דו"ח סיטיזן לאב: לסייבר הישראלי יש בעיות מוסר

לפני חמש שנים, כשמכון המחקר סיטיזן לאב של אוניברסיטת טורונטו פרסם את המחקר הראשון שלו על NSO הישראלית, הוא הפך את החברה האלמונית לאחת החברות המותקפות בעולם. תשומת הלב העולמית שקיבלה הובילה לתביעות משפטיות בכל העולם, כולל אחת של פייסבוק, לקריאות מצד פעילים, מחוקקים והאו"ם להצר את צעדיה, ואילצה אותה לשנות את דרכי הפעולה ובחירת הלקוחות שלה.

דו"ח חדש שסיטיזן לאב פרסמה בשבוע שעבר בשיתוף פעולה עם מיקרוסופט, מאיים לעשות אותו הדבר לחברה ישראלית אלמונית אחרת: קנדירו (Candiru). גם היא, כמו NSO בעבר, פעלה עד עכשיו בעיקר בצללים. גם היא מפתחת תוכנות ריגול רבות־עוצמה שמיועדות למדינות ולגופי ממשל, וגם היא תעלה עכשיו על המוקד לאור הממצאים שנחשפים, ובראשם: התוכנה של קנדירו שימשה לריגול אחרי יותר מ־100 פעילי זכויות אדם, מתנגדי משטר, עיתונאים ואקדמאים ממדינות כמו איראן, לבנון, תימן, בריטניה, טורקיה ואפילו ישראל.

״יש בעיה עם כל התעשייה״

"אני מקווה שאנשים יתחילו להבין שהבעיות והנזקים שקשורים למעקב מסוג זה לא תלויים רק בחברה אחת", אמר ל"כלכליסט" ד"ר ביל מרזק, עמית מחקר בכיר בסיטיזן לאב וחוקר באוניברסיטת קליפורניה בברקלי, שהוביל את המחקר הנוכחי. "אנחנו שומעים הרבה על NSO, והם שלטו בכותרות. בכל פעם שיש דיווח על רוגלה, אנשים חושבים על NSO. אבל זו בעיה רחבה יותר. זה לא שיש רק חברה רעה אחת או שתיים בקהילה ההאקינג, יש בעיות עם כל התעשייה".

ביל מרזק | צילום: אוראל כהן

קנדירו נוסדה ב־2014 על ידי יעקב ויצמן וערן שורר. יו"ר החברה, איציק זק, הוא גם בעל המניות הגדול ביותר שלה. היא עושה מאמצים ניכרים לשמור את פעילותה חשאית, ולאורך השנים שינתה את שמה כמה פעמים. כמו שחקניות ישראליות אחרות בתחום, היא מגייסת את מרבית עובדיה מ־8200, אבל מקפידה מאוד לשמור על אלמוניות מוחלטת ברשת. אין לה אתר אינטרנט ושמה אפילו לא מופיע בפרופיל הלינקדאין של מנהליה, שלצד תיאור התפקיד שלהם כותבים רק “חברת סטארט־אפ”. 

לפי תביעה שהגיש עובד לשעבר בחברה, בשנתיים הראשונות להקמתה היו לקנדירו מכירות של כמעט 30 מיליון דולר, ועם לקוחותיה נמנות מדינות באירופה, בריה"מ לשעבר, המפרץ הפרסי, אסיה ואמריקה הלטינית. לפי דיווחים קודמים של גופי אבטחת מידע ואתרי חדשות, לקוחות קנדירו כוללים את אוזבקיסטן, סעודיה, איחוד האמירויות, סינגפור וקטאר.

המחקר הנוכחי ממפה לראשונה את היקף ושיטות הפעילות של החברה, וגם מנתח איך פועלת הרוגלה שלה. אף שהוא מתמקד ברוגלה שהוחדרה למחשב מבוסס ווינדוס, לדברי קנדירו היא מציעה פתרונות ריגול גם לאייפון ולאנדרואיד, תחום שבו היא מתחרה ישירות ב־NSO.

החוקרים זיהו ומיפו 764 כתובות IP של אתרים ושרתים ששייכים לקנדירו. "גילינו כמה שמתחזים לאתרים של עמותות זכויות אדם או ארגוני אקטיביסטים” סיפר מרזק. ”למשל, אתר שנראה כמו ניסיון להתחזות לאתר של ארגון אמנסטי. היו גם אתרים שהתחזו לאתרים של אתרי חדשות כמו CNN, של חברות טכנולוגיה מוכרות ושל ארגונים בינלאומיים, כמו אתר מזויף של השליח המיוחד של מזכ"ל האו"ם לתימן". לאתרים אחרים היו כתובות בעלות הקשרים אקדמיים, מה שיכול להצביע על כך שבין המטרות היו גם אנשי אקדמיה. כן זיהתה סיטיזן לאב דומיינים שמתחזים לאלו של אתרי חדשות או גופים מקומיים במדינות כמו רוסיה, אינדונזיה, איראן, טורקיה, קפריסין, אוסטריה, הרשות הפלסטינית וסעודיה. הסריקות העלו מידע שלפיו לקוחות קנדירו פועלים מסעודיה, איחוד האמירויות, הונגריה ואינדונזיה. "יש כנראה עוד לקוחות, אלו רק הלקוחות שמצאנו", אמר מרזק.

שולחת הודעות בשם הקורבן

הישג מרכזי של המחקר הוא איתור עותק של הרוגלה של קנדירו וניתוחה. "מצאנו מחשב של קורבן שתקשר עם חלק מהאתרים שמיפינו", סיפר מרזק. "הצלחנו לבצע ניתוח פורנזי של המחשב ולהוציא עותק של הרוגלה, כדי להבין את אופן הפעילות שלה".

בין השאר זיהו בסיטיזן לאב שהרוגלה נשארת על המחשב גם אחרי ביצוע אתחול או התקנת עדכוני תוכנה. היא מסוגלת לבלוש ולהעתיק סיסמאות וקוקיז מדפדפנים, וגם מאפשרת למפעיל לשלוח הודעות מחשבונות פעילים של אנשים על מחשביהם. "אם אני מחובר במחשב שלי לפייסבוק, ג'ימייל או חשבון דומה, אז מפעיל הרוגלה יכול להשתמש בו כדי לשלוח הודעה בשמי ישירות מחשבון שלי למישהו אחר. זה פיצ'ר מעניין שלא ראינו ברוגלות אחרות, היכולת להתחזות למטרה ישירות מהמחשב הנגוע”.

סיטיזן לאב שיתפה עותק של הרוגלה עם מיקרוסופט וניתוח שביצעה האחרונה זיהה יותר מ־100 קורבנות בכל העולם, ובהם פוליטיקאים, פעילי זכויות אדם, עיתונאים, אקדמאים, עובדי שגרירות ופעילים פוליטיים.  לדברי החברה, כמחצית מהקרבנות אותרו ברשות הפלסטינית, ומרבית הנותרים בישראל, איראן, לבנון, תימן, ספרד, בריטניה, טורקיה, ארמניה וסינגפור. במיקרוסופט מדגישים שזיהוי קרבנות במדינה מסוימת לא מעיד על כך שסוכנות באותו מדינה היא לקוח של קנדירו, שכן ריגול בינלאומי הוא שכיח. "במשך שבועות ניתחנו את הרוגלה, תיעדנו איך היא עובדת, ובנינו הגנות שיכולות לאתר ולנטרל אותה", כתבה מנהלת יחידת האבטחה הדיגיטלי של מיקרוסופט, כריסטין גודווין, בפוסט שפרסמה בשבוע שעבר. "קראנו לנוזקה הזו Devil's Tongue (לשון השטן)".

לדברי גודווין, שיתוף הפעולה של מיקרוסופט עם סיטיזן לאב הוא חלק ממאמץ משפטי, טכני ותדמיתי רחב יותר שמובילה החברה על מנת להתמודד עם הסכנות של חברות שבונות ומוכרות נשקי סייבר. "החברות האלו מגדילות את הסיכון שכלי הנשק ייפלו לידיים הלא נכונות ויסכנו זכויות אדם", היא הבהירה. "זו הסיבה, למשל, שהגשנו תצהיר ידידת בית המשפט בתביעה של ווטסאפ נגד NSO".

בעל המניות הגדול בקנדירו, איציק זק | צילום : יח"צ

מחברי הדו"ח בסיטיזן לאב מתחו ביקורת חריפה על משרד הביטחון הישראלי, שמאשר את היצוא של מוצרי קנדירו וחברות דומות למדינות אחרות. "למרבה הצער, המשרד הוכיח שהוא לא מוכן להעמיד את חברות הריגול תחת הביקורת הקפדנית שדרושה על מנת למנוע פגיעה מהסוג שאנחנו וארגונים אחרים זיהינו", נכתב. "הליך קבלת רישיון היצוא במדינה אטום כמעט לחלוטין, וחסרים לו אפילו המדדים הבסיסיים ביותר של אחריות ציבורית ושקיפות.

מרזק אמר ל"כלכליסט" שהוא מקווה שהדו"ח החדש ידחף לשינוי המצב: "הפתרונות חייבים להיות רחבים יותר מחברה אחת ספציפית. חייב להיות פתרון גדול יותר, זה לא ש־NSO מפרסמת מדיניות זכויות אדם והכל בסדר. צריך רגולציה לכל התעשייה, שתתמקד בזכויות אדם ובמניעה של יצוא הכלים האלו למשטרים מדכאים שישתמשו בהם כדי לרגל אחרי עיתונאים ואקטיביסטים".

ומה אתה חושב שיקרה בפועל?

"בדומה למה שראינו עם NSO וחברות אחרות שדיווחנו עליהן, אני מעריך שהחברה תגיד, 'אנחנו לא יכולים לדבר על איך משתמשים בכלים שלנו, אבל הם מיועדים ללחימה בטרור ובפשיעה, ואנחנו יכולים להגיד לכם שהם מנעו פיגועים'. הם אומרים דברים כאלו כדי לשפר את התדמית של החברה, מבלי להתמודד עם הדאגות האמיתיות. הם ינסו לצאת מהצללים ולעשות עבודת יח״צ כדי לגרום לחברה להיראות טוב בלי להתמודד עם הסוגיות סביב הרוגלה שלהם".

חברת קנדירו סרבה להגיב לידיעה.