אמנסטי: תוכנת הריגול של NSO שימשה את הרשויות במרוקו לרגל אחר עיתונאי חוקר

תוכנת הריגול פגסוס של NSO הישראלית שימשה את הרשויות במרוקו על מנת לרגל אחר העיתונאי המרוקאי עומאר ראדי, גם אחרי שהחברה התחייבה פומבית למנוע ניצול לרעה של מוצריה על מנת לפגוע בזכויות אדם – כך לפי תחקיר של ארגון זכויות האדם אמנסטי שפורסם הלילה. NSO בתגובה: נבדוק את הטענות.

לפי התחקיר, הריגול אחרי ראדי התבצע במשך כשנה, בין ינואר 2019 לינואר 2020. ראדי, עיתונאי חוקר זוכה פרסים שעבד בעבור שורת כלי תקשורת בינלאומיים וחשף קשרים בין אינטרסים תאגידיים למהלכים פוליטיים, שחיתות ופגיעה בזכויות אדם במרוקו, הוא אחד מעשרה פעילים שלדברי אמנסטי סובלים מהטרדה מתמשכת מצד השלטונות במרוקו. בדצמבר האחרון הוא נעצר בעקבות ציוץ שפרסם באפריל 2019, ובו ביקר את מערכת המשפט. במרץ הוא הורשע ונידון לארבעה חודשי מאסר על תנאי וקנס של כ-50 דולר.

מעבדת אבטחת המידע של אמנסטי, שבחנה את הטלפון הנייד של ראדי, מצאה עדויות לכך שהוא היה יעד של מתקפה דומה לזה שהופעלה נגד פעיל זכויות האדם המרוקאי מעטי מונג'ב, שנחשפה על ידי אמנסטי לפני כחצי שנה. "באמצעות החקירה שלנו הצלחנו לאשר שהטלפון שלו טורגט והיה תחת מעקב בתקופה שבה התנהל משפטו", נכתב בתחקיר של אמנסטי. "זה מדגים איך פעילי זכויות אדם נאלצים להתמודד לעתים תכופות עם האתגר הכפול של מעקב דיגיטלי לצד טקטיקות הפללה אחרות של הרשויות במרוקו".

לדברי אמנסטי, פגסוס הותקנה על מכשירו של ראדי באמצעות שיטה שמכונה "הזרקת רשת", ושמאפשרת להתקין את התוכנה ללא צורך בפעולה אקטיבית מצדו של הקרבן. שיטה זו, שזוהתה בדו"ח הקודם של אמנסטי, נחשבת למתקדמת יותר ביחס לשיטה המוכרת יותר של NSO ובה מתבקש הקרבן ללחוץ על קישור שנשלח בהודעת SMS. "בשעה שטכניקות אחרות התבססו במידה מסוימת על הצורך של נקיטה בפעולה מצד המשתמש, הזרקת רשת מאפשר לבצע ניתוב אוטומטי וחשאי של דפדפן המכשיר לאתרים זדוניים שבשליטת התוקף. הדבר אפשרי רק כאשר התוקפים יכולים לתמרן ולשלוט בתעבורת האינטרנט של היעד. במקרים של עומאר ומעטי, הדבר קרה באמצעות חיבור האינטרנט הסלולרי שלהם".

לפי דיווח של ביזנס אינסיידר מינואר השנה, NSO מספקת ללקוחותיה אנטנת סלולר מתחזה, שמאפשרת "לחטוף" את תעבורת האינטרנט של מכשירים שבקרבתה, וכך לבצע את המתקפה ולהשתיל את פגסוס במכשיר של הקרבן. כל מה שצריך הוא להציב את האנטנה המתחזה בקרבת מקום לקרבן, למשל בסמוך לביתו, ולחכות שיגיע לשם.

בניתוח הטלפון של ראדי מצאו חוקרי אמנסטי עדויות לכך שפגסוס הושתלה באמצעות אותו דומיין ששימש להשתלת התוכנה במכשירו של מונג'ב, free***nloads(.)com (כלכליסט צנזר חלק מכתובת האתר, על מנת שלא לסכן את הקוראים). לדברי הארגון, המתקפות נגד ראדי באמצעות אתר זה בוצעו לאורך 2019, ב-27 בינואר, ב-11 בפברואר וב-13 בספטמבר. "בנוסף לאתר זיהינו את אותן ראיות להפעלת תוכנה זדונית. זה סיפק לנו ראיות נוספות לשימוש באותה תוכנת ריגול בשני המקרים, ועל סמך החפיפה בתשתית במאפיינים של הקישורים שנעשה בהם שימוש, אנחנו מאמינים שמדובר בפגסוס של NSO".

האתר נסגר ב-10 באוקטובר, אך ב-29 בינואר השנה בוצעה מתקפה נוספת נגד ראדי, מאתר בכתובת ur***sh(.)net, שנרשמה ב-6 בנובמבר, כמה שבועות אחרי הפרסום הקודם של אמנסטי. "הדבר מצביע על כך שהפרסום שלנו הוביל את התוקפים לשנות את התשתית. מעבר לתזמון, הפרטים הטכניים של המתקפה, כולל ניתובים לאותו אתר, ומתקפה עם ממצאים פורנזיים תואמים, הם ראיה חזקה לשימוש בכלים של NSO נגד עומאר ראדי", נכתב בדו"ח.

באמנסטי ציינו עוד שהמתקפה האחרונה נגד ראדי התבצעה ימים ספורים אחרי ש-NSO התחייבה שלא יעשה שימוש במוצריה להפרת זכויות אדם. "ברור שלא ניתן לסמוך על קבוצת NSO", אמרה דנה אינגלטון, סגנית מנהלת אמנסטי טק, בהודעה לעיתונות. "בשעה שהיא פותחת במתקפת יח"צ להלבנת תדמיתה, הכלים מתוצרתה איפשרו את המעקב הבלתי חוקי אחר עומאר ראדי, עיתונאי זוכה פרסים ואקטיביסט. גם לאחר שהוצגו לקבוצת NSO הראיות המצמררות שהרוגלות שלה משמשות לעקוב אחר פעילים במרוקו, נראה ש-NSO בחרה לשמור על ממשלת מרוקו כלקוחה. אם הקבוצה לא תעצור את השימוש לרעה במוצריה, יש לאסור על מכירת מוצריה לממשלות שסביר שישתמשו בהם להפרות זכויות אדם".

מ-NSO נמסר בתגובה לכלכליסט: "חברת NSO מתייחסת לדו"ח ברצינות, והעבירה את תגובתה הישירה לאמנסטי, לפיה תפתח בבדיקת הטענות שהועלו. כחברה המובילה בתחומה, NSO פעלה באופן תקדימי וייחודי לאימוץ העקרונות המנחים של האו"ם לעסקים וזכויות אדם ואנו פועלים על פיהם כדי לוודא שימוש ראוי במוצרינו. עם זאת, הטענות שנשלחו על ידי הארגון, אלינו ולתקשורת במקביל, דורשות השלמה לשם בדיקה יסודית - האם הפרסומים קשורים ללקוחות או למוצרי החברה - וחבל שהארגון לא פנה אלינו מבעוד מועד עם מלוא הפרטים, ככל שרצונה הכן הינה למנוע הפרות זכויות אדם ולאפשר בדיקה יסודית ללא מניעים זרים. החברה מנועה מפירוט לקוחותיה, מטעמים מסחריים ומבצעיים ברורים".

בניגוד למשתמע מתגובת NSO, פרטי התחקיר נשלחו לחברה כבר ב-9 ביוני, כפי שניתן לראות מתגובת החברה שצורפה אליו. "קיבלנו את מכתבכם מה-9 ביוני 2020 בנוגע לטענות למתקפה נגד פעיל זכויות אדם במרוקו באמצעות הטכנולוגיה שלנו", נפתחת התגובה שנשלחה בשם בכיר החברה, חיים גפלנד. "אנחנו מאוד מוטרדים מהטענות, נבחן מיד את המידע ונפתח בחקירה אם יש צורך". ב-NSO אמרו לכלכליסט בהקשר זה שיש הבדל בין המידע הכללי שהועבר מוקדם יותר לחברה ל"מידע שמראה את הדברים שהם טוענים כביכול".