Pakistaanse veiligheidsdiensten wisten de telefoons en computers van activisten te hacken. Amnesty analyseerde de digitale aanvallen en ontdekte een grootschalig netwerk van nepaccounts op sociale media, van waaruit contact wordt gezocht met activisten. De psychologische impact is groot. ‘Ik vertrouw ook mailtjes van vrienden en familie niet meer.’
In december 2016 kreeg Diep Saeeda (56) een Facebookbericht van ene Sana Halimi. ‘Hy dear’, stond er.
Diep Saeeda, een mensenrechten-activist uit Lahore (Pakistan), is gewend aan dit soort vriendschapsverzoeken, meestal afkomstig van studenten. ‘Jonge jongens en meisjes bezoeken vaak mijn kantoor. En ik krijg veel vriendschapsverzoeken op Facebook’, vertelt Saeeda eind september per telefoon vanuit Washington. Daar brengt ze wat tijd door met haar dochters, die uit veiligheidsoverwegingen niet meer in Pakistan wonen.
De profielfoto van Halimi toonde een jonge vrouw van een jaar of 30. Ze zat op een bank met dekens en had lange donkerblonde haren, een getinte zonnebril en Adidas-schoenen. Daaronder stond dat ze in Dubai woonde en werkte voor de Verenigde Naties. Saeeda en Halimi hadden vier gemeenschappelijke vrienden.
Een van die gezamenlijke vrienden was Raza Khan. Hij is de voorzitter van Aaghaz-e-Dosti, een initiatief om meer online vriendschappen tussen jonge Indiërs en Pakistanen te bewerkstelligen. Khan en Saeeda zijn goede vrienden.
‘En het leek erop dat Halimi ook een goede vriend was van Raza’, zegt ze. ‘Ze hadden veel discussies op Facebook.’ Saeeda vond het vriendschapsverzoek via Facebook daarom op geen enkele manier verdacht.
Computer verdwenen
Een jaar later, op 2 december, organiseerde Raza Khan voor Aaghaz-e-Dosti in Lahore een discussiebijeenkomst over extremisme. Na afloop ging hij naar huis. Vanaf dat moment kon niemand meer contact met hem krijgen. Zijn telefoon was uitgezet. Zijn broer ging naar zijn huis en vond zijn kamer op slot. Khan was niet thuis, maar de lichten brandden en zijn computer was verdwenen. Alles wees erop dat hij meegenomen was door de veiligheidsdiensten.
De laatste decennia ‘verdwenen’ er in Pakistan duizenden mensen op die manier. De VN-Werkgroep Gedwongen en Onvrijwillige Verdwijningen onderzoekt meer dan zevenhonderd zaken uit Pakistan. Aanvankelijk verdwenen er voornamelijk mensen in Khyber Pakhtunkhwa, de federaal bestuurde stamgebieden en Balochistan, waar islamitische terreurbewegingen actief zijn. Maar de laatste jaren verdwijnen er ook steeds vaker mensen uit andere gebieden van Pakistan, zoals Sindh, Islamabad, Lahore, Peshawar, Karachi en Quetta. De slachtoffers zijn bloggers, journalisten, studenten en mensenrechtenactivisten – vaak mensen die pleiten voor betere betrekkingen met de buurlanden.
‘Er zijn honderden mensen op dezelfde manier opgepakt en weer vrijgelaten’, zegt Saeeda. ‘Geen van hen heeft ooit iets verteld. Als je dat doet, breng je je familieleden in gevaar.’ Een zeldzaam ooggetuigenverslag verscheen in oktober 2017 van blogger Aasim Saeed, die naar Engeland vluchtte. Hij vertelde aan de BBC over geheime gevangenissen waar hij vastgehouden werd met ‘religieuze terroristen’, waar hij gemarteld werd en hem werd gevraagd of hij contacten had met de geheime dienst van India.
‘De regering wil dat in Pakistan alleen mensen overblijven die geloven dat het een ideale maatschappij is’
Antivirussoftware
Saeeda zette na de verdwijning alles op alles om Khan weer zo snel mogelijk terug te vinden. Op 4 december bracht ze de zaak voor het Hooggerechtshof van Lahore. Een dag later kreeg ze via Facebook een bericht van Halimi waarin ze suggereerde informatie te hebben over Khan. ‘Ze wilde het delen als ik beloofde het aan niemand te vertellen, omdat haar familie dan gevaar zou lopen. Ik vertrouwde haar en wachtte vier, vijf uur.’ Met het zweet in haar handen keek ze naar het computerscherm. Maar er verscheen niks.
‘Een paar dagen later verklaarde Halimi dat er twee mensen bij haar waren en dat ze me daarom niets had kunnen sturen’, zegt Saeeda, ‘Ze zou me alsnog een document toezenden met details waarmee ik kon uitvinden waar hij was.’
Ze kreeg eindelijk het document, dat in haar beleving het leven van Raza Khan kon redden. Maar zodra ze het opende, kreeg ze een melding van de antivirussoftware op haar computer. ‘Ik deelde het onmiddellijk met een bevriende computerdeskundige die voor ons werkt. Hij zei dat ze malware bevatten.’ Programma’s speciaal ontworpen om ongemerkt in iemands computer te infiltreren.
Saeeda was woedend: ‘Ik zei dat ik haar beschouwde als dochter. Hoe kon ze dat nu doen?’ Maar daar kreeg ze geen antwoord meer op.
Kort erna kwamen er twee studentes langs op haar kantoor. Ze hadden hulp nodig bij het schrijven van hun afstudeerverslagen. ‘Na twee dagen kreeg ik mailtjes met de verslagen en het verzoek om ze na te kijken op fouten.’
Ook deze mails bleken virussen te bevatten. De namen die de meisjes bij de balie van haar kantoor hadden opgegeven, bleken vals te zijn. Op 2 maart 2018 ontving Saeeda nog twee e-mails, met daarin zogenaamd informatie over een aanstaand bezoek van de minister van Onderwijs aan haar Institute for Peace and Secular Studies (IPSS). Ook deze mails bevatten links naar besmette websites.
Nepaccounts
Uiteindelijk kreeg Saeeda bijna dagelijks berichten die malware bevatten via haar computer of telefoon. Ze durfde niets meer te vertrouwen en besloot de mails door te sturen naar Amnesty, waar ze grondig werden onderzocht. Ook andere activisten in Pakistan die dit soort e-mails kregen, stuurden ze door naar de cybersecurityexperts van Amnesty. Na hun analyse ontstond een duidelijk beeld van de manier waarop hackers proberen in te breken in de computers en telefoons van activisten.
Centraal in de aanpak staan nep-accounts, vaak van medewerkers van mensenrechtenorganisaties of studenten. Met deze nepaccounts werven de aanvallers vervolgens vrienden in het circuit van de activisten. Hoe meer vrienden in dit circuit, hoe geloofwaardiger het nepaccount wordt. Via Facebook Messenger vergaren de hackers vervolgens e-mailadressen en telefoonnummers.
Vervolgens sturen de hackers berichten met bijlagen, die als je ze aanklikt ongemerkt software installeren, zoals Crimson RAT, waarmee iemand op afstand kan inloggen. Zo is het voor een hacker mogelijk om op jouw computer bijvoorbeeld programma’s te installeren die je toetsaanslagen bijhouden, je screenshots opslaan of je camera gebruiken.
‘Ik ben eraan gewend dat ik in de gaten word gehouden. Maar dit is veel erger, alle communicatie is nu onveilig’
Een andere aanval bestond uit gemailde applicaties die van een Android-telefoon een tracking device maken, zodat hackers de locatie van de telefoon kunnen volgen en de microfoon en camera op afstand kunnen besturen. De software die hiervoor gebruikt werd, leek erg op het vrij verkrijgbare TheOneSpy van het bedrijf Ox-I-Gen, dat onder meer gebruikt wordt door ouders die hun kinderen in de gaten willen houden, werkgevers die hun werknemers controleren en mensen die geliefden van overspel verdenken. De malware bevat stukken codes die identiek zijn aan de software van TheOneSpy. De applicatie stuurde data naar een server van ene Faisal Hanif, die ooit ook werkte met de ontwikkelaars van TheOneSpy.
‘Ik ben eraan gewend dat ik in de gaten word gehouden’, zegt Saeeda. ‘Elke week komen er wel mensen van de veiligheidsdiensten langs, soms bedreigen ze me. Maar dit is veel erger. Alle communicatie via mail en de telefoon is onveilig, omdat ik geen idee heb of de veiligheidsdiensten controle hebben over mijn computer of telefoon. Ik vertrouw ook mailtjes van vrienden en familie niet meer.’
Staat van paranoia
De psychologische impact van de digitale spionage is groot. Het gaat de veiligheidsdiensten volgens Saeeda niet om wat ze op de computers vinden aan informatie. Het doel is psychologische intimidatie, volgens de filosofie van Jeremy Bentham. Hij bedacht in de late 18de eeuw het panopticum. Een rond gebouw, met in het midden een observator, die in alle vertrekken kon kijken. De leerlingen, gevangenen of werknemers wisten niet of ze wel of niet in de gaten gehouden werden. Het idee was dat ze zich daardoor beter zouden gedragen. Ook veiligheidsdiensten kunnen zo mensenrechtenactivisten op een effectieve manier het werken onmogelijk maken. Zelfs als ze op de computer of telefoon geen belastende informatie vinden.
‘Het doel is mensen bang te maken’, zegt Saeeda, ‘zodat ze het land verlaten. Mensen die zich uitspreken en kritisch zijn over het systeem en die vrede willen met de buurlanden, in het bijzonder met India. Deze mensen worden bang gemaakt. Sommige worden vermoord, andere verlaten het land. Zo blijven er alleen mensen over in Pakistan die geloven dat het een ideale maatschappij is; dat is wat de overheid wil. Er zijn daarom maar heel weinig mensen die zich kritisch opstellen. Logisch, wie wil er nou de dood riskeren? Toch zijn er een paar uitzonderingen zoals ik, die denken dat het belangrijk is om je stem te verheffen en te praten voor de mensen die kwetsbaar zijn, gemarginaliseerd worden. De mensen die geen stem hebben.’
Ooggetuigenverslag
In juli dook Raza Khan weer op. Maar hij is er niet goed aan toe, vertelt Saeeda. ‘Hij voelt zich heel zwak en hij lijkt mentaal instabiel. Wat er gebeurd is, vertelt hij niet. Ik heb contact met hem via Signal en WhatsApp.’ Via die kanalen is het mogelijk versleutelde berichten te versturen. Bij Signal worden er ook geen metadata verzameld, zoals wie met wie contact heeft gehad. Maar als een telefoon malware bevat is geen enkel bericht veilig, omdat de hackers dan ook scherm-afbeeldingen kunnen maken.
Over een paar dagen vliegt Saeeda weer terug naar Pakistan. ‘Het meest vrees ik het moment dat ik uit het vliegtuig stap. Ze kunnen me oppakken en afvoeren naar een van de geheime plekken op het vliegveld, waar niemand mag komen. Daarna kunnen ze me laten verdwijnen.’
Toch peinst ze er niet over om in Washington te blijven. Ze moet terug naar Pakistan. In de geest van Martin Luther King, zegt Saeeda. ‘Iemand die zijn stem liet horen. Het vereist moed. En ik geloof…’ Er klinkt een zenuwachtig lachje. ‘Ik geloof dat ik die moed heb.’
