תוכנת הריגול פגסוס של NSO. ממשיכה לנצל פרצות | צילום: גטי
למרות הסנקציות: NSO הצליחה להחדיר את פגסוס לאייפונים גם ב-2022
דוח של מכון סיטיזן לאב מגלה כי אף על פי שבנובמבר 2021 הוכנסה החברה הישראלית לרשימה השחורה של מחלקת הסחר בארה"ב, תוכנת הריגול שלה מצאה את דרכה למכשירי אייפון של קורבנות. התוכנה, כפי שהתגלה, ניצלה לשם כך שלוש פרצות זירו-קליק חדשות
במהלך 2022 הצליחה NSO הישראלית להחדיר את פגסוס למכשירי אייפון של קרבנות תוך שימוש בשלוש פרצות זירו-קליק חדשות שעברו בהצלחה את הגנות הגרסאות העדכניות ביותר של מערכת ההפעלה של אפל – כך לפי דוח חדש של מכון המחקר סיטיזן לאב (Citizen Lab) באוניברסיטת טורנטו, שפורסם היום. הדו"ח מבוסס על בדיקת מכשירי אייפון של שני פעילי זכויות אדם במקסיקו, שהודבקו בפגסוס.
הממצאים מצביעים על כך שהסנקציות האמריקאיות נגד החברה לא השיגו חלק מיעדיהן. סיטיזן לאב שיתפה את ממצאיה עם אפל, שחסמה את הפרצה העדכנית ביותר החל מעדכון 16.3.1 ל-iOS, שהופץ בפברואר השנה (2 הפרצות האחרות נחסמו כנראה בעקבות עדכוני תוכנה קודמים). אפל כבר מנהלת תביעה מתוקשרת נגד NSO, שהוגשה בעקבות פרצת זירו-קליק שזיהתה סיטיזן לאב בספטמבר 2021. שלוש הפרצות הנוכחיות עשויות להצטרף לתביעה הנוכחית, או להיות בסיס להגשת תביעה חדשה ורחבה יותר.
בנובמבר 2021 הוכנסה NSO לרשימה השחורה של מחלקת הסחר של ארה"ב ונאסר על חברות אמריקאיות לעשות עמה עסקים ללא אישור מיוחד מהמחלקה. להכנסת החברה לרשימה היו כמה מטרות. אחת המרכזיות שבהן - הצרת צעדיה של החברה מבחינה עסקית - נחלה הצלחה ולפי דיווחים לאחר הכניסה לרשימה נקלעה NSO לקשיים כספיים.
מטרה אחרת היתה למנוע מהחברה גישה למכשירים ולמערכות הפעלה של חברות אמריקאיות, בהן אפל, מיקרוסופט ואינטל, ובכך להקשות עליה בזיהוי ובניצול פרצות, כמו גם בפיתוח ובשכלול הרוגלה שלה. מטרה זו, כפי שעולה מהדוח של סיטיזן לאב, לא הושגה, שכן, כאמור, לאורך 2022 הצליחה NSO לנצל לפחות שלוש פרצות זירו-קליק (פרצות שלצורך ניצולן לא נדרשת פעולה אקטיבית מצד הקרבן) בגרסאות 15 ו-16 של iOS, מערכת ההפעלה של האייפון. גרסה 16 היא הגרסה העדכנית ביותר של מערכת ההפעלה, שהושקה בסתיו 2022.
"אני לא חושב שהיתה ציפייה ריאלסטית שהכניסה לרשימה השחורה תמנע מ-NSO גישה לאייפונים או לתוכנה של אפל", אמר ל"כלכליסט" ד"ר ביל מרזק מסיטיזן לאב. "כל אחד יכול בקלות להיכנס לחנות של אפל ולקנות טלפון או להוריד עדכון תוכנה משרתי אפל בלי לחשוף מי המעסיק שלו - אבל זה לא אומר שהמהלך נכשל. איך שאני רואה את זה, הוא הוביל את ממשלת ישראל להגביל את יצוא הרוגלות - מה שהקשה על חברות בתעשייה זו לרכוש לקוחות חדשים". מרזק הוביל את חיבור הדוח של סיטיזן לאב, לצד ג'ון סקוט-ריילטון, בהאר עבד אל-ראזק ורון דייברט.
הדו"ח של סיטיזן לאב מבוסס על בדיקת מכשירי שני קורבנות שזוהו כנגועים בפגסוס. הראשון, חורחה סנטיאגו אגווירה אספינוזה, הוא מנהל ארגון זכויות האדם Centro PRODH. אגווירה כבר זוהה בעבר, ב-2017, כקורבן של ניסיון הדבקה בפגסוס. לפי הממצאים, בסבב הנוכחי פגסוס היתה פעילה על מכשירו בין ה-22 ביוני ל-13 ביולי 2022. הקרבן השנייה היא עובדת הארגון מריה לואיסה אגווילי רודריגז, שמכשירה הודבק לראשונה ב-23 ביוני 2022, וכנראה שתי פעמים נוספות בשבועות שלאחר מכן. ניתוח פורנזי של מכשירים אלו זיהה אינדיקטורים לשלוש פרצות זירו-קליק חדשות שמנצלות חורי אבטחה במגוון אפליקציות ותכונות באייפון.
"הדוח של סיטיזן לאב מבוסס על בדיקת מכשירי קורבנות שזוהו כנגועים בפגסוס ונפרצו בין אוגוסט לדצמבר 2021 עם FORCEDENTRY ופרצות מתוחכמות פחות שדורשות מהקורבן ללחוץ על קישור זדוני על מנת להביא להתקנת פגסוס על מכשירו. ניתוח פורנזי של מכשירים אלה זיהה אינדיקטורים לשלוש פרצות זירו-קליק חדשות שמנצלות חורי אבטחה במגוון אפליקציות ותכונות באייפון.
הפרצה העדכנית ביותר וזו שעליה יש לחוקרים את המידע הרב ביותר היא PWNYOURHOME, שפעילותה זוהתה בגרסאות 15 ו-16 של iOS. "מדובר בפרצה דו-שלבית", אמר מרזק. "השלב הראשון מנצל את היישום לשליטה במכשירי בית חכם HomeKit. אנחנו לא יודע איזה שימוש נעשה בדיוק ב-HomeKit, אבל ראינו עדויות לכך שהתוקפים שלחו הדרכו הודעות זדוניות לקורבן, שפוענחו על ידי הטלפון שלו. לאחר השלב הראשן, התוקפים שלחו תמונה זדונית דרך iMessage. כשטלפון הקורבן פענח את התמונה, היא הפעילה קוד זדוני בסביבת העבודה הסגורה של אפל BlastDoor (שאמורה לבודד את פענוח התמונות משאר הטלפון, כך שאם יש קוד זדוני הוא יישאר בתוכה ולא יגרום נזק לטלפון). עם זאת, התוקפים הצליחו לפרוץ את ההגנות של BlastDoor ולהתקין את פגסוס על הטלפון".
במקרה של PWNYOURHOME, המכשיר המותקף הצליח לזהות את המתקפה בזמן אמת הודות ליכולת Lockdown Mode. היכולת, שהושקה בשנה שעברה, מיועדת למשתמשים שחוששים שהם תחת מתקפה של תוכנות ריגול דוגמת פגסוס. עם הפעלתה, מוגבלות יכולות רבות של המכשיר החשופות במיוחד לניצול על ידי תוכנות ריגול לצורך חדירה אליו. לפי סיטיזן לאב, מכשירים שהותקפו דרך פרצה זו בעת שהיו ב- Lockdown Mode הציגו לבעליהם הודעה על ניסיון החדירה.
פרצה שנייה, FINDMYPWN, היתה פעילה כנראה רק ב-iOS 15, ואופן פעילותה דומה מאוד לפרצה הראשונה, פרט לכך שהיא עושה שימוש בשלב הראשון ביישום Find My במקום ב-HomeKit. הפרצה השלישית, LATENTIMAGE, היתה פעילה בינואר 2022 ב-iOS 15, והמידע עליה הוא המוגבל ביותר. "ראינו שאפליקציית Find My קרסה כשהטלפון נפרץ, אבל לא ראינו ראיות לשלב שני דרך iMessage. היישומים Find My ו-HomeKit הם יישומים מובנים. גם אם המשתמש לא עושה בהם שימוש, הם מותקנים על הטלפון ורצים עליו", אמר מרזק.
מ-NSO נמסר בתגובה: "סיטיזן לאב פרסמה שוב ושוב דו"חות שלא הצליחו לקבוע את הטכנולוגיה שבשימוש וסירבו לשתף את המידע שבבסיסם. NSO פועלת לפי רגולציה קפדנית והטכנולוגיה שלה נמצאת בשימוש לקוחת ממשלתיים כדי להלחם בטרור ובפשיעה בכל העולם".
ג'ון סקוט-ריילטון, חוקר בכיר בסיטיזן לאב, אמר ל"כלכליסט" בתגובה לטענות NSO: "יש לנו ביטחון גבוה בממצאים שלנו, וביכולת שלנו לזהות את פגסוס. NSO צריכה להפסיק להשתמש בטקטיקות של חברות טבק להודות בכך שהמוצרים שלה גורמים לנזקים רבים".