טלטלה ב-NSO: פייסבוק תובעת אותה על פריצה לווטסאפ

פייסבוק תובעת את NSO הישראלית בעקבות פרצה בווטסאפ שניצלה מפתחת תוכנות הריגול, ושלדברי החברה שימשה בין היתר למעקב אחרי 100 עיתונאים ופעילי זכויות אדם לפחות – כך הודיעה הערב ענקית הטכנולוגיה.

לתביעה המלאה לחצו כאן

"במאי, ווטסאפ הודיעה שזיהתה וחסמה מתפקת סייבר מסוג חדש, שכוללת פגיעות בשירות שיחות הווידיאו", אמר מנהל ווטסאפ, וויל קת'קארט, במאמר שפרסם בוושינגטון פוסט.  "עכשיו, אחרי חודשים של חקירה, אנחנו יכולים להגיד בוודאות מי עומר מאחורי המתקפה. היום הגשנו תביעה לבית משפט פדרלי, שמסבירה מה קרה ושמייחסת את הפרצה ל-NSO".

אפליקציית ווטסאפ | צילום: Chris Ratcliffe

לדברי קת'קארט, הקישור ל-NSO נעשה לאחר שהתברר שהתוקפים השתמשו בשרתים שנקשרו קודם לכן לחברה. "בנוסף, קשרנו כמה חשבונות ווטסאפ ששימשו במתקפה בחזרה ל-NSO. בשעה שהמתקפה שלהם היתה מאוד מתוחכמת, הניסיונות שלהם לכסות את עקבותיהם לא היו מוצלחים לגמרי", הוא הוסיף.

כך פעלה השיטה: משתמש בווטסאפ קיבל הודעה על שיחת וידיאו נכנסת לכאורה, אך למעשה מדובר היה בשיחה רגילה. אחרי שהטלפון צלצל, התוקף העביר קוד זדוני שנועד להדביק את הטלפון של הקורבן בתכנת הריגול של NSO, פגסוס.

תוכנה זו מספקת גישה לכל המידע שעל המכשיר וכן מאפשרת לתוקף לשלוט בו מרחוק ולהוציא מידע בזמן אמת. כך, למשל, הוא יכול להפעיל בחשאי את המיקרופון ואת המצלמה ולבלוש בזמן אמת אחרי פעילותו. הקורבן אפילו לא צריך לענות לשיחה כדי שהמכשיר יידבק ברוגלה.

פייסבוק גם זיהתה את קרבנות המתקפה, שכללה לדבריה לפחות 100 פעילי זכווית אדם, עיתונאים ופעילים אחרים בארגוני חברה אזרחית. "מדובר בקריאת השכמה לחברות טכנולוגיה, לממשלות ולכל משתמשי האינטרנט", אמר קת'קארט. "כלים שמאפשרים מעקב אחרי החיים הפרטיים שלנו מנוצלים לרעה, והגעת הטכנולוגיה לידיים של חברות וממשלות לא אחראיות מסכנת את כולנו".

מטה NSO בהרצליה | צילום: איי אף פי

הוא הזכיר שבעבר NSO הכחישה שהיא קשורה למתקפה: "אבל החקירה שלנו הוכיחה אחרת. עכשיו אנחנו מבקשים שהיא תישא בדין לפי החוקים בארה"ב. בווטסאפ אנחנו מאמינים שלאנשים יש זכות יסוד לפרטיות ושלאף אחד אחר לא צריכה להיות גישה לשיחות הפרטיות שלנו, אפילו לא לנו. טלפונים ניידים מספקים לנו שירות נהדר, אבל כשהם מופנים נגדנו הם חושפים את המיקום ואת ההודעות הפרטיות שלנו, ומקליטים שיחות רגישות שלנו עם אחרים".

ת'קארט ציין כמה לקחים מהגילוי, ובהם מחויבות של חברות טכנולוגיה להימנע מיצירת דלתות אחוריות מכוונות במוצרים שלהן, העמקת שיתוף הפעולה בין החברות כדי להגן ולקדם זכויות אדם, והימנעות של חברות טכנולוגיה ממתקפות סייבר זו נגד זו. "לבסוף, יש לעשות הרבה ויתר כדי להגדיר את הפיקוח הראוי על נשקי סייבר. NSO אמרה בספטמבר ש"הגנה על זכויות אדם מוטמעת בכל ההיבטים" של העבודה שלה.

ואולם, היא טוענת בתוקף שאין לה שום ידע על מטרות הרוגלה שלה. שני הדברים לא יכולים להיות נכונים. לכל הפחות, מנהיגים של חברות טכנולוגיה צריכים להצטרף למפקח המיוחד של האו"ם, דייוויד קיי, שקרא לאיסור מיידי על מכירה, העברה ושימוש בתוכנות ריגול מסוכנות".

בכתב התביעה עצמו מציינת פייסבוק שבין אפריל למאי השנה עשתה NSO שימוש בשרתי ווטסאפ בארה"ב ובמדינות אחרות על מנת לשלוח את הרוגלה שלה לכ-1,400 טלפונים ומכשירים ניידים.

פייסבוק מציינת גם שלבית המשפט הפדרלי במחוז הצפוני של קליפורניה יש סמכות לדון במקרה משום ש-NSO טירגטה את תושבי קליפורניה. זאת משום שכמה מהשרתים של וואסטפ ממוקמים בקליפורניה.

 NSO טענה בעבר שאינה מבצעת מעקבים על מספרי טלפון אמריקאיים, טענה שלפי כתב האישום של פיייסבוק מוטלת עתה בספק. החברה טענה גם שאינה מרגלת אחרי מספרים ישראליים.

התביעה מספקת תיאור של אופן הפעולה של NSO במקרה זה. "בערך בין ינואר 2018 למאי 2019, הנתבעים יצרו חשבונות ווטסאפ שבאמצעותם שלחו את הקוד הזדוני למכשירי המטרה באפריל ובמאי 2019", נכתב. "החשבונות נוצרים באמצעות מספרי טלפון של מדינות שונות, כולל קפריסון, ישראל, ברזיל, אינדונזיה, שבדיה והולנד.

ב-2019 הנתבעים גם החכירו שרתים במדינות שונות, כולל ארה"ב, על מנת לחבר את מכשירי המטרה לרשת של שרתים מרוחקים שנועדו להפיץ את הנוזקה ולהעביר פקודות למכשיר המטרה. רשת זו כללה שרתי פרוקסי וממסרים ('שרתים זדוניים'). השרתים הזדוניים היו בבעלות Choopa, Quadranet ואמזון, בין השאר. כתובת ה-IP של אחד השרתים הזדוניים הללו קושרה בעבר לנתבעים".

לדברי פייסבוק, NSO ביצעה הנדסה הפוכה של ווטסאפ, ופיתחה תוכנה שאפשרה לה לזייף תנועה לגיטימית ברשת התעבורה של האפליקציה על מנת לשלוח את הקוד הזדוני דרך שרתי ווטסאפ עצמה. "התוכנה היתה מתוחכמת, ופותחה על מנת לנצל רכיבים ספציפיים בפרוטוקולים ובקוד של ווטסאפ. על מנת לפרוץ, הנתבעים ניתבו את הקוד הזדוני דרך השרתים של התובעים".

מ-NSO נמסרה תגובה ארוכה שברובה אינה רלוונטית לתביעה ולטענות שמועלות בה. "כלכליסט" בחר להביא רק את החלק הרלוונטי, להלן: "אנו דוחים בכל תוקף את הטענות של פייסבוק".