Getty Images
סמארטפונים השייכים ליותר משלושה תריסר עיתונאים, פעילי זכויות אדם ומנהלי עסקים נדבקו תוכנת ריגול רבת עוצמה שחברה ישראלית מוכרת, כביכול כדי לתפוס טרוריסטים ופושעים, את הוושינגטון פוסט ופרסומים אחרים דיווח.
המכשירים היו נגועים בפגסוס, תוכנת ריגול מלאה שפותחה על ידי NSO Group. מוכר הניצול מישראל עבר בדיקה אינטנסיבית בשנים האחרונות לאחר שממשלות דיכוי באיחוד האמירויות הערביות, מקסיקו ומדינות אחרות נמצאו משתמשות בתוכנה הזדונית נגד עיתונאים, פעילים וקבוצות אחרות שאינן קשורות לטרור או פֶּשַׁע.
פגסוס מותקנת לעתים קרובות באמצעות ניצול "אפס קליק", כגון אלה הנשלחים באמצעות הודעות טקסט, שאינן דורשות אינטראקציה מצד הקורבנות. לאחר שהמעללים פורצים בחשאי את ה-iPhone או ה-Android של מטרה, פגסוס סוררת מיד שפע של משאבי המכשיר. הוא מעתיק היסטוריית שיחות, הודעות טקסט, רשומות יומן ואנשי קשר. הוא מסוגל להפעיל את המצלמות והמיקרופונים של טלפונים שנפגעו כדי לצותת לפעילויות בקרבת מקום. זה יכול גם לעקוב אחר תנועות המטרה ולגנוב הודעות מאפליקציות צ'אט מוצפנות מקצה לקצה.
אייפון 12 עם iOS 14.6 נפל
על פי מחקר שנעשה במשותף על ידי 17 ארגוני חדשות, פגסוס הדביקה 37 טלפונים השייכים לאנשים שאינם עומדים בקריטריונים שלטענת NSO נדרשים לשימוש בתוכנת הריגול החזקה שלה. הקורבנות כללו עיתונאים, פעילי זכויות אדם, מנהלי עסקים ושתי נשים המקורבות לעיתונאי הסעודי שנרצח ג'מאל חשוגי. לפי ל"וושינגטון פוסט". ניתוח טכני מ אמנסטי אינטרנשיונל ואוניברסיטת טורונטו מעבדת אזרח אישר את הזיהומים.
"התקפות פגסוס המפורטות בדו"ח זה ובנספחים הנלווים הם משנת 2014 ועד לאחרונה ביולי 2021", חוקרי אמנסטי אינטרנשיונל כתבתי. "אלה כוללים גם מה שנקרא 'אפס קליק' התקפות שאינן דורשות כל אינטראקציה מהמטרה. התקפות אפס קליק נצפו מאז מאי 2018 ונמשכות עד עכשיו. לאחרונה, נצפתה התקפת 'אפס קליק' מוצלחת תוך ניצול מספר ימים אפס כדי לתקוף אייפון 12 עם תיקון מלא עם iOS 14.6 ביולי 2021.
כל 37 המכשירים הנגועים נכללו ברשימה של יותר מ-50,000 מספרי טלפון. עדיין לא ידוע מי שם את המספרים, מדוע הם עשו זאת, וכמה מהטלפונים היו באמת ממוקדים או מעקבים. ניתוח משפטי של 37 הטלפונים, לעומת זאת, מראה לעתים קרובות מתאם הדוק בין חותמות זמן הקשורות ל- מספר ברשימה ומעקב הזמן החל בטלפון המתאים, במקרים מסוימים קצרים כמו כמה שניות.
לאמנסטי אינטרנשיונל ולמלכ"ר עיתונאות שבסיסה בפריז בשם סיפורים אסורים הייתה גישה את הרשימה ושיתפו אותה עם ארגוני החדשות, שהמשיכו לעשות מחקר נוסף ו אָנָלִיזָה.
כתבים זיהו יותר מ-1,000 אנשים ביותר מ-50 מדינות שמספרם נכלל ברשימה. הקורבנות כללו בני משפחת המלוכה הערבית, לפחות 65 מנהלי עסקים, 85 פעילי זכויות אדם, 189 עיתונאים ו יותר מ-600 פוליטיקאים ופקידי ממשל - כולל שרי ממשלה, דיפלומטים וצבא וביטחון קצינים. ברשימה הופיעו גם מספריהם של כמה ראשי מדינות וראשי ממשלה. האפוטרופוס, בינתיים, אמרו 15,000 פוליטיקאים, עיתונאים, שופטים, פעילים ומורים במקסיקו מופיעים ברשימה שהודלפה.
כמפורט כאןנראה שמאות עיתונאים, פעילים, אקדמאים, עורכי דין ואפילו מנהיגי עולם היו ממוקדים. עיתונאים ברשימה עבדו עבור ארגוני חדשות מובילים, כולל CNN, Associated Press, Voice of America, The New יורק טיימס, הוול סטריט ג'ורנל, בלומברג ניוז, לה מונד בצרפת, הפייננשל טיימס בלונדון ואל ג'זירה ב קטאר.
"נראה שהמיקוד של 37 הסמארטפונים מתנגש עם המטרה המוצהרת של רישוי ה-NSO של הפגסוס תוכנות ריגול, שלדברי החברה מיועדות רק לשימוש במעקב אחר טרוריסטים ופושעים גדולים", העיתון וושינגטון של יום ראשון אמר פוסט. "הראיות שהופקו מהסמארטפונים הללו, שנחשפו כאן לראשונה, מעמידות בספק את התחייבויותיה של החברה הישראלית למשטרת לקוחותיה בגין הפרת זכויות אדם".
NSO דוחק לאחור
פקידי NSO דוחקים בחוזקה את המחקר. ב הַצהָרָה, הם כתבו:
הדו"ח של סיפורים אסורים מלא בהנחות שגויות ובתיאוריות לא מאוששות המעוררות ספקות רציניים לגבי מהימנותם ואינטרסים של המקורות. נראה כי "המקורות הלא מזוהים" סיפקו מידע שאין לו בסיס עובדתי והוא [רחוק] מהמציאות.
לאחר בדיקת טענותיהם, אנו מכחישים בתוקף את הטענות הכוזבות שהועלו בדו"ח שלהם. מקורותיהם סיפקו להם מידע שאין לו בסיס עובדתי, כפי שעולה מהעדר תיעוד תומך לרבות מטענותיהם. למעשה, ההאשמות הללו כה מקוממות ורחוקות מהמציאות עד ש-NSO שוקל תביעת לשון הרע.
ל-NSO Group יש סיבה טובה להאמין שהטענות שמועלות על ידי מקורות ללא שם לסיפורים אסורים מבוססות על [א] פרשנות מטעה של נתונים מאת מידע בסיסי נגיש וגלוי, כגון שירותי HLR Lookup, שאין להם כל קשר לרשימת יעדי הלקוחות של פגסוס או כל NSO אחר מוצרים. שירותים כאלה זמינים בגלוי לכל אחד, בכל מקום ובכל זמן והם נמצאים בשימוש נפוץ על ידי סוכנויות ממשלתיות למטרות רבות, כמו גם על ידי חברות פרטיות ברחבי העולם.
הטענות שהנתונים דלפו מהשרתים שלנו הם שקר מוחלט ומגוחך, שכן נתונים כאלה מעולם לא היו קיימים באף אחד מהשרתים שלנו.
בהצהרה שלה, פקידי אפל כתבו:
אפל מגנה באופן חד משמעי מתקפות סייבר נגד עיתונאים, פעילי זכויות אדם ואחרים המבקשים להפוך את העולם למקום טוב יותר. במשך למעלה מעשור, אפל מובילה את התעשייה בחדשנות אבטחה, וכתוצאה מכך, חוקרי אבטחה מסכימים שאייפון הוא המכשיר הנייד הצרכני הבטוח והמאובטח ביותר בשוק. התקפות כמו אלה המתוארות הן מתוחכמות ביותר, עולות מיליוני דולרים לפיתוח, לעתים קרובות בעלות חיי מדף קצרים, והן משמשות למטרות ממוקדות לאנשים ספציפיים. למרות שזה אומר שהם לא מהווים איום על הרוב המכריע של המשתמשים שלנו, אנחנו ממשיכים לעבוד ללא לאות להגן על כל הלקוחות שלנו, ואנחנו כל הזמן מוסיפים הגנות חדשות למכשירים שלהם נתונים.
עבריין סדרתי
לקריאה נוספת
ניצלו באופן פעיל פגמי iOS שחוטפים מכשירי אייפון שתוקנה על ידי אפלחוקרים באותה תקופה קבעו שהודעות טקסט שנשלחו למתנגדי איחוד האמירויות, אחמד מנסור, ניצלו שלוש נקודות תורפה של אייפון כדי להתקין את פגסוס במכשיר שלו. מנסור העביר את ההודעות לחוקרי Citizen Lab, שקבעו שדפי האינטרנט המקושרים הובילו לשרשרת של מעללים שהיו מפרקים את האייפון שלו ומתקינים את תוכנת הריגול של פגסוס.
לקריאה נוספת
iMessage zero-day בלחיצה אפסית משמשת לפריצת מכשירי האייפון של 36 עיתונאיםבשנת 2019, צוות המחקר של Google Project Zero exploit מצא את NSO מנצל נקודות תורפה של יום אפס שהעניקו שליטה מלאה במכשירי אנדרואיד עם תיקון מלא. ימים לאחר מכן, אמנסטי אינטרנשיונל ו-Citizen Lab חשפו כי הטלפונים הניידים של שני פעילי זכויות אדם בולטים היו ממוקד שוב ושוב עם פגסוס. באותו חודש, פייסבוק תבע את NSO, לכאורה בגין התקפות שהשתמשו בניצולים ללא קליקים כדי לסכן את הטלפונים של משתמשי WhatsApp.
בדצמבר האחרון, Citizen Lab אמרה כי מתקפה ללא קליקים שפותחה על ידי NSO ניצלה את מה שהיה פגיעות של יום אפס ב-iMessage של אפל כדי לכוון 36 עיתונאים.
הניצולים ש-NSO וחברות דומות מוכרות הם מורכבים ביותר, יקרים לפיתוח ואפילו יקרים יותר לרכישה. לא סביר שמשתמשי סמארטפונים יהיו באחריות לאחת מההתקפות הללו, אלא אם כן הם נמצאים על הכוונת של ממשלה עשירה או סוכנות אכיפת חוק. אנשים בקטגוריה האחרונה הזו צריכים לבקש הדרכה ממומחי אבטחה כיצד לאבטח את המכשירים שלהם.
