De Russische autoriteiten gebruikten de forensische UFED-tools van Cellebrite om in juni 2021 in te breken in de iPhone van de gedetineerde oppositieactivist Andrey Pivovarov, drie maanden nadat Cellebrite had gezegd dat het zou stoppen met de verkoop van zijn tools en diensten aan Rusland en Wit-Rusland.
De bevinding, op 25 juni gepubliceerd door het Citizen Lab, berust op twee dingen die zelden met elkaar overeenkomen: sporen op de telefoon zelf en een officieel rapport van de Russische regering waarin de tool wordt genoemd.
Onderzoekers doorzochten de geëxtraheerde gegevens op politieke contacten, oppositiefiguren en de namen van activistische organisaties. Dit was geen externe spyware. Het was een forensisch instrument dat werd uitgevoerd op een in beslag genomen apparaat en werd gebruikt om een zaak op te bouwen in een politieke vervolging.
Pivovarov rende Rusland openeneen oppositiegroep die het Kremlin ‘ongewenst’ had gebrandmerkt, een label dat voortdurende betrokkenheid tot een strafbaar feit maakte.
Hij werd op 31 mei 2021 van een vlucht op de luchthaven van Sint-Petersburg gehaald en zijn iPhone 12 en MacBook werden in beslag genomen. Hij heeft nooit toestemming gegeven voor een zoekopdracht en nooit zijn wachtwoorden overhandigd. De apparaten bleven tot 2023 in hechtenis. In juli 2022 werd hij veroordeeld tot vier jaar; hij werd in augustus 2024 vrijgelaten tijdens een gevangenenruil.
Pivovarov gaf de telefoon in het najaar van 2025 aan onderzoekers van Citizen Lab. De sporen erop dateren uit 2021, toen het apparaat zich in Russische hechtenis bevond.
MobileLockdown-records, die de vertrouwde USB-koppelingen van een iPhone volgen, toonden op 17 juni 2021 een verband aan met een host-ID die overeenkomt met een Cellebrite-vingerafdruk die de onderzoekers in een eerder geval in Jordanië hadden geïdentificeerd. Ze beschouwen het als een zeer betrouwbaar bewijs dat de UFED van Cellebrite werd gebruikt.
Ruslands eigen papierwerk ondersteunt de forensische lezing. Pivovarov ontving tijdens zijn vervolging een rapport met de titel “Forensisch Expertrapport nr. 1269-17”, opgesteld voor de Russische Onderzoekscommissie door het forensisch centrum van het ministerie van Binnenlandse Zaken, en hij gaf een kopie aan het Citizen Lab.
Het noemt Cellebrite’s UFED Physical Analyzer en UFED 4PC per product. Het documenteert het verzamelen van gegevens uit WhatsApp, Telegram en Viber, en toont onderzoekers die zoeken naar “Open Russia Civic Movement” en naar genoemde oppositiefiguren, waaronder Michail Chodorkovski, advocaat Anastasiya Burakova en Pivovarovs partner Tatiana Usmanova.
De MacBook hield stand. Het MVD-rapport beschrijft een mislukte extractie, geblokkeerd door encryptie, en het Citizen Lab vond overeenkomende mislukte inlogpogingen op dezelfde datum, wat aangeeft dat de autoriteiten nooit het wachtwoord van Pivovarov hadden.
De timing is het punt. Cellebrite kondigde in maart 2021 aan dat het zou stoppen met de verkoop aan Rusland en Wit-Rusland, een stap waarbij updates werden stopgezet maar de bestaande hardware bleef draaien. Een groot deel van UFED blijft offline werken lang nadat de ondersteuning is beëindigd, zegt het Citizen Lab, wat het gat in de grens is: het risico was nooit alleen toekomstige verkopen, het was de geïnstalleerde basis die al in politie- en inlichtingenbureaus zat.
Dat komt overeen met eerdere berichten dat Rusland na de aankondiging Cellebrite op de telefoons van gedetineerden bleef gebruiken.
Gevraagd om commentaar op 22 juni, vertelde Cellebrite aan Citizen Lab en Access Now dat elk gebruik van zijn verouderde hardware in Rusland na maart 2021 “volledig ongeoorloofd” is. Het zei dat hardware werkt zonder de steun of toestemming ervan en dat het vandaag de dag incompatibel zou zijn met moderne apparaten.
Rusland blijft permanent op zijn beperkte klantenlijst staan, aldus het bedrijf, en verschuift naar abonnementslicenties die niet meer werken als ze verlopen. Het onderscheid is meer juridisch dan operationeel van belang: de tool werkte nog steeds toen Russische onderzoekers in 2021 de telefoon hadden.
Eén overlap is de moeite waard om te bekijken: de mensen van wie de namen op de telefoon van Pivovarov werden gezocht, kwamen later naar boven als doelwit van COLDRIVER, een aan de FSB gelinkte phishing-operatie, en Burakova was het doelwit, maar beet niet.
Het Citizen Lab claimt geen directe link, maar het mechanisme is duidelijk: haal de sociale grafiek van één activist eruit en je hebt de doelwitlijst voor de volgende campagne.
Het advies van Citizen Lab voor iedereen die het risico loopt op een aanval is bot, en niets ervan is onfeilbaar tegen een forensisch hulpmiddel. Gebruik een sterke alfanumerieke toegangscode. Houd het besturingssysteem actueel. Schakel de Lockdown-modus in op iPhones of Geavanceerde beveiliging op Android 16 en hoger. Versleutel de schijf op computers. Schakel het apparaat volledig uit voordat u in een risicovolle situatie terechtkomt. Als een in beslag genomen apparaat terugkomt, wijzig dan elk accountwachtwoord en laat het onderzoeken voordat u het wist.
Rusland sluit zich aan bij Servië, Kenia en Jordanië in een groeiende lijst van gevallen van misbruik door Cellebrite, ondersteund door forensisch onderzoek. De scherpere les is smaller: een verkooponderbreking waarbij oude, offline-compatibele tools actief blijven, is niet echt een afsluiting als de telefoon zich al in een bewaarkamer bevindt.
