דו"ח של אוניברסיטת טורונטו: "תוכנה של NSO שימשה לריגול אחרי עיתונאים באל ג'זירה"

תוכנת הריגול של NSO הישראלית שימשה למעקב אחרי עשרות עיתונאים ברשת אל ג'זירה ובערוץ אל ערבי (Al Araby) הלונדוני. כך חושף דו"ח חדש של מכון המחקר סיטיזן לאב של אוניברסיטת טורונטו. להערכת חוקרי המכון, מאחורי הפריצות עומדות איחוד האמירויות וסעודיה.

החקירה העלתה גם ראיות לכך ש־NSO מצאה דרך להחדיר לאייפונים את הרוגלה שלה, פגסוס, ללא צורך בפעולה אקטיבית מצד המשתמש אלא באמצעות ניצול חולשות בתשתיות הענן של אפל. ניצול פרצה בעלת עיקרון דומה בווטסאפ הוביל בעבר לתביעה של פייסבוק נגד החברה הישראלית.

"אם יש תעשייה לא מאוסדרת, יש חברות שימכרו טכנולוגיה למדינות שישתמשו בה לקידום אג'נדות שלהן, שכוללות תקיפת מבקרים ועיתונאים", אמר ל"כלכליסט" ד"ר ביל מרזק, חוקר באוניברסיטת ברקלי בקליפורניה ועמית מחקר בכיר בסיטיזן לאב, שהוביל את כתיבת הדו"ח, יחד עם ג'ון סקוט־ריילטון, נורה אלג'יזאווי, סיינה אנסטיס ורון דייברט.

לפי הדו"ח, תוכנת פגסוס של NSO שימשה לתקיפת 36 עיתונאים, מפיקים, מגישים ובכירים באל ג'זירה, ערוץ החדשות הקטארי שנחשב לפופולרי ביותר בעולם הערבי. כמו כן נעשה מעקב אחר עיתונאית בערוץ אל ערבי, שגם לו קשרים לקטאר. התקיפות התרחשו ביולי ובאוגוסט האחרונים, והתאפשרו באמצעות ניצול חולשה במערכות של אפל בשם Kismet שמאפשרת להשתיל את הרוגלה ללא ביצוע שום פעולה מצד המשתמש. זאת בניגוד לשיטה המוכרת להחדרת פגסוס, שמחייבת את המשתמש ללחוץ על קישור נגוע על מנת להדביק את מכשירו ברוגלה.

החקירה החלה בינואר 2020 בעקבות פנייה לסיטיזן לאב מצד תמיר אלמיסעל, כתב ומגיש באל ג'זירה, שדיווח בעבר על נושאים רגישים כמו רצח העיתונאי הסעודי ג'מאל חשקוג'י בקונסוליה הסעודית באיסטנבול. העיתונאי חשש שהטלפון שלו נפרץ, ובהנחיית חוקרי סיטיזן לאב התקין אפליקציית VPN שאפשרה להם לנטר את תעבורת האינטרנט שלו.

בתחילה החוקרים לא זיהו סימנים לכך שפגסוס פועלת על המכשיר. "אבל ב־19 ביולי ראינו שהמכשיר שלו מתקשר פתאום עם שרת שזיהינו בעבר כשרת התקנה של פגסוס. זהו השלב הראשון בהתקנת הרוגלה", סיפר מרזק. "לא ראינו עדות שהוא הקליק על קישור, אבל ראינו שקודם לכן היה דפוס תקשורת חריג עם שרתי iCloud של אפל".

שלו חוליו, מייסד NSO. "לא כל אירוע קשור אלינו" צילום: יניב בלום

ב־3,000 השעות שבהן ניטרו החוקרים את הטלפון של העיתונאי, הם זיהו 30 פניות שונות מהאייפון שלו לשרתי iCloud, כנראה כחלק מגיבוי שגרתי של המכשיר. ואולם, ב־54 הדקות שקדמו לפנייה לשרת ההתקנה של פגסוס זוהו 228 פניות כאלו. 16 שניות אחרי ההתקשרות האחרונה עם שרת iCloud זוהתה הפנייה הראשונה לשרת פגסוס. "התברר שהתקיפה התבצעה באמצעות רכיב שקשור לאפליקציות FaceTime ו־iMessage", נכתב בדו"ח.

החולשה שניצלה פגסוס במערכות אפל דומה בעיקרון לחולשה שניצלה הרוגלה באפליקציית ווטסאפ, ושנחשפה בתחילת 2019 - אך מתוחכמת יותר. "במקרה של ווטסאפ הפרצה בוצעה באמצעות שיחה נכנסת. במקרה הזה, אף אחד מהמותקפים לא ראה על המסך שיחה נכנסת או התרעה על הודעה".

המצור על קטאר: שנים של חשדנות וסכסוך במפרץ גם אם מאמצי התיווך יצליחו להביא להכרזה על סיום הסכסוך בין סעודיה והאמירויות מצד אחד לקטאר מהצד השני - החשדנות והתיעוב האישי בין המנהיגים יהפכו את ההכרזה הזו ללא יותר מהפסקת אש זמנית דורון פסקין לכתבה המלאה 

שרתי אפל אמורים להיות מאובטחים. איך זה הצליח?

"לא ראינו את קוד הפרצה ואיננו יודעים איזו חולשה היא מנצלת, אבל יש מגוון של תוכן שאפשר לשלוח דרך iMessage שעובר דרך שרתי iCloud, כמו קישורים, תמונות וסרטונים. חלק מהתוכן מעובד אוטומטית כשהטלפון מקבל אותו. ייתכן שיש חולשה בקוד הזה. מדובר בפרצה עוצמתית מפני שלא נדרש שיתוף פעולה מבעל המכשיר וגם אין SMS שנשאר על הטלפון".

בלי להשאיר עקבות

חוקרי סיטיזן לאב עבדו עם מחלקת ה־IT של אל ג'זירה ובחנו את רשומות התעבורה של הרשת. "זיהינו 36 טלפונים אישיים באל ג'זירה שנפרצו על ידי ארבעה צבירים של שרתים, שניתן לייחס לארבעה מפעילים של NSO", נכתב בדו"ח. מפעיל אחד, שריגל אחרי 15 טלפונים, זוהה על ידי החוקרים ב כפועל מטעם ממשלת איחוד האמירויות, והוא זהה לגורם שריגל בעבר אחרי העיתונאי אחמד מנסור מאיחוד האמירויות. מפעיל אחר, שריגל אחרי 18 עיתונאים, זוהה כפועל מטעם ממשלת סעודיה.

החוקרים בחנו גם אייפון 11 של אחד מעובדי אל ג'זירה. "הבדיקה מצביעה על כך שהגרסה העדכנית של פגסוס כוללת הקלטת קול מהמיקרופון, הקלטות שיחות טלפון מוצפנות, צילום באמצעות מצלמת הטלפון, ניטור מיקום המכשיר וגישה לסיסמאות ופרטי התחברות שמאוחסנים על הטלפון", נכתב.

בעקבות זיהוי הפרצה באל ג'זירה פנו החוקרים לאל ערבי, לאור דיווחים קודמים על ניסיונות תקיפה של עיתונאים בערוץ, והתגלתה פרצה לטלפון של העיתונאית רניה דרידי.

איך המשתמש יכול להגן על עצמו?

"אין כל כך מה לעשות מבחינת התנהגות אישית כי לא צריך שיתוף פעולה מהמטרה במתקפה הזו".

זיהוי של 36 מטרות בארגון אחד בו־זמנית הוא חסר תקדים?

"אופתע מאוד אם יצליחו להתקיף 36 עובדים בארגון אחד באמצעות הודעות SMS. לפחות אחד מהם יחשוד, ידווח על כך ויביא לחקירה. אולי המפעילים חושבים שזה בלתי נראה, ושגם אם הם יתקפו מאה אנשים אף אחד לא ישים לב".

מ־NSO נמסר: ״הדו"ח נשען על ספקולציות שגויות ומגמתיות והוא חסר כל בסיס עובדתי. לא קיבלנו את הדו"ח ולכן לא נוכל להגיב. אף על פי ש־NSO מובילה בתחומה בעולם, לא כל אירוע קשור בהכרח אלינו. אנו מפתחים מוצרים המאפשרים לרשויות ביטחון מדינתיות להתמודד עם טרור ופשיעה, אך לא מפעילים את הטכנולוגיה ולא חשופים למידע שברשות הלקוח. כאשר אנו מקבלים מידע על שימוש לא ראוי במערכות שלנו, אנו פותחים בחקירה בהתאם למדיניות הציות שלקחנו על עצמנו”.