הכלים של חברת הסייבר ההתקפי הישראלית קנדירו (Candiru) שימשו לתקיפת מתנגדים ומבקרים של סעודיה ושל משטרים אוטוקרטיים אחרים - כך עולה מדו"ח של חברת אבטחת המידע ESET שפורסם על ידי הגרדיאן הבריטי והגיע לידי ynet. הדיווח מתפרסם כשבועיים לאחר שממשל ביידן הוסיף את החברה הישראלית, לצדה של NSO, לרשימה שחורה של ישויות שעוסקות בפעילויות סייבר זדוניות ופוגעות באינטרס הלאומי של ארה"ב. קנדירו לא הגיבה לדיווח.
לפי הדו"ח, כלי התקיפה של קנדירו שימשו לביצוע "מתקפת בור מים" (watering hole attack), מונח ששאול מעולם הציד: במקום לרדוף אחרי הטרף, התוקף ממתין לו במקום שאליו הוא צפוי להגיע - בור מים. באינטרנט אין בורות מים כמובן, אלא אתרים. לפיכך, במתקפה מסוג זה מושתל קוד זדוני באתרים שאליהם הקורבנות צפויים להגיע, על מנת לזהות אותם ולאחר מכן לתקוף אותם באופן ממוקד בנוזקה או רוגלה.
לפי הדו"ח של ESET, אחד האתרים שבהם השתילו התוקפים קוד זדוני הוא אתר החדשות Middle East Eye, שהמערכת שלו נמצאת בלונדון. אתרים אחרים שהותקפו קשורים למשרדי ממשלה שונים באיראן, בסוריה ובתימן, וכן לחיזבאללה. המטרות האלה מחזקות את ההערכה שסעודיה עומדת מאחורי המתקפות, או לפחות חלק מהן. אתרים נוספים שהותקפו קשורים לחברות צבאיות בתחום התעופה והחלל באיטליה ובדרום אפריקה. התוקפים גם הקימו אתר מזויף של יריד רפואי בשם MEDICA שהתקיים בדיסלדורף בגרמניה. "ייתכן שהם לא הצליחו להדביק את האתר הלגיטימי ולכן הקימו אתר מזויף על מנת להכניס אליו את הקוד הזדוני שלהם", כתבו החוקרים.
פריצה למחשבים
הקמפיין התמקד במחשבים ולא בטלפונים ניידים, ולפי הדו"ח "מבקרים ספציפיים באתרים האלה הותקפו ככל הנראה באמצעות חולשה בדפדפן". ב-ESET מדגישים כי לא כל המבקרים באתרים האלה הותקפו וכי האתרים שימשו כנקודת פתיחה בלבד.
מתיאו פאו, אחד החוקרים ב-ESET שחשפו את המתקפה, סיפר כי החברה הסלובקית פיתחה ב-2018 מערכת לזיהוי מתקפות בור מים באתרים. ביולי 2020 זיהתה המערכת כי קוד זדוני הושתל באתר של השגרירות האיראנית באבו דאבי. "זה עורר את הסקרנות שלנו, בגלל שמדובר באתר עם פרופיל גבוה", סיפר פאו, "ובשבועות שלאחר מכן הבחנו בכך שאתרים אחרים שקשורים למזרח התיכון הותקפו גם הם". לאחר מכן התוקפים נעלמו עד שצצו שוב בינואר 2021 והיו פעילים עד הקיץ. לפני שנעלמו בפעם השנייה הם "ניקו" את האתרים שהותקפו על מנת לטשטש עקבות.
ב-ESET מקשרים בין הפסקת המתקפות לבין הדיווח של מיקרוסופט ו-Citizen Lab, מעבדה באוניברסיטת טורונטו שעוקבת אחרי חברות סייבר התקפי, על שימוש של ממשלות בכלי התקיפה של קנדירו. הממשלות האלו הקימו בין היתר אתרים מזויפים של תנועת Black Lives Matter ושל ארגון זכויות האדם אמנסטי על מנת לתקוף משתמשים. ב-Citizen Lab טענו אז כי קנדירו פיתחה כלי ריגול שלא ניתן לזהות והם משמשים לחדירה לטלפונים ומחשבים. במיקרוסופט אמרו כי קנדירו מכרה את כלי הריגול, אך הלקוחות שלה הם אלה שבחרו את המטרות והוציאו את המתקפות לפועל.
העורך הראשי של אתר Middle East Eye, דיוויד הירסט, גינה את המתקפה וסיפר על שורה של ניסיונות להפיל את האתר, בין היתר על ידי גורמים מדינתיים: "סכומי כסף משמעותיים הושקעו במטרה להפיל אותנו. זה לא מנע מאיתנו לדווח על מה שקורה בכל פינה של המזרח התיכון ואני מאמין שהם לא יעצרו אותנו גם בעתיד".
קנדירו הוקמה בשנת 2014 ושינתה את שמה מספר פעמים. בניגוד ל-NSO, החברה הבולטת ביותר בתחום הסייבר ההתקפי בישראל, היא שומרת על פרופיל נמוך ונחשבת לחשאית במיוחד. עם זאת, בחודשים האחרונים היא עלתה לכותרות בעל כורחה, ראשית בעקבות הדו"חות של מיקרוסופט ו-Citizen Lab, ובהמשך כאשר ממשל ביידן הוסיף אותה ואת NSO ל"רשימת היישויות" של משרד המסחר האמריקני. בהודעה שפרסם המשרד בתחילת החודש נטען כי ישנן הוכחות לכך שהחברה פיתחה וסיפקה כלי ריגול לממשלות זרות שהשתמשו בהם כדי לתקוף פקידי ממשל, עיתונאים, אנשי עסקים, אקטיביסטים, אקדמאים ועובדי שגרירויות.
שרת החדשנות, המדע והטכנולוגיה אורית פרקש הכהן התייחסה היום לטענות שנשמעות בתקופה האחרונה נגד NSO וקנדירו מבלי לנקוב בשמן. "אנחנו אכן צריכים סייבר חזק", אמרה פרקש הכהן בכנס iHLS Innotech, "אבל גם ראוי ולגיטימי, שעומד בכללי האתיקה. התקופה מעלה שאלות בנושא הגנה על פרטיות ושאלות אתיות. תעשיית הסייבר צריכה להיות חלק מההגנה על ערכים אלו".
פורסם לראשונה: 10:27, 17.11.21