אמנסטי: "כלי ריגול של NSO שימשו למעקב אחר פעילי זכויות אדם במרוקו"
על פי חקירה נרחבת שביצע הארגון, שני הפעילים קיבלו הודעות SMS ובהן קישורים שנועדו לפרוץ את הסמארטפונים שלהם ולהתקין עליהם את תוכנת פגסוס הידועה לשמצה. בנוסף בוצעה מתקפה שנועדה להשתלט על המכשיר של אחד מהם. NSO: "נחקור את הנושא"
כלי הריגול של NSO הישראלית שימשו לניסיונות מעקב אחרי שני פעילי זכויות אדם ממרוקו, שנרדפים בידי שלטונות המדינה - כך חשפה חקירה נרחבת של ארגון אמנסטי אינטרנשיונל. מ-NSO נמסר בתגובה: "אנו מתייחסים להאשמות ברצינות, נחקור את הנושא".
- חברת NSO הודיעה שתתאים את פעילותה להנחיות האו"ם
- NSO ללקוחות: יש לנו יכולת "לקצור" מידע על כל אדם משרתי גוגל, פייסבוק ואמזון
- פרצת אבטחה בווטסאפ שימשה את NSO להחדרת נוזקות לטלפונים
לפי דו"ח של אמנסטי שפורסם אמש, שני הפעילים קיבלו הודעות SMS ובהן קישורים זדוניים שנועדו לשתול במכשירים שלהם את פגסוס, נוזקת הריגול הידועה לשמצה של NSO. כפי שדווח כבר בעבר, יכולה הנוזקה לספק לתוקף גישה מלאה לכל המידע שעל המכשיר, להעביר בזמן אמת פעולות ושיחות שמבוצעות דרכו וכן לאפשר הפעלה מרחוק של המיקרופון והמצלמה כדי לרגל אחרי הקורבן וסביבתו. בנוסף למתקפה זו, זיהו באמנסטי מבצע פריצה נוסף, שבוצע באמצעות רשת הסלולר עצמה במטרה להשתלט על מכשירו של אחד הפעילים; בארגון חושדים ש-NSO קשורה גם למתקפה זו.
שני הפעילים הם מעטי מונג'ב (57), היסטוריון, עיתונאי ופעיל בנושא חופש הביטוי, ועבד אלצאדק אלבושתאוי, פרקליט זכויות אדם שהגן על מפגינים שהשתתפו במחאות נגד הממשל ב-2016 ו-2017. השניים כבר התמודדו בעבר עם רדיפות מצד השלטון במרוקו בגין פעילותם בתחום. לדברי אמנסטי, בשנים האחרונות מגבירה מרוקו את השימוש בסעיפי חוק בעייתיים שנועדו להפוך פעילות למען זכויות אדם ללא-חוקית ולא-לגיטימית, ומתנכלים לפעילים שמבקשים לשמור על חופש הביטוי וחופש המחאה באמצעות הטרדות, איומים ומאסר.
מונג'ב הואשם ב-2015 בעבירה של איום על הביטחון הפנימי של מרוקו בגין ה"תעמולה" שהפיץ, אחרי שיצר אפליקציית מובייל לאזרחים-עיתונאים שנועדה לאפשר להם להגן על פרטיותם. משפטו טרם הסתיים, אך אם יימצא אשם הוא עלול להישלח לחמש שנות מאסר. לפי הדו"ח שפרסמה אמנסטי, מאז 2015 חושש מונג'ב שהוא נמצא תחת מעקב דיגיטלי של הרשויות במרוקו, וכתוצאה מכך נוהג לצנזר את התקשורת הדיגיטלית שלו. "אני צריך לנתח את ההשלכות של מה שאני אומר ואת הסיכוי שהדבר יוביל להאשמות נגדי", הוא אמר. "זה נכון גם לדברים מעשיים מאוד כמו קביעת פגישות או ארוחות בעיר".
אחרי שנפגש עם מומחים מטעם אמנסטי שבדקו את מכשיריו התברר שהחששות של מונג'ב נכונים. "מצאנו שבאופן חוזר ונשנה נשלחו אליו הודעות SMS זדוניות שכללו קישורים לאתרים שמשמשים להפצת פגסוס של NSO", נכתב בדו"ח. הודעות אלו, שנשלחו לראשונה בנובמבר 2017, כללו הבטחות לעדכוני תוכנה ויכולות חדשות באפליקציה בשם Truecaller, דיווחים על סרטונים שחושפים "סקנדל מוסרי", קישור להורדה חינמית של ספר מאת דונלד טראמפ וקריאה לחתום על עצומה לשמירת ירושלים כבירת העם הפלסטיני.
אלבושתאוי נידון ב-2017 ל-20 חודשי מאסר בעקבות פוסטים מקוונים שפרסם ובהם ביקורת על האלימות של הרשויות נגד מפגינים. מאז 2018 הוא מתגורר בצרפת, שם קיבל מקלט מדיני. מאז שהחל להגן בבתי משפט על משתתפי מחאות נגד השלטונות, היה אלבושתאוי בטוח שהוא נתון למעקב. לדבריו, עקבו אחריו מספר פעמים ולקוחותיו הוטרדו, והוא חשד שגם התקשורת הדיגיטלית שלו מנוטרת. "מעקב במרוקו מבוצע בצורה גלויה וחסרת עכבות. מעקב זה סוג של עונש. אתה לא יכול להתנהג בחופשיות. זה חלק מהאסטרטגיה שלהם לגרום לך להרגיש תחת לחץ כל הזמן", אמר.
גם במקרה של אלבושתאוי, בדיקה של מכשיריו אישרה שנשלחו אליו הודעות SMS שמכילות קישורים לאתרים שנקשרו לפגסוס. ההודעות, שנשלחו באוקטובר 2017, התחזו לספאם שנשלח אוטומטית ב-SMS, בתוספת קישור שנועד להפסיק את שליחתן. באופן חשוד, הקישורים החלו באותו גדולה (Http, במקום http), ולאחד מהם היה חסר תו – ראיות לכך שהם הוקלדו ידנית.
לדברי אמנסטי, הקישורים בהודעת ה-SMS הובילו לאותה תשתית אינטרנט שקושרה בעבר ל-NSO, ספציפית במקרה של חוקר אמנסטי בערב הסעודית . "שתי כתובות, st***ms.biz ו-inf***ress.com (הכתובות צונזרו כדי שלא לסכן גולשים - ע"כ), זוהו בעבר על ידי אמנסטי כחלק מהתשתית של NSO. בנוסף זהינו דומיין חדש, h***at.co, שמתחזה לאתר סחר מקוון ממרוקו בשם Hmizate. הודעת SMS עם קישור לאתר זה כללה תכונות שמאפיינות הודעות SMS של פגסוס. כתובת נוספת, re*****ion-news.co, קושרה בעבר ל-NSO על ידי מכון המחקר סיטיזן לאב".
במקביל לעדויות אלו איתרו באמנסטי ראיות לפרצה או ניצול של הרשת הסלולרית עצמה במטרה להחדיר נוזקה למכשירים. "בעת שניתחנו את היסטוריית הגלישה בדפדפן ספארי באייפון של מעטי מונג'ב, מצאנו ביקורים בקישורים חשודים שמקורם לא היה בהודעות SMS או ווטסאפ", נכתב. "ספארי מתעד את כל היסטוריית הגלישה במאגר שמאוחסן במכשיר. המאגר שומר לא רק את הקישורים שאליהם גלש המשתמש, אלא גם את המקור של כל ביקור".
לפי נתונים אלו, ב-22 ביולי מונג'ב נכנס לספארי וניסה לגלוש ליאהו באמצעות הקלדת yahoo.fr בשורת הכתובת. הדפדפן ניסה קודם כל להתחבר לכתובת הלא מוצפנת http://yahoo.fr. "במצב רגיל, הדפדפן ינווט מידע לכתובת המוצפנת של יאהו, https://fr.yahoo.com. במקום זאת, היסטוריית הגלישה מצביעה על כל שהעמוד נווט בתוך פחות משלוש מילי-שניות לאתר חשוד מאוד: https://bun54l2b67.get1tn0w.*******downloads.com:30495/szev4hz.
"אנחנו מאמינים שמדובר בתסמין של מתקפה מבוססת רשת שמכונה Man-in-the-Middle. באמצעותה, תוקף עם יכולות שליטה ברשת יכול לזכות בגישה לחיבור של הקרבן על מנת לנטר ואף להשתלט על תעבורת הרשת שלו. זה מאפשר לשנות את ההתנהגות של מכשיר המטרה, ולנתב אותו לעמודים להורדת רוגלה בלי שום אינטראקציה נוספת עם הקרבן. מכיוון שמכשרי היעד היה אייפון שחובר לרשת סלולרית, המתקפה יכולה היתה להתבצע רק דרך אנטנת סלולר בקרבת המטרה. אנחנו מאמינים שזה מה שקרה למונג'ב. אנחנו מאמינים שלפחות ניסיון תקיפה אחד כזה הצליח והביא להחדרת רוגלה לטלפון של מונג'ב".
לדברי אמנסטי, שינויים במידע שנשמר דרך קבע באייפון, ובפרט מחיקה של קובץ שמתעד סיבות לקריסת המכשיר או אפליקציות עליו שניות ספורות לאחר הניתוב החשוד בספארי מהווים עדות נוספת לפעילותה של רוגלה, ושהמחיקה נועדה להסיר ראיות ברורות יותר להתקנתה.
בארגון מציינים שבשלב זה אין בידם מידע מספק על מנת לקשור את NSO למתקפה דרך הרשת הסלולרית. "עם זאת", הם מוסיפים, "לאור בדמיון הטכני להדבקות אחרות בפגסוס, העובדה שמונג'ב כבר היה מטרה לתוכנת NSO והעובדה ש-NSO מפרסמת יכולות מהסוג שבהן נעשה שימוש במתקפה זו, יש סיבה להאמין שגם במקרה זה נעשה שימוש בכלים של NSO".
במאי השנה עתרה אמנסטי ישראל לבית המשפט המחוזי בתל אביב בדרישה להורות למשרד הביטחון לבטל את רישיון הייצוא של NSO ."המחקר החדש מחזק עוד יותר את עמדתנו שהאחריות כולה מוטלת על משרד הביטחון הישראלי", אמרה מנכ"לית אמנסטי ישראל, מולי מלקאר, בהודעה לעיתונות. "עליו לבטל לאלתר את אישור הייצוא הביטחוני של קבוצת NSO, שמצהירה הצהרות יח"צ נוצצות על מנגנון פנימי בתוך החברה, הנועד למנוע שימוש לרעה של מוצריה, אך בפועל ממשיכה להוות סכנה לזכויות האדם בכל העולם". הדיון בעתירה צפויה להתקיים ב-7 בנובמבר.
מ-NSO נמסר בתגובה שהועברה לאמנסטי: "בהתאם למדיניות שלנו, אנחנו חוקרים דיווחים על שימוש לא-חוקי במוצרינו. אם חקירה מזהה שימוש או פוטנציאל לשימוש בעל השפעה שלילית על זכויות אדם אנחנו פועלים במהירות ונוקטים באמצעים המתאימים. אלו יכולים לכלול השעיית או עצירה מיידית של שימוש הלקוח במוצרנו, כפי שעשינו בעבר. אנחנו מתייחסים להאשמות אלו ברצינות ונחקור את הנושא בהתאם למדיניות שלנו. המוצרים שלנו מפותחים כדי לסייע לכוחות מודיעין ואכיפת חוק להציל חיים. הם לא כלים למעקב אחרי מתנגדי משטר או פעילי זכויות אדם. לכן החוזים עם כל הלקוחות שלנו מאפשרים להשתמש במוצרים שלנו רק למטרות לגיטימיות של מניעת וחקירת פשעים וטרור".