Anas Altikriti was in Londen, en druk, op de dag in juli 2020 dat zijn telefoon werd gehackt. Hij werkt vaak als gijzelingsonderhandelaar en op dat moment onderhandelde hij over een deal om een gijzelaar te bevrijden die werd vastgehouden aan de grens tussen Libië en Tsjaad. Altikriti had ook een ontmoeting met voormalig leider van de Labour Party Jeremy Corbyn. Maar zijn telefoon werd niet geïnfiltreerd door Pegasus, de telefoonhacksoftware van de Israëlische NSO Group.
Vier jaar later doet Altikriti, een in Irak geboren Britse burger en uitgesproken criticus van de Verenigde Arabische Emiraten, aangifte bij de Metropolitan Police in Londen, waarin hij het Israëlische spywarebedrijf NSO Group beschuldigt van medeplichtigheid aan het gericht hacken van zijn telefoon. Op woensdag diende hij de klacht in tegen NSO en zijn medewerkers, samen met drie andere in het Verenigd Koninkrijk gevestigde mensenrechtenverdedigers wiens telefoons ook werden gehackt.
“Deze zaak heeft echt een staartje”, zei Leanna Burnard, een advocaat bij de non-profit Global Legal Action Network, die de klacht opstelde. “Het Verenigd Koninkrijk zou niet moeten tolereren dat mensenrechtenverdedigers op eigen bodem worden gehackt.”
Samengesteld met de hulp van advocaten van GLAN namens de slachtoffers, legt het uitgebreid van voetnoten voorziene dossier dat naar de Metropolitan Police is gestuurd, en dat is verkregen door The Intercept, de bal bij de politie. De politie heeft nu de bevoegdheid om te beslissen of ze een onderzoek starten en vervolgens aanklachten indienen.
“Het Verenigd Koninkrijk zou niet moeten tolereren dat mensenrechtenverdedigers op eigen grondgebied worden gehackt.”
“Vanwege wettelijke beperkingen kunnen we geen specifieke klanten bevestigen of ontkennen”, vertelde Gil Lanier, vice-president voor wereldwijde communicatie bij NSO, aan The Intercept. “NSO voldoet aan alle wetten en regels en verkoopt zijn technologieën uitsluitend aan gecontroleerde inlichtingen- en wetshandhavingsinstanties. Onze klanten gebruiken deze technologieën dagelijks, aangezien Pegasus een cruciale rol blijft spelen bij het dwarsbomen van terroristische activiteiten, het opbreken van criminele bendes en het redden van duizenden levens.”
De Metropolitan Police wilde geen commentaar geven.
De VS plaatste NSO in 2021 op de zwarte lijst nadat de software ervan werd beschuldigd mensenrechtenschendingen door autoritaire overheidsklanten van het bedrijf mogelijk te maken. Amnesty International heeft gezegd dat NSO medeplichtig was aan veel van deze telefoonhacks.
Het cyberspionagebedrijf is echter nooit gesanctioneerd in het VK, ondanks oproepen van parlementsleden. Het uitblijven van actie was vooral schokkend omdat de overheid zelf een doelwit was van de software. In 2022 zeiden cybersecurity-onderzoekers bij Citizen Lab dat het kantoor van de Britse premier en het ministerie van Buitenlandse Zaken waarschijnlijk slachtoffer waren geworden van meerdere Pegasus-aanvallen, waarbij de VAE de hoofdverdachte was.
Hoewel aanklagers over de hele wereld strafrechtelijke claims tegen NSO in landen als Spanje, Hongarije en Polen onderzoeken, zijn er tot nu toe geen formele aanklachten ingediend.
De klacht tegen NSO bij de Londense politie is twee jaar in de maak, sinds advocaten begonnen met het onderzoeken van de hackerslachtoffers op Britse bodem. Advocaten die de zaak behandelen, zeiden dat ze hoopten dat het politierapport zou kunnen leiden tot een mijlpaal voor mensenrechtenverdedigers die het doelwit zijn geweest. Altikriti hoopt dat zeker, net als de andere klagers.
“Dit moet worden blootgelegd,” zei hij. “We hebben het nu over een potentiële wereld waarin letterlijk niemand ooit kan beweren te genieten van iets dat privacy heet.”
Gehackt op Britse bodem
Naast Altikriti zijn ook Azzam Tamimi, een in Palestina geboren Britse journalist en academicus, een vooraanstaand criticus van het Saoedische regime, en Mohammed Kozbar, een in Libanon geboren Britse burger en leider van de Finsbury Park-moskee, en Yusuf Al Jamri, een Bahreinse mensenrechtenactivist die asiel heeft gekregen in het Verenigd Koninkrijk, het slachtoffer geworden van de hack. Ze werden allemaal tussen 2018 en 2021 op Britse bodem gehackt.
Hun klacht bij de politie is gericht tegen NSO Group en haar bestuursleden; het in Luxemburg gevestigde moederbedrijf Q Cyber Technologies; het in Londen gevestigde private equity-bedrijf Novalpina, dat NSO in 2019 kocht. De mensenrechtenactivisten beweren dat de mensen die betrokken zijn bij NSO de Britse Computer Misuse Act hebben overtreden door overheidsactoren in staat te stellen hun telefoons te hacken met Pegasus. (Novalpina heeft niet gereageerd op een verzoek om commentaar.)
Vermoedelijk zijn de hackers afkomstig uit het Koninkrijk Saoedi-Arabië, de VAE en het Koninkrijk Bahrein.
Het Verenigd Koninkrijk is onlangs belangrijker geworden voor de activiteiten van NSO. In 2023 werd het management van vijf NSO-gelinkte bedrijven verplaatst naar Londen en werden er twee in het Verenigd Koninkrijk gevestigde functionarissen aangesteld.
Ondertussen blijft NSO te maken krijgen met een reeks civiele rechtszaken in de VS. Het bedrijf heeft een verzoek ingediend om de aanklachten van gehackte Salvadoraanse journalisten en Hanan Elatr Khashoggi, de weduwe van de vermoorde journalist Jamal Khashoggi, te seponeren.
Vorige week verzocht Apple een rechtbank in San Francisco om de drie jaar durende hackzaak tegen NSO af te wijzen, nadat Israëlische functionarissen bestanden uit het hoofdkantoor van NSO hadden meegenomen. Dit was kennelijk een poging om rechtszaken in de VS te dwarsbomen. Apple stelde dat het bedrijf mogelijk nooit meer de meest cruciale bestanden over Pegasus in handen zou krijgen en dat de onthulling van zijn eigen verdedigingssystemen in de rechtbank andere spywarebedrijven zou kunnen helpen.
“NSO verdedigt deze rechtszaken zeer krachtig,” zei Stephanie Krent, advocaat bij het Knight First Amendment Institute. “Het probeert de rechtszaak te rekken en echt te voorkomen dat het ter verantwoording wordt geroepen.”
““Absolute non-reactie”
In juli 2021 werd Altikriti door The Guardian als onderdeel van het Pegasus Project op de hoogte gebracht dat zijn nummer op een gelekte lijst stond van personen waarvan werd vermoed dat ze gehackt waren. Volgens The Guardian stond Altikriti’s telefoonnummer op een lijst van personen van belang voor de VAE die aan NSO was gegeven. Altikriti was bezorgd, maar niet verrast.
Jarenlang had hij zich openlijk kritisch uitgelaten over de VAE, waar hij eerder woonde. De VAE bestempelde zijn organisatie, de Cordoba Foundation — die zich inzet voor dialoog en toenadering tussen de islam en het Westen — in 2014 als terroristische groepering. Als reactie hierop gaf de organisatie een verklaring uit waarin ze het land een “despotisch regime noemde dat elke vorm van onenigheid het zwijgen oplegt.” Hij deed in de daaropvolgende jaren soortgelijke uitspraken over de VAE.
Rond de tijd dat Altikriti in juli 2020 werd gehackt, werkte hij aan verschillende gijzelaars-vrijlatingsdeals, voornamelijk in het Midden-Oosten. Hij beweert dat telefoonhacking zijn communicatie met betrekking tot één deal verstoorde.
Nadat hij op de hoogte was gebracht van de mogelijke hack, werd Altikriti’s telefoon getest door Amnesty International en Citizen Lab aan de Universiteit van Toronto, die cyberproblemen bestudeert die de mensenrechten aantasten. De hack werd bevestigd. Altikriti maakte de cyberaanval snel openbaar en plaatste een verklaring waarin hij de Britse overheid opriep om zich te verzetten tegen het gebruik van dergelijke spyware. Sindsdien raakt Altikriti steeds meer gefrustreerd door het gebrek aan actie.
“Je denkt dat de Britse regering, die een aantal van haar eigen burgers en degenen op haar grondgebied heeft zien schenden op de manier waarvan we nu bewijs hebben, iets zou doen,” vertelde Altrikiti aan The Intercept. “Maar tot nu toe hebben we een absolute non-reactie gezien.”
In 2022 stuurden Altikriti en Kozbar, een van de andere mensenrechtenactivisten achter de klacht bij de politie, een pre-claim notice naar NSO, de VAE en Saoedi-Arabië, van hun intentie om een civiele rechtszaak aan te spannen over de vermeende Pegasus-telefoonhacking. In een formele antwoordbrief die door The Intercept werd verkregen, zei NSO dat er “geen basis was voor de claims.”
Het bedrijf zei dat aangezien Q Cyber Technologies Ltd en NSO Group Technologies Ltd elk Israëlische bedrijven zijn en geen van beide aanwezig was in Engeland en Wales, Engelse rechtbanken geen jurisdictie over hen hadden. Ze betoogden ook dat de claims werden geblokkeerd door staatsimmuniteit omdat, als de vermeende aanvallen plaatsvonden, ze werden uitgevoerd namens buitenlandse overheden die immuun zijn voor vervolging.
In de klacht van woensdag bij de politie hebben andere eisers verhalen die vergelijkbaar zijn met die van Altikriti. Al Jamri was actief op sociale media om bewustzijn te creëren over mensenrechtenschendingen en politieke kwesties in Bahrein. In 2011 was hij politiek actief tijdens de Arabische Lente. In de nasleep daarvan werd hij regelmatig ondervraagd en lastiggevallen door de autoriteiten. Hij werd in augustus 2017 voor de derde keer vastgehouden en gemarteld. Na zijn vrijlating vroeg hij asiel aan in het VK
Twee jaar later werd Al Jamri met Pegasus aangevallen door servers die naar Bahrein te herleiden waren, aldus Citizen Lab. Dit gebeurde rond dezelfde tijd dat hij een bericht plaatste over een incident bij de Britse ambassade in Bahrein, toen een dissident naar verluidt werd aangevallen door personeel. In augustus 2019 werd Al Jamri, net als Altikriti, op de hoogte gesteld door The Guardian en werd zijn telefoon vervolgens getest en bevestigd dat hij infecties had. Hij maakte de hack ook openbaar.
Amerikaanse rechtszaken
Ondanks Apple’s poging om zijn zaak in te trekken, heeft NSO nog steeds te maken met een reeks rechtszaken in de VS. In oktober 2019 spande WhatsApp een rechtszaak aan tegen het Israëlische bedrijf omdat het zijn platform gebruikte om de telefoons van 1.400 gebruikers van de chat-app te hacken. NSO heeft herhaaldelijk geprobeerd om de zaak te laten afwijzen, onder meer door te beweren dat het soevereine immuniteit had — dat het optrad als een agent van buitenlandse overheden — hoewel die poging in januari werd afgewezen.
In november 2021, dezelfde maand dat NSO door de Amerikaanse overheid op de zwarte lijst werd gezet vanwege zijn rol bij het mogelijk maken van mensenrechtenschendingen, diende Apple ook een zaak in tegen NSO om het verantwoordelijk te houden voor de surveillance en targeting van zijn gebruikers. Op 13 september besloot het bedrijf om zijn zaak te verwerpen, omdat de inbeslagname van NSO-documenten door Israëlische functionarissen “deel uitmaakte van een ongebruikelijke juridische manoeuvre die door Israël was bedacht om de openbaarmaking van informatie over Pegasus te blokkeren.”
NSO staat erom bekend een nauwe band te hebben met de Israëlische regering, waarmee het naar eigen zeggen heeft samengewerkt tijdens de Israëlische oorlog in Gaza. In november stuurde NSO, in een poging om zijn imago te herstellen, een dringende brief om een ontmoeting met minister van Buitenlandse Zaken Antony Blinken en functionarissen van het Amerikaanse ministerie van Buitenlandse Zaken aan te vragen, waarbij de dreiging van Hamas werd aangehaald.
In 2022 spande het Knight Institute een rechtszaak aan namens huidige en voormalige journalisten van El Faro, een van de belangrijkste onafhankelijke nieuwsorganisaties in Centraal-Amerika, gevestigd in El Salvador. Het was de eerste zaak die journalisten tegen NSO aanspanden bij een Amerikaanse rechtbank. Een rechter wees de zaak in maart af, maar deze is momenteel in hoger beroep.
“We vonden het belangrijk dat slachtoffers toegang tot de rechtbank hebben om NSO Group ter verantwoording te roepen,” zei Krent, de advocaat van Knight. “Uiteindelijk worden ze geconfronteerd met de meest ernstige bedreigingen door het gebruik van deze spyware.”
Bron: theintercept.com