ברחבי העולם הזדעזעו אמש (יום א') מהגילויים החדשים על פגסוס, תוכנת הריגול של חברת הסייבר ההתקפי הישראלית NSO. לפי חקירה של ארגון זכויות האדם אמנסטי אינטרנשיונל בסיוע ארגון Hidden Stories, פגסוס שימשה במשך שנים לריגול אחרי עשרות פעילי זכויות אדם ועיתונאים מכלי תקשורת מרכזיים כמו וושינגטון פוסט, CNN, ניו יורק טיימס, AP, בלומברג, וול סטריט ג'ורנל ואחרים.
הכתבות האחרונות על NSO:
זוהי לא החשיפה הראשונה של פגסוס, תוכנת ריגול שקיומה ידוע כבר כמה שנים, אבל מדובר בתחקיר הנרחב ביותר שנעשה בשנים האחרונות על חברת הסייבר הישראלית שמואשמת שוב ושוב בסיוע למשטרים אפלים ברדיפת מתנגדי משטר, פעילי זכויות אדם ועיתונאים. בין היתר נחשפו בתחקיר החדש מעקבים שלה אחרי מקורבים של העיתונאי ג'מאל חשוקג'י שנרצח על-ידי המשטר הסעודי ואחר עיתונאים-חוקרים בהונגריה. NSO טוענת להגנתה כי הפעלת כלי הריגול אינה נעשית על ידה אלא על ידי הלקוחות, שהם כולם גופי אכיפה ממשלתיים, ושהיא פועלת תחת פיקוחו של האגף לפיקוח על ייצוא ביטחוני (אפ"י) במשרד הביטחון.
מה זה בדיוק פגסוס?
פגסוס היא רוגלה (תוכנת ריגול) שניתן לשתול הן במכשירי אנדרואיד והן במכשירי אייפון, והיא מסוגלת להפוך את הסמארטפון לכלי ריגול לכל דבר. מי שהשתלט על המכשיר מרחוק יכול לשלוף ממנו קבצים, להפעיל את המצלמה ואת המיקרופון, לגשת למיקום של המכשיר, לצפות באנשי הקשר ובלוח השנה וכן לעקוב אחרי ההתכתבויות באפליקציות המסרים ואחר הפעילות ברשתות החברתיות.
ב-NSO אומרים כי במקרה של חשד לשימוש לרעה, יש באפשרותה לגשת למערכת של הלקוח על מנת לנהל חקירה בעניין. לאחרונה הצהירה החברה כי ניתקה חמישה לקוחות בעקבות שימוש לרעה במוצר.
כיצד מדביקים טלפון בפגסוס?
NSO, שהוקמה בשנת 2010, הצליחה לשפר את היעילות של פגסוס בצורה משמעותית לאורך השנים. אם ב-2016 כדי להדביק טלפונים היה צריך לגרום לקורבן ללחוץ על קישור זדוני שנשלח אליו בהודעת SMS או במייל, היום הוא כבר לא צריך לעשות דבר. מדובר בטכניקה שנקראת Zero-Click, והיא מתאפשרת באמצעות ניצול של חולשות אבטחה באפליקציות שקיימות על הטלפון. מדובר בדרך כלל בחולשות Zero-Day, כאלה שהיצרן לא מודע אליהן ולכן לא יכול היה לתקן אותן.
החקירה של אמנסטי העלתה כי NSO ניצלה חולשת אבטחה באפליקציית המסרים iMessage שמותקנת מראש על כל אייפון, אבל זה לא וקטור התקיפה היחיד שלה: ב-2019 תבעה פייסבוק את NSO בטענה שניצלה חולשת אבטחה באפליקציית וואטסאפ כדי לפרוץ לטלפונים של 1,400 משתמשים. גם במקרה הזה, הקורבן לא היה צריך ללחוץ על שום דבר - שיחת וואטסאפ נכנסת הספיקה כדי להדביק אותו בפגסוס.
זה לא מקרי שב-NSO בחרו לנצל חולשות אבטחה דווקא בשתי האפליקציות האלה: iMessage מותקנת מראש על כל אייפון, ולפי ההצהרות של חברת אפל, יש יותר ממיליארד אייפונים פעילים היום בעולם. וואטסאפ, לעומת זאת, היא אחת האפליקציות הפופולריות בעולם, ויש לה יותר משני מיליארד משתמשים ברחבי העולם. חולשות אבטחה באפליקציות האלה מבטיחות ל-NSO גישה למיליארדים של טלפונים, ואפשר להניח שהמהנדסים של החברה עובדים יום ולילה כדי למצוא עוד ועוד כאלה.
אם אתם חושבים שאייפון חדש עם מערכת הפעלה מעודכנת יגן עליכם, טעות בידכם. מהתחקיר עולה כי NSO הצליחה לפרוץ למכשירי אייפון 12 פרו מקס עם iOS 14.6, הגרסה האחרונה של מערכת ההפעלה. גם מכשירי אייפון SE מהדור השני עם iOS 14.4 נפרצו בהצלחה. אם חולשות ה-Zero-Day באייפון מאכזבות, יש אלטרנטיבות: להדביק את הטלפון באמצעות לינק זדוני, להיעזר במשדר אלחוטי שנמצא ליד המכשיר או לחזור לשיטה הישנה והטובה מימים עברו - לגנוב את הטלפון ולהדביק אותו ברוגלה. היו מקרים שבהם דווח על שתילת פגסוס באמצעות רשת סלולרית מזויפת ואפילו באמצעות החלפת הטלפון של הקורבן בטלפון זהה עם הרוגלה בתוכו.
האם זה תמיד עובד?
פגסוס לא עובדת ב-100%. באמנסטי בדקו 67 טלפונים שנחשדו ככאלה שנפרצו וגילו כי 23 הודבקו בהצלחה וב-14 מקרים אחרים נעשה ניסיון פריצה שכנראה לא צלח.
מה יקרה עכשיו עם פגסוס?
NSO פועלת תחת רישיון של האגף לייצוא ביטחוני במשרד הביטחון. מתבקש שהאגף יבדוק את הטענות האחרונות נגד החברה ויבחן מחדש את יחסיה עם סעודיה, אזרבייג'ן, הונגריה ומדינות אחרות שהואשמו בהפרת זכויות אדם וברדיפת עיתונאים. עם זאת, NSO היא ממש לא השחקנית היחידה בתחום: רק השבוע נחשפה מתחרה שלה, חברת קנדירו, כמי שניצלה חולשות אבטחה בווינדוס ובתוכנות אחרות על מנת לפרוץ למכשירים. גם חברת קוואדרים הישראלית פועלת בתחום, וישנן כמובן חברות נוספות בעולם שמספקות שירותים דומים. לעצור את פעילותה של NSO לא ימנע לחלוטין מקרים של ריגול אחר עיתונאים, פעילי זכויות אדם וחפים מפשע.
בתגובה לתחקיר שפורסם אמש מסרה NSO: "מדובר בדו"ח שקרי שמבוסס על הנחות יסוד שגויות במסגרת קמפיין מאורגן ומתוזמר היטב על-ידי בעלי עניין ידועים. החברה שוקלת את צעדיה המשפטיים למול הטענות ההזויות המוצגות בדו"ח. יודגש כי מוצרי החברה נמכרים אך ורק לגופי מודיעין ואכיפת חוק כחלק מהמלחמה בטרור ובפשיעה חמורה ברחבי העולם".