סגור
תוכנת ריגול פגסוס NSO
תוכנת ריגול פגסוס NSO (צילום: גטי)

סיטיזן לאב: פגסוס ריגלה אחר עיתונאים ופעילי זכויות אדם במקסיקו עד 2021

המסקנה עלתה מתחקיר מכון המחקר סיטיזן לאב באוניברסיטת טורונטו וארגון זכויות האדם המקסיקני R3D. לפי מנכ"ל הארגון: "NSO ממשיכה לקיים מגעים עם גורמים שהשתמשו בתוכנה לרעה ולהסתיר את עסקאותיה". NSO: "בחינה שלנו היא הדרך היחידה לאמת את דיוק המידע, אבל סיטיזן לאב מסרבת לשתף מידע"

תוכנת הריגול פגסוס של NSO הישראלית שימשה לריגול אחר עיתונאים ופעילי זכויות אדם במקסיקו בין 2019 ל-2021– כך לפי תחקיר משותף של מכון המחקר סיטיזן לאב של אוניברסיטת טורנטו ושל ארגון זכויות האדם המקסיקני R3D שהתפרסם הלילה (א').
"זה די ברור שטענות NSO לפיהן היא מכבדת זכויות אדם הן הונאה", אמר מנכ"ל R3D, לואיס פרננדו גרסיה ל"כלכליסט". "אם לא היה ל-NSO מה להסתיר, היא הייתה מספקת לממשלת מקסיקו את כל הראיות שלדבריה היא יכולה להשיג, ואולם, היא לא עושה זאת. NSO לא יכולה לטעון שהיא חפה מפשע ולהאשים את הלקוחות שלה כשהיא ממשיכה למכור את המוצרים שלה לעבריינים סדרתיים ומחפה עליהם בחקירות רשמיות. היא נושאת באחריות". מדובר במידע חדש על השימוש ברוגלה שמראה שחרף מחויבותה המוצהרת למנוע שימוש בתוכנה נגד פעילי זכויות אדם ועיתונאים, לא מצליחה NSO למנוע ניצול לרעה של הרוגלה שלה.
ב-2017 פורסמה לראשונה שורת דיווחים על השימוש הבעייתי שנעשה בפגסוס במקסיקו לריגול אחר עיתונאים, פרקליטים של קורבנות קרטלי סמים, מחוקקים בולטים, פעילים נגד שחיתות שלטונית ואפילו רעייתו של עיתונאי שנרצח על ידי הקרטלים. ב-2021, נשיא מקסיקו טען שהממשלה לא מרגלת אחרי אזרחיה עם פגסוס. התחקיר המשותף מעלה שהריגול קיים ונמשך. בנוסף, הוא מציג חוזים בין משרד ההגנה הלאומית של מקסיקו לחברות שנקשרו בעבר למכירתה לממשלה.
הממצאים המרכזיים כוללים זיהוי פעילות פגסוס על מכשיריהם של שלושה אנשים: פעיל זכויות האדם ריימונדו ראמוס, שמכשירו נפרץ לפחות שלוש פעמים בין אוגוסט לספטמבר 2020; העיתונאי והסופר ריקרדו רפאל שמכשירות נפרץ לפחות שלוש פעמים בין אוקטובר לדצמבר 2019 ופעם נוספת בדצמבר 2020 (רפאל היה קרבן של פגסוס גם ב-2016 ו-2017); ועיתונאי אנונימי מאתר Animal Politico, שמכשירו נפרץ ביוני 2021.
לפי סיטיזן לאב, ממצאים אלה שונים מממצאים קודמים במקסיקו משתי בחינות. ראשית, התקיפות העדכניות אומתו באמצעות ניתוח פורנזי של המכשירים, בעוד שתחקירים קודמים אישרו שהמכשירים היו יעד למתקפה על בסיס הודעות זדוניות שנשלחו אליהם. שנית, התקיפות הנוכחיות עשו שימוש במתקפות זירו-קליק, שיכולות להדביק את המכשיר בלי צורך לפעולה כלשהי מצד הקרבן. מתקפות שלחו לקרבנות הודעת SMS שניסתה לשכנע אותם להקליק על קישור זדוני.
"אנחנו מעריכים בביטחון גבוה שאנשים אלה הותקפו עם רוגלת פגסוס", נכתב בדו"ח של סיטיזן לאב. "המידע הטכני שזמין למקרים לא מאפשר לנו ליחס את התקיפות ללקוח ספציפי של NSO. עם זאת, כל אחד מהקרבנות הוא בעל עניין רב לישויות כמו ממשלת מקסיקו, ובמקרים מסוימים לקרטלים".
ראמוס, לדוגמה, הודבק בפגסוס בסמוך לפרסום סרטון שבו חיילים בצבא מקסיקו הורגים אזרח ללא משפט. האקטיביסט התראיין רבות בנושא. במהלך תקופת ההדבקה נפגש ראמוס עם נציגים של הנציב העליון של האו"ם לזכויות אדם, נציבות זכויות האדם הלאומית של מקסיקו, עיתונאים ונציגים מהצי ומשרד ההגנה של מקסיקו. רפאל הודבק בפגסוס, בסבב שהיה ב-2019 בעת מסע יח"צ לקידום רומן שעוסק בקרטל הסמים לוס זטאס ושורשיו בצבא מקסיקו, ב-2020 הודבק לאחר שכתב על מעצרים ללא משפט. העיתונאי האנונימי הודבק ביום שבו פרסם תחקיר על הפרת זכויות אדם בצבא מקסיקו.
במקביל, חשף R3D חוזה לרכישת "שירות לניטור מידע מרחוק", שנחתם באפריל 2019 בין המשרד להגנה לאומית (SEDENA), המקבילה המקומית של משרד הביטחון, לחברה בשם Comercializadora Antsua. לפי מסמכים שבידי הארגון, Antsua היא נציגה רשמית של NSO במקסיקו, וקיבלה מהחברה זכות בלעדית לייצג אותה מול SEDENA בין ינואר 2018 לדצמבר 2019.
בשיחה עם "כלכליסט" תקף גרסיה את ההתנהלות של NSO במקסיקו בחצי העשור האחרון: "ראשית, החברה טוענת שהיא מוכרת רק לממשלות שיש להן אישור בחוק המקומי לבצע בדיקות. עם זאת, לצבא אין סמכות חוקית לרגל אחרי אזרחים. שנית, היא טוענת שביטלה חוזים עם לקוחות שניצלו לרעה את התוכנה, אבל כבר יש ראיות נרחבות לשימוש לרעה במקסיקו והם ממשיכים לעשות עסקים כאן. שלישית, היא ממשיכה לעשות שימוש בטקטיקות להסתרת העסקאות שלה, שמעיד על הידע שלה ועל ההתנהגות השגויה שלה. לבסוף, היא טוענת וכנראה תמשיך לטעון שתערוך חקירה פנימית. אולם, במשך יותר מ-5 שנים היא לא שיתפה פעולה עם חקירות רשמיות על השימוש לרעה שנעשו במוצריה".
מ-NSO נמסר בתגובה: "הדו"חות של סיטיזן לאב לא מאומתים עצמאית ולא יכולים להבחין בין כלים של NSO לאלה של חברות מודיעין סייבר אחרות, כולל דו"חות קודמים שהוכחו כשגויים. בחינה על ידי NSO היא הדרך האמיתית היחידה לאמת את דיוק המידע, אבל סיטיזן לאב מסרבת לשתף מידע, כדי לדווח מסקנות קבועות מראש שבכוונה מטעות את הציבור. NSO לא מפעילה את פגסוס, לא חשופה לשימוש בה ולא אוספת מידע על לקוחותיה או מי שהם מנטרים. NSO מספקת רישיון שימוש בפגסוס רק לכוחות אכיפת חוק ולסוכנויות מודיעין של מדינות ריבוניות ולסוכנויות ממשלתיות בתלות באישור של ממשלת ישראל. כשאנחנו מזהים שימוש לרעה, אנחנו מבטלים חוזים".