סגור
באנר דסקטופ כלכליסט טק

תוכנת הריגול של קנדירו הוחדרה למחשבים בלבנון וברשות הפלסטינית

על פי החשיפה של מפתחת האנטי וירוס אוואסט, הותקפו על ידי התוכנה הישראלית גם מחשבים בטורקיה ובתימן. על הכוונת של קנדירו בלבנון היה אתר של סוכנות חדשות. תגובת החברה: "אנו פועלים אך ורק על פי חוק הייצוא הבטחוני הישראלי ומפוקחים באופן מלא על ידי משרד הביטחון"

תוכנת הריגול של קנדירו (Candiru) הישראלית שימשה לתקיפת מחשבי PC ומק מבוססי ווינדוס בלבנון, בטורקיה, בתימן וברשות הפלסטינית – כך חושפת מפתחת האנטי-וירוס Avast. לדברי החברה, המתקפות עשו שימוש בפרצת Zero-Day בדפדפן כרום של גוגל כדי לחדור למחשבי הקרבנות.
פעילות קנדירו נחשפה בהרחבה לפני שנה, בתחקיר משותף של מיקרוסופט ומכון המחקר סיטיזן לאב של אוניברסיטת טורנטו. לפי תחקיר זה, התוכנה של קנדירו שימשה לריגול אחרי יותר מ-100 פעילי זכויות אדם, מתנגדי משטר, עיתונאים ואקדמאים ממדינות כמו איראן, לבנון, תימן, טורקיה וישראל. תחקיר זה היה בין הגורמים הבולטים להכנסתה של קנדירו לרשימה השחורה של מחלקת הסחר של ארה"ב בשנה שעברה.
עתה, חושפת אוואסט שורת מתקפות חדשות שבוצעו בתוכנה של קנדירו החל ממרץ 2022. לדברי החברה, מדובר בכמה קמפיינים שונים, כשכל אחד מהם ביצע את התקיפה בצורה אחרת. "בלבנון, התוקפים פרצו לאתר של עובדי סוכנות חדשות", נכתב בהודעה שפרסמה אוואסט. "אנחנו לא יכולים להגיד בוודאות מה חיפשו התוקפים, אבל לעתים קרובות תוקפים עיתונאים כדי לרגל אחריהם ולחשוף את הסיפורים שהם עובדים עליהם, או כדי לחשוף את המקורות שלהם ולאסוף מידע רגיש ומפליל שהם העבירו לעיתונות".
לפי החברה, התוקפים הצליחו להחדיר לאתר קוד זדוני, שטען אלמנטים של ג'אווהסקריפט מאתר שבשליטתם. הדבר אפשר להם לנווט את מטרות התקיפה, ורק אותן, לשרת זדוני. "ברגע שהקרבנות מגיעים לשרת, קנדירו אוספת יותר מידע", נמסר מסיטיזן לאב. "פרופיל של דפדפן הקרבן, שכולל יותר מ-50 יחידות מידע, נאסף ונשלח לתוקפים. המידע שנאסף כולל את השפה שבה משתמש הקרבן, אזור הזמן שלו, מידע על המסך, סוג המכשיר, תוספי דפדפן, זיכרון המכשיר, פעילות הקוקיז ועוד. אנחנו מניחים שזה נעשה כדי לוודא שהרוגלה נשלחת רק לקרבנות המיועדים. אם המידע שנאסף מספק את השרת הזדוני, הוא מחליף מפתחות הצפנה עם הקרבן, במטרה ליצור ערוץ תקשורת מוצפן, שדרכו מתבצעת הפריצה למחשב הקרבן". שימוש בערוץ מוצפן להחדרת הרוגלה מסייע להסתיר את התקיפה ממערכות ניטור שונות.
"לא מדובר בדיווח הראשון על קנדירו", אמר ל"כלכליסט" ד"ר ביל מרזק, חוקר בכיר בסיטיזן לאב שהוביל את כתיבת הדו"ח על קנדירו משנה שעברה. "אפילו סיטיזן לאב היא לא הראשונה לדווח על קנדירו. רק היינו הראשונים לייחס לה רשמית את המתקפות והראשונים לנתח את הרוגלה שלה. מאז 2018, או אפילו מוקדם יותר, חברות אבטחת סייבר שונות פרסמו דו"חות על פרצות ווינדוס של קנדירו, כולל קספרסקי, Unit 42, ESET, Avast ומיקרוסופט. זה מדגיש את התועלת שנוצרת מכך ש'יש יותר עיניים ברחוב'. ועכשיו נחשוב כמה מוצרי אבטחה יש לווינדוס וכמה מעט זמינים למכשירי מובייל. חשוב לזכור: קנדירו גם מפרסמת יכולות תקיפה במובייל (אנדרואיד, iOS), אם כי אף אחד עוד לא תפס אותן עדיין".
מקנדירו נמסר בתגובה: "חברת קנדירו פועלת אך ורק על פי חוק הייצוא הבטחוני הישראלי ומפוקחת באופן מלא על ידי משרד הביטחון. ייעודה של המערכת הוא למטרות סיכול טרור ופשיעה חמורה בלבד".