הלילה (בין ראשון לשני) נחשף היקף פעילותה של חברת ההייטק הישראלית NSO Group, מפתחת תוכנת הריגול "פגסוס". בתחקיר הענק של Forbidden Stories ואמנסטי אינטרנשיונל, שנערך בשיתוף פעולה עם כלי תקשורת בולטים, נחשף כי NSO העניקה רישיונות להפעלת "פגסוס" ל-11 מדינות, ובהן הודו, איחוד האמירויות, ערב הסעודית, הונגריה, רואנדה, טוגו ומקסיקו. עם הרישיונות שקיבלו, אותן מדינות פרצו או ניסוי לפרוץ לכ-50 אלף מכשירים, ששייכים לראשי מדינות, לאנשי אופוזיציה, לפעילי זכויות אדם ולעיתונאים.
לפי "מעבדת האבטחה" (Security Lab) של ארגון אמנסטי אינטרנשיונל שמושבה בברלין, "פגסוס" חודרת למכשירי הקורבנות באופן סמוי. הגרסאות הראשונות של התוכנה, שהגיעו לידי חוקרים בשנת 2016, הדביקו טלפונים בעזרת פישינג - הודעות ומיילים שמתחזים לאתר אחר, וגורמים לקורבן למסור את פרטיו. בשנת 2018 אופן הפעולה השתנה, כש-NSO עברה ל-"zero-click".
כיום, פגסוס נסמכת על חולשות ופירצות אבטחה במערכת ההפעלה, ולא דורשת מהקורבן לבצע שום פעולה. כך, האפליקציה יכולה להפעיל את המצלמה ואת המיקרופון, ולהעתיק כל קובץ או פרט מידע שנמצא בטלפון – כולל מיקומי GPS, הודעות טקסט, יומן השיחות, רשימת אנשי הקשר והיסטוריית הגלישה.
מנגנוני הפריצה האחרונים: האפליקציות של אפל
אחד ממנגנוני הפריצה של NSO נשען בעבר דווקא על אפליקציית המסרים הפופולרית ביותר בעולם, וואטסאפ. באוקטובר 2019, וואטסאפ תבעה את NSO בטענה שעמדה מאחורי סדרת תקיפות מתוחכמות שעברו על החוק האמריקני. לפי וואטסאפ, גורמים השתמשו בפגסוס כדי לפרוץ לכ-1,400 סמארטפונים בארבע יבשות באמצעות שיחות קול באפליקציה – כשהמתקפות הצליחו גם אם הקורבנות לא ענו. הפירצה נוצלה כשבועיים עד שתוקנה, ובמהלכה נפגעו כ-100 עורכי דין, עיתונאים, אקדמאים ופעילי זכויות אדם. ב-NSO השיבו שוואטסאפ ופייסבוק נתפסות על ידי ממשלות בתור "מרחב בטוח לטרוריסטים ולעבריינים", ושוואטסאפ "מערבבת" בין הפעולות של קבוצת NSO לבין פעולותיהם של "הלקוחות הריבוניים" שלה.
מאז נאלצה NSO לשנות את מנגנוני הפעולה שלה - ומומחי אמנסטי אינטרנשיונל סרקו עשרות מכשירים כדי לפענחם. רוב הסריקות התבצעו באייפון, לאור הכלים הדיאגנוסטיים המתקדמים יחסית שמערכת ההפעלה של אפל מציעה ולא זמינים במכשירי אנדרואיד. בבדיקות עלה שבשנים האחרונות פגסוס ניצלה פרצות בשורת תוכנות של אפל, ובהן iMessage, כשתעבורה חשודה אותרה גם באפליקציות Apple Photos ו-Apple Music. למעשה, המעבדה של אמנסטי הצליחה למצוא עקבות של תקיפות שבוצעו ממש החודש, במכשיר אייפון 12 שעודכן לגרסה האחרונה (iOS 14.6). במקרים שבהם ההשתלטות מרחוק לא עובדת, ניתן להתקין את פגסוס גם בעזרת משדר אלחוטי שממוקם בסמוך למטרה, או בעזרת גניבת המכשיר והתקנה ידנית.
מלבד המעבר ל-zero click, בשנים האחרונות השקיעה החברה מאמצים רבים כדי להחביא ככל שניתן את העקבות שמותירה מאחוריה פגסוס. חוקרי סייבר טוענים שהגרסאות האחרונות שלה פועלות במסגרת זיכרון העבודה של הסמארטפון, ולא משאירות ולו ביט אחד של מידע באחסון הקשיח. כך, כל זכר לפגסוס נמחה מהמכשיר ברגע שהוא מופעל מחדש.
"אנשי המכירות של NSO יכנסו לכוננות, זו פרסומת עבורם"
"גופי בטחון יכולים לרגל אחרי האזרחים שלהם. תמיד הייתה להם היכולת, והיא תמיד תהיה להם. בעבר זה פשוט דרש מאמץ רב", אמר ל-NEXTER גורם בכיר בעולם הסייבר הישראלי. "היו צריכים לשים ציתות, לקבל רישומים מחברות הסלולר, לתמלל את השיחות. זו הייתה עבודה קשה, ולכן זה נעשה בממד האזרחי רק לראשי משפחות פשע, ובממד הביטחוני לארגונים כמו חמאס.
"עם התפתחות הטכנולוגיה, כל אחד מאיתנו החל להשאיר חותמת דיגיטלית משמעותית, וזה נהיה הרבה יותר קל לחדור, לאסוף מידע ולנתח אותו. פגסוס היא אחת התוכנות הראשונות שעשו את זה בצורה מסחרית. היא המובילה שבהן ותמיד תהיה, כי הפיתוח דורש משאבים אדירים. בכל פעם שאפל משחררת גרסה חדשה, הם מושיבים אנשי ריוורס-אנג'נירינג כדי למצוא חולשות שאפל עצמה לא יודעת עליהן. זה חלק מה-SLA, חלק מהסכם השירות. אחרת החולשות האלה לא יהיו שוות כלום, והלקוח היה זורק את המערכת לפח אחרי שבועיים".
"קו פרשת המים היה לפני ארבע או חמש שנים, כשהטכנולוגיה נהייתה זמינה, פשוטה וזולה יחסית. בגדול, התחילו למכור אותה לכל דורש", הוא מוסיף. "במדינות לא דמוקרטיות, הסכנה נוגעת לעיתונאים, למתנגדי משטר, לאנשי אופוזיציה, למיעוטים דתיים ואתניים ולחברי קהילת הלהט"ב. כמובן שמשתמשים בזה נגד סוחרי סמים ונגד פדופילים, כמובן", הוא מוסיף. "אבל אם אני ראש המודיעין של מדינה באפריקה, אני קודם אשתמש בזה כדי לרגל אחרי מספר 2 בארגון שלי, ואחרי זה אעבור למפלגת האופוזיציה ולשבט או המיעוט הסמוכים. לאנשים ששייכים לקליקה השלטת אין מה לדאוג. אפילו בתור ישראלים, אף פעם לא עניין אותנו שכוחות הביטחון מרגלים אחרי כל דבר שהפלסטינים עושים".
לדברי הגורם, גם מדינות מערביות משתמשות בכלים כמו פגסוס – אך בניגוד למדינות עולם שלישי, הן משתמשות בהן רק למעגל השני של המטרות. את המעגל הראשון והחשוב ביותר הן תוקפות עם כלים שפיתחו בעצמן. "הביון הצרפתי, למשל, לא רוצה לחשוף את כלי הריגול הטובים ביותר שלו כדי לחשוף רשת של מבריחים מאלג'יריה, כי ברור שברגע שזה נחשף – כל חברות הסייבר ההגנתי מפתחות פתרונות אבטחה, וחברות הסמארטפונים משחררות עדכון. לא שורפים את זה על שטויות. הן כן יקנו בשביל זה כלים כמו קנדירו ופגסוס. מדינות עולם שלישי ישתמשו בזה לכל מטרה, ולכן גם כל החשיפות. זה מה שקורה כשחברות מוכרות מוצרים ללקוחות זבל".
האם אזרחי ישראל צריכים לחשוש מתוכנות כמו פגסוס?
"בישראל לא צריך את החברות האלה. לגופי הביטחון יש כלים משל עצמם, ואין דרך להימנע ממעקב חוץ מלעבור לטלפון טיפש. זו האמת של האינטרנט. אם אתה לא רוצה שתמונות עירום שלך ידלפו, אל תצלם אותן בטלפון".
למה משרד הביטחון לא עצר את המכירה למשטרים אפלים, בעצם?
"כל עוד זה לא מגיע לאויבי ישראל, למשרד הביטחון לא אכפת מכלום. המטרה היא לשמר את העליונות של התעשיות הביטחוניות בארץ".
כיצד הפרשה תשפיע על תעשיית הסייבר הישראלית?
"בגדול, אנשי המכירות של NSO בטח יכנסו לכוננות כדי לענות על כל השיחות שהם יקבלו. 50 אלף סומנו כמטרות ורק עכשיו עלו על זה. כמה גופים כאלה יש בעולם שעשו כזו וולידציה לכלי שלהם? הם מוגנים לגמרי, אולי יעשו להם 'נו נו נו'. הסכנה האמיתית היא שהם יעצבנו את האמריקאים, אם יתגלה שאחד מייעדי המעקב היה אזרח אמריקאי או שהתוכנה נמכרה למדינה שהוטלו עליה סנקציות. זו פרסומת עבורם".
"הרצח של חאשוקג'י נורא"
אחת הטענות שעלו נגד NSO Group ופגסוס עוסקת בקורבנות התקיפות: אנשי אופוזיציה, פעילי זכויות אדם ועיתונאים. NSO Group מכרה רישיונות ל"דמוקטטורות" שהדמוקרטיה בהן במגמת נסיגה חריפה, בהן הונגריה של ויקטור אורבן והודו של מודי, ולמדינות אוטוריטריות נוספות כמו ערב הסעודית.
על פי הדיווחים, אותן ממשלות ניסו לפרוץ ל-180 עורכים ועיתונאים חוקרים מכל כלי התקשורת הבולטים בעולם; אחת מהן היא רולה חלאף, העורכת הראשונה של העיתון הכלכלי הבריטי "פייננשל טיימס", שככל הנראה סומנה על ידי איחוד האמירויות. עיתונאי נוסף שנפרץ הוא פרנוי גוהא טקורטה, מייסד שותף באתר החדשות ההודי The Wire, שערך בשנת 2018 תחקיר על האופן שבו ממשלתו של נרנדרה מודי השתמשה בפייסבוק כדי להפיץ דיסאינפורמציה. ה"גרדיאן" פרסם הבוקר (שני) כי גם יריבו הפוליטי הבכיר של מודי, רהול גנדי, סומן פעמיים כמטרה.
אך רצח העיתונאי הסעודי ג'מאל חאשוקג'י בשגרירות המדינה בטורקיה באוקטובר 2018 הוא ככל הנראה הפרשה החמורה ביותר שבה נקשרו NSO Group ופגסוס. שלו חוליו, המייסד השותף של החברה לצד עמרי לביא, טען אז בתגובה להאשמות כי NSO לא הייתה מעורבת ברצח. "הרצח של חאשוקג'י נורא", אמר בתחילת 2019 בראיון ל-CBS. "כאשר שמעתי בפעם הראשונה את ההאשמות, פתחתי בבדיקה מיידית של העניין... לא היה לנו שום קשר לרצח הנוראי הזה". על פי הפרסום האחרון, גם בני משפחתו של חאשקוג'י הותקפו עם פגסוס, כשלפי המעבדה של אמנסטי, אשתו הותקפה בין ספטמבר 2017 ואפריל 2018.
בתגובה, עורכי דין מטעם NSO טענו שהדו"ח של אמנסטי אינטרנשיונל הוא אוסף של השערות ספקולטיביות וחסרות בסיס. "NSO Group מכחישה נמרצות את הטענות הכוזבות בדיווח", כך לשון התגובה שפורסמה ב"גרדיאן". "רבות מהן תיאוריות שמעלות ספקות רציניות באשר למקורות ולבסיס שעליו נשען הדיווח שלכם (...) NSO לא מפעילה את המערכות שהיא מוכרת ללקוחות ממשלתיים, שעוברים בדיקות רקע. ל-NSO אין לה גישה למידע שנאסף על המטרות שהגדירו הלקוחות. מטעמי ביטחון לאומי ולאור ההסכמים שעליהם חתמה, NSO לא יכולה לאשר או להכחיש את זהות לקוחותיה הממשלתיים (...) כפי ש-NSO טענה בעבר, הטכנולוגיה שלה לא נוצלה לרצח הנורא של ג'מאל חאשוקג'י. אנחנו מאשרים שהטכנולוגיה שלנו לא נוצלה כדי לצותת לו, לעקוב אחריו או לאתר אותו, וגם לא לבני משפחתו.
"NSO Group תמשיך לחקור את כל הטענות האמינות על שימוש לרעה, ותפעל בהתאם לתוצאות הבדיקה, לרבות השבתת המערכות שנמכרו ללקוחות. NSO הוכיחה שהיא נאותה לעשות זאת, ועשתה זאת מספר פעמים בעבר. העובדות הן ש-NSO Group סייעה במניעה של מתקפות טרור, פיגועי התאבדות, אירועי ירי ופיצוץ מכוניות. הטכנולוגיות משמשות מדי יום למאבק בפדופיליה ובסחר בנשים ובסמים, לאיתור ילדים חטופים, לאיתור נפגעים במבנים שקרסו ולהגנת מרחבים אוויריים מפני רחפנים עוינים".
בינתיים, נראה שהריקושטים כבר מתחילים. "השימוש בתוכנה הזאת בלתי מתקבל על הדעת", אמרה הבוקר (שני) נשיאת נציבות האיחוד האירופי, אורסולה פון דר ליין, במהלך ביקור בפראג. "עלינו לאמת את מה שקראנו עד כה, אבל אם זה אכן המקרה, מדובר בעבירה על כל סוג של חוק באיחוד האירופי".