כך פועל פגסוס, כלי המעקב המתוחכם של NSO הישראלית

כך עובדת תוכנת המעקב העוצמתית של החברה הישראלית, שנחשף בפרויקט מקיף כיצד משטרים מסוימים עושים בה שימוש נגד מי שלא נחשבים ”אוכלוסיית היעד” שלה. NSO בתגובה לפרויקט: ”מדובר בדוח שיקרי שמבוסס על הנחות יסוד שגויות במסגרת קמפיין מאורגן ומתוזמר היטב ע”י בעלי עניין ידועים”

הנהלת NSO. מקור: יח”צ

פרויקט פגסוס, שכלל עבודה משותפת של 80 עיתונאים מ-17 כלי תקשורת ברחבי העולם חשף שכלי ה-Pegsus של NSO הישראלית הפך לכאורה לכלי למעקב בשימוש של מדינות ומשטרים אחרי פעילי זכויות אדם ועיתונאים חוקרים. אבל מה הוא בדיוק הכלי הזה וכיצד קיבל את היכולות הכמעט מיתולוגיות שמיוחסות לו.

מה זה פגסוס ואיך זה עובד?

ההגדרה של פגסוס רחבה ונעה בין תוכנת מעקב וניטור לרוגלה של ממש. אבל מה עושה בפועל התוכנה מבית NSO, שהפכה לכאורה לכלי שימושי בידיהם של מנהיגים שלא אוהבים כל כך עיתונאים רחרחנים ופעילי זכויות אדם?

הכלי של NSO בדרך כלל מגיע למכשירים של יעדי המעקב על ידי ניצול חולשת אבטחה כלשהי, לרוב zero-day, כלומר פרצה חדשה שעוד לא התגלתה על ידי שלטונות החוק או חברות הטכנולוגיה למשל. אחת החוזקות של הכלי, על פי הדיווחים כמובן, היא שמדובר בהתקנת zero-click, כלומר, לא צריך אפילו לגרום ליעד התקיפה ללחוץ על משהו כדי להתקין את פגסוס על המכשיר שלו. מה שהופך את היעד לרוב לחסר אונים, כי אתם יכולים עד מחר להיזהר לא ללחוץ על לינקים חשודים במיילים והודעות SMS, זה פשוט לא יעזור לכם.

לאחר שהתוכנה מותקנת על המכשיר של יעד – מתחילה החגיגה. במקרה הראשון אי פעם שבו זוהתה התוכנה על מכשיר, אי שם ב-2016, החוקרים שמצאו אותה גילו שהיא הותקנה במסגרת מתקפת Spear Phishing, אך מאז יכולות ההדבקה השתדרגו – כך לפי דיווחים בחו”ל.

היתרון של התוכנה שיצרה החברה הישראלית היא שכשהצליחה להתקין את עצמה על מכשיר שבו משתמש יעד התקיפה, היא מקבלת גישת Root – המאפשרת לה לחגוג כשזה מגיע למידע של אותו יעד. לקוחות NSO שמשתמשים בפגסוס – כך דווח – מקבלים גישה אדירה למידע, הכולל את כל ההודעות שלכם, אימיילים, הודעות וואטסאפ, תמונות וסרטונים, גישה להפעלת המיקרופון והמצלמה שלכם מרחוק, הקלטת השיחות שלכם, מיקום המכשיר שלכם וגישה לאנשי הקשר והיומנים שלכם.

כדי לקבל את הגישה הזו משתמשת פגסוס בכמה וקטורי תקיפה אפשריים, כמו שימוש בהודעות SMS (שכבר התגלה בעבר בשימוש במתקפת Spear-Phishing); בהודעות וואטסאפ או בשיחות קוליות בוואטסאפ – מה שהוביל לתביעה של פייסבוק נגד NSO; על ידי שימוש ב-iMessage של אפל – כשרק בשנה שעברה דווח על פרצת zero-click בשירות שאפשרה את התקנת פגסוס; ועל ידי ניצול חולשות שעדיין לא התגלו בכלל.

ואם כל זה לא הספיק, חושפים דיווחים אחרים שניתן להתקין את תוכנת המעקב של NSO גם בעזרת משדר/מקלט אלחוטי הנמצא בקרבת הטלפון של יעד התקיפה. כמובן שבמקרה שבו יש לתוקף גישה פיזית למכשיר של היעד שלו – הוא פשוט יכול להתקין את פגסוס על המכשיר בצורה ידנית.

הגישה שמשיגה התוכנה היא גישת Root או גישת אדמין למכשיר עצמו, כלומר הגישה הנרחבת ביותר למכשיך, וכך היא עוקפת למעשה את כל מנגנוני ההצפנה של המכשירים. ברגע שהקורבן מזדהה על ידי טביעת האצבע שלו או הסיסמה, המכשיר פתוח לרווחה והמידע מפוענח. זה הרגע שבו פגסוס יכולה למשל לקחת צילומי מסך מהתכתבויות שונות למשל גם מאפליקציות מאובטחות.

בעקבות ההצלחה שלה עם פריצה באמצעות אפליקציות הזמינות לכולם, כמו וואטסאפ, ניתוח פורנזי של מכשירים שהודבקו בפגסוס מגלה כי NSO מנסה כל הזמן לחפש עוד חולשות ועוד פרצות באפליקציות כאלו, כדי להוסיף לארסנל וקטורי התקיפה שלה. חוקרי אבטחה זיהו לאחרונה סימנים של תנועת רשת חשודה באפליקציות המוזיקה והתמונות של אפל במכשירים שעליהם נמצאה פגסוס – במה שיכול להעיד על ניסיון לאתר וקטורי תקיפה באפליקציות נוספות של אפל מלבד iMessage.

לצד היכולת לקבל גישה אדירה למידע במכשירים, חוקרי אבטחה שבחנו מכשירים שנדבקו מדווחים כי NSO עובדת קשה מאוד על כך שיהיה קשה מאוד לאתר את פגסוס, וזה עובד. אותם חוקרים חושדים עוד כי ב-NSO שדרגו את התוכנה בגרסאותיה החדשות כך שתישמר רק על הזיכרון הזמני של המכשיר – כך שברגע שהמכשיר כבה, לא יישאר שום סימן לכך שפגסוס הייתה שם.

מעקב מקיף אחרי עיתונאים ופעילי זכויות אדם

הפרויקט שנחשף אמש (א’), כלל גם את אמנסטי אינטרנשיונל ו-Forbidden Stories – שני ארגונים ללא מטרות רווח, מבוסס על הדלפת ענק שהגיעה לידי שני הגופים הללו וכללה יותר מ-50 אלף מספרי טלפון ששני הגופים טוענים כי הם נבחרו כיעדים על ידי לקוחות משלמים של NSO הישראלית מאז 2016.

לפי אנשי הפרויקט, מהרישומים שהודלפו והגיעו אליהם – כ-180 עיתונאים נבחרו כיעדים של לקוחות NSO בעשר מדינות לפחות, בהן אזרבייג’ן, בחריין, הונגריה, הודו, קזחסטן, מקסיקו, מרוקו, רואנדה, סעודיה ואיחוד האמירויות. אנשי הפרויקט לא יכלו לאשר כי כל 180 המכשירים אכן נפרצו והותקנה בהם התוכנה מבית NSO, אך מבדיקה של 12 עיתונאים ברשימה שהודלפה נמצא כי פגסוס הותקנה להם על המכשיר – ככל הנראה בעזרת חולשת zero-click ב-iOS.

על פי הוושינגטון פוסט, שלקח חלק בפרויקט פגסוס, לא ניתן בהכרח לאשר כי הרשימה שהגיעה לידי אמנסטי ופורבידן סטוריז כללה רק יעדים של NSO. הרשימה שהגיעה לידי שני הארגונים הגיעה מדליפה של מערכת עזר בשם HLR Lookup. לפי הוושינגטון פוסט, מתוך 1,000 אנשים שזוהו בתור קורבנות של פגסוס – לפחות 189 היו עיתונאים, 85 היו פעילי זכויות אדם, 65 היו בכירים בחברות, 600 גורמים רשמיים בממשלות שונות וכמה חברים במשפחות מלוכה ערביות.

למרות שב-NSO לא פעם טוענים כי התוכנה שפיתחו נועדה לעצור טרוריסטים ופושעים לפני ביצוע המעשה, מהניתוח של פרויקט פגסוס – וספציפית אמנסטי ו-Forbidden Stories שהגיעו לקבצים שדלפו – נרשם היקף מעקב משמעותי אחרי עיתונאים ופעילי זכויות אדם בעזרת פגסוס. מהניתוח של הפרויקט עולה כי חלק מהעיתונאים ש”זכו” למעקב בעזרת פגסוס אוימו ברמה המשפטית, וחלקם אף נאלצו להימלט מארצם לאחר שנרדפו בעקבות עבודתם.

ב-NSO מסרו לגיקטיים בתגובה לפרויקט פגסוס והדיווח המקיף על השימוש בכלי של החברה כי “מדובר בדוח שיקרי שמבוסס על הנחות יסוד שגויות במסגרת קמפיין מאורגן ומתוזמר היטב ע”י בעלי עניין ידועים. החברה שוקלת את צעדיה המשפטיים למול הטענות ההזויות המוצגות בדוח. יודגש כי מוצרי החברה נמכרים אך ורק לגופי מודיעין ואכיפת חוק כחלק מהמלחמה בטרור ובפשיעה חמורה ברחבי העולם”.

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il

הגב

9 תגובות על "כך פועל פגסוס, כלי המעקב המתוחכם של NSO הישראלית"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מישהו
Guest

ממש הוסבר איך זה עובד. ישר כחכם וכחכן תכחכחו קצת בגרון בכיף

dr. miles bennett dyson
Guest

סקיינט כחול-לבן

סטארטאפיסט
Guest

אז מה? בגלל שאתם אתר טכנולוגי חייבים לפרסם פוסט על NSO? מדובר בסיכום של YNET ועוד כמה אתרים. אם אתם רוצים סקופ אמיתי, נסו למצוא מישהו לראיין שיתאר את אחת החולשות ואיך היא עובדת מבחינה טכנית.
אחרת זה לא מעניין. את הכתבה הזאת יכולתי לראות בכאן 11 או כל ערוץ אחר.

אאא
Guest

החברה הכי לא מוסרית בשוק, לא הייתי עובד שם גם עבור כפול ממה שאני מרוויח היום.

אייל
Guest

הם משלמים שם סכומים שאפשר לקנות איתם דירה בתל אביב במזומן. אחרי 4 שנים אתה מסודר.

עדיין לא היית עובד שם?

מכיר היטב
Guest

תיקון: כשיש zero-click vuln זה זמן לחגיגה, לרוב מדובר בone click או יותר

עריכה
Guest

כתבה יפה. אם יש לאתר עורך אני מציע שיערוך את הכתבות, יהדק אותן קצת ואשכרה יעבור על טקסטים לפני שהם מתפרסמים. יש כאן המון חזרות, בלבול וסתם שגיאות קטנות.

יוחאי
Guest

נושא סופר מעניין, אך לא הבנתי בצורה מלאה איך התוכנה מותקנת על המכשיר?
אולי תעשו כתבת עומק על הנושא הזה

רותם
Guest
wpDiscuz

תגיות לכתבה: