Een bekroonde Russische journalist die in ballingschap in Europa leeft, werd gehackt met behulp van Israëlische spyware van NSO Group, blijkt uit een gezamenlijk onderzoek van Citizen Lab en Access Now.
Galina Timchenko werd op of rond 10 februari gehackt, terwijl ze in Berlijn, Duitsland was, de eerste keer dat bekend is dat een onafhankelijke Russische journalist – wiens uitlaatklep door Moskou het doelwit is en als ‘ongewenste organisatie’ is bestempeld – via spyware is gehackt.
De aanval vond plaats kort voor een bijeenkomst in Berlijn van de belangrijkste onafhankelijke Russische media in ballingschap, waar deelnemers, waaronder Timchenko, bespraken onder welke druk zij stonden en hoe daarop te reageren. Het werd georganiseerd door de Russische organisatie Redkolegija.
“Via mij konden ze deze bijeenkomst afluisteren”, zei de journalist in een interview met The Guardian.
Zodra een telefoon is geïnfecteerd met Pegasus – de kenmerkende spyware van NSO – heeft de operator van de hacksoftware volledige controle over de telefoon, inclusief toegang tot foto’s, gecodeerde apps en de microfoon, waardoor de gebruiker de mobiele telefoon in een luisterapparaat kan veranderen.
Het nieuws riep vragen op over wie er achter de aanval zou kunnen zitten. Onderzoekers zeiden dat ze niet onmiddellijk konden identificeren wie zich op de telefoon van Timchenko had gericht, maar zeiden dat deze was gehackt met behulp van Pegasus, een van de meest geavanceerde spionagetools van militaire kwaliteit.
Rusland zou als een voor de hand liggende kandidaat zijn gezien als het zich had gericht op Timchenko, de medeoprichter en CEO van Medusa, een onafhankelijke Russische nieuwswebsite die een reputatie heeft op het gebied van het publiceren van kritische artikelen over de oorlog in Oekraïne en onderzoeken naar Russische elites. inclusief degenen die dicht bij Vladimir Poetin staan.
NSO, dat zwaar gereguleerd wordt door de Israëlische overheid, verkoopt alleen aan overheidsinstanties. Het is bekend dat het bedrijf verkoopt aan autoriteiten in veel Europese landen – waaronder de Duitse politie – en landen in het Midden-Oosten en Afrika.
Timchenko vertelde de Guardian dat ze persoonlijk gelooft dat Rusland uiteindelijk achter het hacken van haar telefoon zat.
‘Voordien waren alle andere aanvallen afkomstig uit Rusland. We hadden verschillende aanvallen en ze kwamen allemaal uit Rusland. Dus als het zwemt als een eend en kwaakt als een eend, is het waarschijnlijk een eend”, zei ze.
Maar Citizen Lab en Access Now, twee mondiale surveillance- en spyware-experts, zeiden dat ze het ‘onwaarschijnlijk’ vonden dat Rusland een klant was van de NSO Group en benadrukten dat ze uit onderzoek geen andere aanwijzingen hadden gezien dat Moskou achter de aanval zou kunnen zitten.
De verklaring liet weinig andere mogelijke opties over, aldus de onderzoekers. Meduza is gevestigd in Letland, wat een klant blijkt te zijn van NSO Group. Maar de onderzoekers zeiden dat er geen bewijs was dat Letland de mogelijkheid had om de Pegasus-software buiten zijn grens te gebruiken.
Duitsland is ook een bekende klant, maar onderzoekers zeiden dat het onwaarschijnlijk was dat een Duitse politiedienst – die vermoedelijk Pegasus gebruikte – Timchenko als doelwit had genomen. De Nederlandse Inlichtingen- en Veiligheidsdienst, de Nederlandse Inlichtingendienst en een Estse overheidsinstantie lijken Pegasus buiten hun rechtsgebied, ook binnen Europa, te gebruiken.
The Guardian meldde eerder dat Estland, een NAVO-lid, in 2019 toegang kreeg tot Pegasus, maar de NSO zei in augustus van dat jaar dat het bedrijf niet zou toestaan dat Estse functionarissen de spyware tegen Russische doelen zouden gebruiken.
Timchenko gebruikte een Lets netnummer toen ze werd gehackt.
“Het is mogelijk dat een van deze agentschappen zich op Timchenko richtte, hoewel het onduidelijk zou zijn onder welke rechtvaardiging”, aldus de onderzoekers. Ze voegden eraan toe dat het mogelijk was dat een Russische bondgenoot, bekend als koper van Pegasus, achter de spionage namens Rusland zat, ook in Azerbeidzjan en Kazachstan, hoewel onderzoekers zeggen dat ze door geen van beide landen aanvallen hebben waargenomen op individuen die in de EU wonen.
NSO maakt de namen van haar klanten niet bekend. Maar de woordvoerder leek te suggereren dat Rusland geen klant was. In een verklaring zei een woordvoerder: “NSO verkoopt zijn technologieën alleen aan Amerikaanse en Israëlische bondgenoten en onderzoekt altijd geloofwaardige beschuldigingen van misbruik, en onderneemt onmiddellijk actie als dat gerechtvaardigd is.”
Het bedrijf zegt dat het zijn spyware aan landen verkoopt om deze uitsluitend te gebruiken voor de bestrijding van ernstige criminaliteit en terroristische dreigingen. Hij ontkende ook enige kennis of controle te hebben over personen die het doelwit zijn wanneer hun spywarelicenties worden verkocht aan overheidsklanten, die vervolgens de hacksoftware beheren.
Timchenko zei dat de aanval op haar verontrustend was, omdat ze zichzelf nooit geïnteresseerd had geacht in de veiligheidsdiensten.
“Ik ben al een tijdje niet meer bezig met journalistiek werk. Ik ben geen lid van de redactieraad. Ik weet niet wat ze van plan zijn. Ik houd me bezig met publicaties, nieuwe projecten, geld, contracten’, zei ze, eraan toevoegend dat het een soortgelijke sensatie is als wanneer je portemonnee wordt gestolen.
“Er is daar niets, maar het zijn jouw spullen, het is erg ongemakkelijk”, zei ze. Ze gaf echter toe dat ze zich zorgen maakte over het openbaar maken van haar contactenlijst.
Eerder dit jaar verklaarde de Russische regering Medusa tot een ‘ongewenste organisatie’, waardoor het vrijwel onmogelijk werd om in het land aangifte te doen of inkomsten te innen.
Voordat hij Meduza oprichtte, was Timchenko redacteur van Lenta.ru, een extreem populaire website die pionierde op het gebied van online nieuws in Rusland.
De miljardair-eigenaar van Lenta.ru ontsloeg Timchenko vanwege de berichtgeving van haar team over de Oekraïne-crisis van 2014. Het besluit leidde tot een opstand van het personeel die ertoe leidde dat Timchenko Medusa medeoprichtte in Riga, Letland, waar ze geloofde dat de website meer bescherming zou genieten van de Russische regering en pro-Kremlin-zakenlieden.
Ze is een van de meest vooraanstaande Russische journalisten in het buitenland. Hij verschijnt regelmatig op academische fora en evenementen, waaronder die waar prominente figuren uit de Russische oppositie en emigrantengemeenschap worden aangetrokken.
De aanval werd veroordeeld door Sophie in ‘t Veld, Nederlands Europarlementariër en Hoge Vertegenwoordiger voor Buitenlandse Zaken en Veiligheidsbeleid. U tweeten ze zei: “drie jaar van onthullingen, parlementaire en gerechtelijke onderzoeken, Amerikaanse zwarte lijsten en publieke verontwaardiging, maar het misbruik van #Pegasus #spyware gaat recht onder onze neus door.”
Het onderzoek begon nadat Apple Timchenko en andere doelwitten in juni 2023 had gewaarschuwd dat ze mogelijk het doelwit waren van spyware.