta brister i mjukvara och utnyttja dem.

Vi efterlyser inte något radikalt nytt, säger Callamard. Vi säger att det som är på plats för tillfället visar sig vara otillräckligt, och därför måste regeringar eller tillsynsmyndigheter snabbt gå in i en annan växel. Branschen expanderar, och den bör expandera på grundval av rätt ram för att reglera missbruk. Det är viktigt för global fred.

Det har funnits krav på ett tillfälligt moratorium för försäljning tills starkare regler har antagits, men det är inte klart hur den rättsliga ramen skulle se ut. Till skillnad från konventionella vapen, som lyder under olika internationella lagar, regleras cybervapen för närvarande inte av något världsomspännande vapenkontrollavtal. Och även om icke-spridningsavtal har föreslagits, finns det liten klarhet om hur de skulle mäta befintlig kapacitet, hur övervakning eller efterlevnad skulle fungera eller hur reglerna skulle hänga med i den snabba tekniska utvecklingen. Istället sker den största granskningen idag på nationell rättsnivå.

I USA undersöker både FBI och kongressen möjliga hack av amerikanska mål, medan en utredning ledd av senator Ron Wydens kontor vill ta reda på om några amerikaner är inblandade i att exportera övervakningsteknik till auktoritära regeringar. Ett färskt utkast till amerikansk underrättelseproposition skulle kräva en regeringsrapport om kommersiell spionprogram och övervakningsteknik.

WhatsApp-processen har under tiden tagit målet nära hjärtat av NSO:s verksamhet. Silicon Valley-jätten hävdar att NSO genom att rikta in sig på invånare i Kalifornien – det vill säga WhatsApp och Facebook – har gett domstolen i San Francisco jurisdiktion, och att domaren i målet kan hindra det israeliska företaget från framtida försök att missbruka WhatsApps och Facebooks nätverk. Det öppnar dörren till oerhört många möjligheter: Apple, vars iPhone har varit ett överordnat NSO-mål, skulle möjligen kunna genomföra en liknande juridisk attack. Google har också sett NSO som riktar sig mot Android-enheter.

Och ekonomiska skador är inte det enda svärdet som hänger över NSO:s huvud. Sådana rättegångar för också med sig hotet om upptäckt i rättssalen, vilket har potential att få ut detaljer om NSO:s affärsuppgörelser och kunder i allmänhetens ögon.

Mycket beror på exakt hur domstolen bestämmer och hur brett den kännetecknar den kränkning som NSO påstås ha begått här, säger Alan Rozenshtein, en tidigare jurist från justitiedepartementet nu vid University of Minnesota Law School. Åtminstone, om NSO förlorar det här fallet, ifrågasätter det alla de företag som gör sina produkter eller försörjer sig genom att hitta brister i meddelandeprogramvara och tillhandahålla tjänster som utnyttjar dessa brister. Detta kommer att skapa tillräckligt med rättslig osäkerhet för att jag skulle kunna tänka mig att dessa blivande kunder skulle tänka två gånger innan de ingick avtal med dem. Du vet inte om företaget kommer att fortsätta att fungera, om de kommer att dras till domstol, om dina hemligheter kommer att avslöjas. NSO avböjde att kommentera det påstådda WhatsApp-hacket, eftersom det fortfarande är ett aktivt fall.

Vi spioneras alltid på

I Marocko utsattes Maâti Monjib för minst fyra fler hackattacker under 2019, var och en mer avancerad än den tidigare. Vid något tillfälle omdirigerades hans telefonwebbläsare osynligt till en misstänkt domän som forskare misstänker användes för att tyst installera skadlig programvara. Istället för något som ett sms som kan larma och lämna ett synligt spår, var det här en mycket tystare nätverksinjektionsattack, en taktik som uppskattas eftersom den nästan är omärklig förutom för expertutredare.

Den 13 september 2019 åt Monjib lunch hemma med sin vän Omar Radi, en marockansk journalist som är en av regimens skarpaste kritiker. Just den dagen, visade en undersökning senare, att Radi drabbades av samma typ av nätverksinjektionsattacker som hade fångat Monjib. Hackningskampanjen mot Radi varade åtminstone in i januari 2020, sa forskare från Amnesty International. Han har varit utsatt för regelbundna polistrakasserier sedan dess.

Åtminstone ytterligare sju marockaner fick varningar från WhatsApp om att Pegasus användes för att spionera på sina telefoner, inklusive människorättsaktivister, journalister och politiker. Är detta den sortens legitima spionmål – terroristerna och brottslingarna – som anges i kontraktet som Marocko och alla NSO-kunder skriver under?

I december skickade Monjib och de andra offren ett brev till Marockos dataskyddsmyndighet och bad om en utredning och åtgärder. Det blev inget formellt, men en av männen, den demokratiska ekonomen Fouad Abdelmoumni, säger att hans vänner högt upp på byrån sa till honom att brevet var hopplöst och uppmanade honom att lägga ner ärendet. Den marockanska regeringen har under tiden svarat med att hota att utvisa Amnesty International från landet.

Det som händer i Marocko är symboliskt för vad som händer runt om i världen. Även om det är uppenbart att demokratier är stora gynnade av laglig hackning, visar en lång och växande lista av trovärdiga, detaljerade, tekniska och offentliga utredningar att Pegasus missbrukas av auktoritära regimer med långa register över brott mot mänskliga rättigheter.

Marocko är ett land under en auktoritär regim som tror att människor som Monjib och jag måste förstöras, säger Abdelmoumni. För att förstöra oss är det viktigt att ha tillgång till all information. Vi anser alltid att vi är spionerade på. All vår information är i händerna på palatset.

Läs mer

Mannen som byggde ett spionprogramimperium säger att det är dags att komma ut ur skuggorna Shalev Hulio, medgrundare och VD för NSO, säger att hans bransch är full av företag som försöker undvika granskning. Dölj