לא רק NSO: סיטיזן לאב חושף את סייטרוקס, שגם לה קשר ישראלי
לא רק NSO: סיטיזן לאב חושף את סייטרוקס, שגם לה קשר ישראלי
המכון שהעלה למודעות את השימושים הבעייתיים שנעשים בפגסוס של NSO והביא להחרמתה של החברה הישראלית בארה"ב, מסמן מטרה חדשה: חברה מצפון מקדוניה שפיתחה יכולת לפרוץ לאייפונים עדכניים. ד"ר בילי מרזק, עמית מחקר בכיר בסיטיזן לאב: "סייטרוקס היא רק החברה השנייה, בנוסף ל-NSO, שראינו אצלה יכולות כאלה"
NSO, כך לפי דיווחים, אולי בדרך למכירה וחיסול פעילות תוכנת הריגול פגסוס, אבל תעשיית הסייבר ההתקפי העולמי טרם אמרה את המילה האחרונה. דו"ח חדש של מכון סיטיזן לאב באוניברסיטת טורנטו חושף הערב את הפעילות של סייטרוקס (Cytrox) - חברת סייבר התקפי אלמונית יחסית ממקדוניה הצפונית, אך בעלת נוכחות בישראל וקשרים משמעותיים לישראלים, שלדברי חוקרי המכון היא הראשונה שהוכח שיש לה יכולות פרצה לטלפונים דומות אלו של NSO.
"נחשף עכשיו שחקן גדול שני שפועל בתעשייה של פריצה לטלפונים, לא רק NSO", אומר ל"כלכליסט" ד"ר בילי מרזק, עמית מחקר בכיר בסיטיזן לאב וחוקר באוניברסיטת ברקלי בקליפורניה. "זה מדגיש שחשוב לכל פעולה שננקטת לשקול את כל התעשייה, לא רק חברות פרטניות".
הדו"ח מתפרסם במקביל לדו"ח נרחב של מטא (לשעבר פייסבוק), שממפה פעילות של 7 חברות ריגול סייבר, בהן 4 ישראליות, שתקפו כ-50 אלף איש במאה מדינות. החלק בדו"ח של מטא שעוסק בסייטרוקס מבוסס בחלקו על הממצאים של סיטיזן לאב.
במרכז הדו"ח, שמרזק הוביל את כתיבתו בשיתוף עם ג'ון סקוט-ריילטון, בכר עבדול-ראזק, נורה אל-ג'יזאווי, סיינה אנסטיס, קריסטין ברדן וראש המכון, פרופ' רון דיברט, עומד זיהוי פרצה לטלפונים של שני אזרחים מצרים: הפוליטיקאי הגולה איימן נור ומגיש של תוכנית חדשות פופולרית שביקש להישאר בעילום שם.
בשני המקרים, המכשירים שנפרצו היו אייפונים עדכניים יחסית (אחד מהם, הדגם העדכני ביותר באותה עת) שהריצו את הגרסה העדכנית ביותר של iOS שהיתה זמינה במועד זיהוי הפרצה ביוני. "יש עוד שחקנים בתעשייה, אבל סייטרוקס היא רק החברה השנייה בנוסף ל-NSO שראינו אצלה יכולות לפרוץ לטלפונים המעודכנים ביותר", אומר מרזק. "קנדירו טוענים שיש להם יכולת לפרוץ למובייל, אבל בשטח ראינו רק פריצה שלהם למחשבי ווינדוס. זו תעשייה גדולה עם הרבה שחקנים, אבל היכולות לפרוץ למכשירים המעודכנים ביותר היא עדיין ייחודית. עכשיו יש שחקן שני שהדגים את היכולת לעשות את זה. אני בטוח שיש אחרים, אבל עדיין לא תועדו כאלה שעושים שימוש בפרצות זירו-דיי נגד מערכות ההפעלה והטלפונים העדכניים ביותר".
סייטרוקס נוסדה ב-2017 במקדוניה הצפונית ולהערכת סיטיזן לאב שם נמצא מרכז המו"פ שלה ושם יושב גם המנכ"ל, איבו מלינובסקי. עם זאת, החברה גם נוכחות תאגידית בהונגריה ובישראל. לפי רשם החברות, ב-2017 הוקמו שתי יישויות ישראליות תחת השם Cytrox EMEA ו-Cytrox Software, שבהמשך שינו את שמן ל-Balinese ו-Peterbald בהתאמה – טקטיקה דומה לזו שבה נוקטת קנדירו הישראלית, שלאורך השנים החליפה את שמה כמה פעמים. "נראה שהפיתוח והקידוד מבוססים במקדוניה הצפונית, כי שם ראינו שיש מודעות דרושים רלוונטיות וגם המנכ"ל פועל משם", אמר מרזק. "יש להם גם משרד בישראל, אבל אני לא בטוח מה קורה שם. לא ראיתי מודעות דרושים למשרד הישראלי, אבל אולי אני לא מסתכל במקום הנכון".
לסייטרוקס יש גם קשרים הדוקים עם טל דיליאן - בכיר חיל המודיעין לשעבר שנחשב לאחת הדמויות הבולטות בקהילת הסייבר ההתקפי העולמית. דיליאן הוא מייסד סירקלס, שנמכרה לפני כמה שנים ל-NSO, וכיום עומד, לפי דיווחים, בראש חברת Intellexa, שככל הנראה מתמחה בפרצה לרשתות סייבר, וב-WiSpear, שפועלת מקפריסין. לפי כתבת פרופיל על דיליאן שפורסמה בפורבס לפני כשנתיים, הוא "הציל" את סייטרוקס מאבדון כשרכש אותה בפחות מ-5 מיליון דולר.
לא ברור האם כיום יש לדיליאן אחזקות בחברה, אך לפי הדו"ח של סיטיזן לאב יש לו לכל הפחות קשרים עסקיים משמעותיים אתה. "סייטרוקס היא חלק ממה שמכונה 'Intellexa Alliance', מותג שיווקי של מגוון חברות נשקי סייבר שהגיח ב-2019", נכתב בדו"ח. "קונסורציום החברות כלל את Nexa Technologies (לשעבר Amesys), WiSpear/Passitora, סייטרוקס, Senpai וgus ויישויות נוספות שלא זוהו ומבקשות להתחרות נגד שחקניות כמו NSO ו-ורינט. בחינה של מסמכי רישום תאגידיים מעלה כי לברית יש נוכחות תאגידית ביוון ואירלנד. הקשר המדויק בין סייטרוקס ל-Intellexa, וכן לחברות האחרות ב'ברית', לא ברור במקרה הטוב".
החוקרים גם מציינים מסמכים שונים שמהם עולה שחלק מהיישויות של סייטרוקס נמצאות בבעלות של חברה בשם Aliada Group, שלפי דיווח מ-2017 היא גם הבעלים של WiSpear. אותו דיווח, שהתפרסם בכתב העת המקצועי Intelligence Online, טען שבדצמבר 2016, חברת האחזקות הישראלית מבטח שמיר רכשה 32% מ-Aliada תמורת 3.5 מיליון דולר, עם אופציה לרכוש 5% נוספים.
הרוגלה של סייטרוקס שזיהו החוקרים, המכונה Predator, חדרה למכשירים, לדברי מרזק, באמצעות קישור זדוני שנשלח לקרבנות בווטסאפ. "הקישורים פתחו את דפדפן ספארי וטענו קוד שנועד לפרוץ את ההגנות של אפל ולהתקין את הרוגלה על המכשיר", הוא מסביר. "אמנם צריך לשכנע את הקרבן להקליק על הקישור, אבל אם חושבים על עבודה יומיומית של עיתונאים, אקטיביסטים ופוליטיקאים, הם מקבלים הרבה הודעות מאנשים שהם לא מכירים ונוהגים להקליק עליהם. הם פגיעים במיוחד למתקפות מסוג זה".
החוקרים לא הצליחו לנתח את כל יכולות הרוגלה מכיוון שלא הצליחו לשים את ידם על הקוד המלא שלה. "לא השגנו את כל קוד הרוגלה, אלא רק את השלב הראשון, שמוריד מודלים אחרים של הרוגלה", אומר מרזק. "הצלחנו להוריד מודל שמקליט אודיו. הוא יכול להפעיל את המיקרופון ולהאזין לשיחות בחדר או להקשיב לשיחות קול במכשיר, כולל מאפליקציות. זו תכונה די מקובלת ברוגלות. מכיוון שהרוגלה פרצה בהצלחה למכשיר והיו לה זכויות גישה מלאות לכל המדיע במכשיר, אני מניח שהיכולות שלה דומות לאלו של רוגלות אחרות".
הטלפון של אחד הקרבנות, איימן נור, נפרץ גם עם פגסוס של NSO במרץ השנה וביולי נעשה ניסיון לפרוץ למכשירו של נור באמצעות הפרצה שמכונה Forcedentry. פרצה זו זוהתה על ידי סיטיזן לאב בספטמבר, ועומדת במרכז תביעת הענק שהגישה אפל נגד NSO.
החוקרים ביצעו גם ניתוח פורנזי מקוון במטרה לאתר ולמפות אתרים זדוניים שמשמשים את סייטרוקס להחדרת הרוגלה שלה. בין השאר, הם גילו אתרים שלפי הכתובת שלהם מיועדים לתקיפת משתמשים במצרים, בחוף השנהב, במדגסקר, במאלי, בערב הסעודית ובסרביה. כמו כן, מופו אתרים שמתחזים לאתרים רשמיים של אפל, פוקס ניוז, גוגל, אינסטגרם, לינקדאין, טסלה, טוויטר, ווטסאפ, יוטיוב ואחרים.
סיטיזן לאב שיתפה את הממצאים שלה עם אפל, שפתחה בחקירה, ועם מטא. בדו"ח שפרסמה במקביל הודיעה מטא על הסרה של 300 חשבונות פייסבוק ואינסטגרם שקשורים לסייטרוקס, ופרסמה רשימה מקיפה של אתרים זדוניים ששימשו את סייטרוקס לביצוע המתקפות שלה. לפי הדו"ח, החברה איתרה לקוחות של סייטרוקס במצרים, ארמניה, יוון, ערב הסעודית, עומאן, קולומביה, חוף השנהב, ויטנאם, הפיליפינים וגרמניה.
מבחינת מרזק, הממצאים מדגישים עד כמה הבעיה של תעשיית הסייבר ההתקפי לא מוגבלת לחברה אחת ולכן הצורך להתמודד אתה צריך להיות ברמה בינלאומית ומתוך התסכלות מערכתית. "הבעיה הרחבה יותר היא שיש ביקוש עצום לרוגלות מסוג זה, אז אנשים יקימו חברות שיספקו אותו", הוא אומר. "הדרך להתמודד עם הבעיה היא באמצעות רגולציה טובה יותר והסכמים בינלאומיים - הן מצד הרוכשים והן מצד הייצואניות. דרושים עוד הסכמים בינלאומיים ושיתופי פעולה שבוחנים את התעשייה כולה. אם חברה אחת תעלם, חברות אחרות ייכנסו לנעליה.
"חשוב להבין מה אפשר לעשות עכשיו כדי לשפר את המצב", אומר מרזק. "לחברות כאלה יש שני סוגי לקוחות – מדינות כמו איחוד האמירויות, ערב הסעודית ואוגדנה, ודמוקרטיות מערביות. נראה לי שזה לא בלתי אפשרי להגיע להסכם בין דמוקרטיות מערביות לרכוש מוצרים כאלה רק מחברות שעומדות בדרישות מסוימות. אם השוק המערבי יסכים לתנאים כאלה, זה יבהיר לחברות שהן יכולות למכור לשוק המערבי או למדינות כמו איחוד האמירויות ואוגנדה, אבל לא לשני הצדדים. במילים אחרות, זה יכול לדחוף חברות לשחק בצד המוסדר יותר".
