סיטיזן לאב: תוכנת הריגול של קוודרים הישראלית שימשה לתקיפת אזרחים ברחבי העולם
סיטיזן לאב: תוכנת הריגול של קוודרים הישראלית שימשה לתקיפת אזרחים ברחבי העולם
לפי דו"ח חדש של מכון המחקר ומיקרוסופט, הרוגלה REIGN תקפה טלפונים של פעילי חברה אזרחית, עיתונאים ופוליטיקאים באמריקה הלטינית, אסיה, אירופה והמזרח התיכון; היא עשתה שימוש במתקפת זירו-קליק נגד מכשירי אייפון שהריצו את גרסה 14 של מערכת ההפעלה iOS, והתגלה שיש לה יכולת השמדה עצמית; את תגובת קוודרים לא ניתן היה להשיג
תוכנת הריגול של קוודרים (QuaDream) הישראלית שימשה לתקיפת פעילי חברה אזרחית, עיתונאים ופוליטיקאים באמריקה הלטינית, אסיה, אירופה והמזרח התיכון – כך מגלה מחקר משותף של מיקרוסופט ומכון המחקר סיטיזן לאב (Citizen Lab) באוניברסיטת טורונטו.
לפי המחקר, הרוגלה של קוודרים, שמכונה REIGN, הופעלה בין השאר מבולגריה, צ'כיה, הונגריה, גאנה, מקסיקו, רומניה, איחוד האמירויות, אוזבקיסטן וישראל (ייתכן שלמטרות בדיקה ופיתוח בלבד), ועשתה שימוש במתקפת זירו-קליק נגד מכשירי אייפון שהריצו את גרסה 14 של מערכת ההפעלה iOS. "המחקר הזה הוא תזכורת חשובה שניצול לרעה של רוגלות זירו-קליק גדול יותר מחברה אחת או מפרצה אחת", אמר ל"כלכליסט" ד"ר ביל מרזק מסיטיזן לאב, שהוביל את כתיבת הדו"ח של המכון לצד ג'ון סקוט ריילטון, אסטריד פרי, נורה אל-ג'יזאווי, סיינה אנסטיס, זואי פנדיי, רון דיברט וחוקרת נוספת שביקשה להישאר אנונימית.
לקוודרים, שלפי נתוני רשם החברות נוסדה ב-2016, אין אתר רשמי או נוכחות בולטת במדיה חברתית. גם המידע שפורסם עליה בתקשורת מוגבל. הקשיים האחרונים שמהם סבלה החברה הביאו עוד קודם לסגירה לצמצום מצבת העובדים מ-60 איש בשיא ל-34 ערב הסגירה, כאשר בשבועות האחרונים צומצם היקף המשרה של חלק מהעובדים.
בפברואר 2022 דיווחה רויטרס שהחברה עשתה שימוש בפרצת זירו-קליק (בפרצה שמאפשרת להחדיר תוכנה זדונית ללא צורך בפעולה יזומה מצד המשתמש) באייפון, שנוצלה גם על ידי NSO, כדי להחדיר את הרוגלה שלה למכשירי קורבנות, ושרוגלת החברה יכולה לגשת לכל המידע ששמור על מכשיר הקורבן, להקליט וידאו וקול בסביבתו ועוד.
דיווחים מוקדמים יותר טענו שעובדי קוודרים היו בין 14 מומחי מחשוב ישראלים שממשלת גאנה הכניסה בחשאי למדינה כדי להתערב במערכת הבחירות שם. בסוף השנה שעברה דיווחה מטא שהסירה 250 חשבונות פייסבוק ואינסטגרם שהופעלו על ידי קוודרים ושימשו לתקיפת מכשירי אנדרואיד ואייפון.
החלק הטכני של המחקר מתבסס על ניתוח של שתי דוגמאות של תוכנות ריגול למכשירי iOS, שמיקרוסופט סיפקה לסיטיזן לאב ושענקית הטכנולוגיה מייחסת בוודאות גדולה לקוודרים. הדוגמה הראשונה היתה רכיב הורדה שמיועד לחלץ מידע בסיסי מהמכשיר המותקף ולאפשר את התקנת הרוגלה. הדוגמה השנייה היתה הרוגלה המלאה. בדומה לרוגלות אחרות, תוכנה זו מסוגלת להקליט שיחות טלפון, להקליט שיחות בסביבת המשתמש, להפעיל את מצלמות המכשיר, לחפש ולהוציא מידע ששמור על המכשיר, לחולל מידע שמאפשר להתחבר לשירותי הענן של אפל, לנטר את מיקום המכשיר ועוד.
"גילינו שהרוגלה גם כוללת יכולת השמדה עצמית, שמוחקת עדויות שונות שהיא משאירה אחריה", נכתב בדו"ח של סיטיזן לאב שמסכם את ממצאי המחקר. "עם זאת, הניתוח שלנו זיהה עקבות שיכולת ההשמדה העצמית משאירה אחריה במכשירי קורבנות".
החוקרים גילו גם פרצת זירו-קליק ב-iOS 14 שקוודרים ניצלה להחדרת הרוגלה שלה. פרצה זו, שמכונה על ידם ENDOFDAYS, שונה מהפרצה שניצלה פגסוס של NSO ושעליה הם דיווחו בעבר. עם זאת, לדבריהם, כשאפל הודיעה בנובמבר 2021 לשורה ארוכה של בעלי אייפון שייתכן ונפלו קורבן לרוגלה, ההודעה כללה הן קורבנות של פגסוס והן של קוודרים.
"אנחנו מעריכים שפרצת הזירו-קליק ניצלה חולשה ביישום לוח השנה המובנה של iOS", אמר מרזק ל"כלכליסט". "אנחנו חושדים שהפרצה עוצבה כדי לאלץ את הטלפון לפתוח אוטומטית דפדפן בלתי נראה ולגלוש לאתר זדוני שדרכו הותקנה הרוגלה. הצלחנו להשיג עותקים על אירועי לוח שנה שהתוקפים שלחו לקורבנות. מכיוון שתאריך ההתחלה והסיום של אירועים אלו היה בעבר כשהתקבלו, לא הוצגה לקורבן שם התרעה על קבלתם, אך הטלפון התחבר אוטומטית לשרתי iCloud של אפל כדי לטעון ולעבד את האירוע. התוקף צירף לאירוע מידע זדוני שאיפשר לו להחדיר פקודה שהמכשיר פירש כמגיעה משרת iCloud. אנחנו לא יכולים לראות מה הייתה הפקודה בדיוק כי האירועים עודכנו אחרי שנשלחו, אולי במטרה להסיר פקודות אלו".
במסגרת המחקר הצליחו החוקרים לזהות יותר מחמישה קורבנות של הרוגלה של קוודרים, כולם פעילי חברה אזרחית. בשלב זה זהות הקורבנות חשאית. קורבן אחד, מדרום-מזרח אסיה, הותקף על ידי הרוגלה בין ינואר לנובמבר 2021. "בזמן המתקפה באמצעות פרצת ENDOFDAYS הטלפון הציג עדויות לרוגלה, אך לא את הגרסה הרגילה של קוודרים", נכתב. "במקום זאת, מדובר בגרסה שעברה התאמה או בגרסה ישנה יותר של הרוגלה". קורבנות אחרים שזוהו הותקפו בין 2019 ל-2021.
על סמך ניתוח הרוגלה ומידע שקיבלו משותפים בקהילת ניתוח איומי הסייבר, פיתחו החוקרים טביעת אצבע שאיפשרה להם לזהות את השרתים שאיתם תקשרה הרוגלה של קוודרים בין 2021 ל-2023, ובהם שרתים שמהם הושתלה הרוגלה. בכמה מקרים הצליחו החוקרים לזהות את המדינות שמהן הופעלו השרתים: בולגריה, צ'כיה, הונגריה, גאנה, ישראל, מקסיקו, רומניה, סינגפור, איחוד האמירויות ואוזבקיסטן.
דיווחי עבר כבר זיהו את הונגריה, מקסיקו ואיחוד האמירויות כמפעילות של רוגלות נגד עיתונאים, פעילי זכויות אדם ומתנגדי משטר. לאוזבקיסטן יש היסטוריה עגומה של הפרה חמורה של זכויות אדם, והחוקה של סינגפור לא מבטיחה את הזכות לפרטיות. באשר לישראל, החוקרים לא הצליחו לקבוע אם הרוגלה הופעלה על ידי ממשלת ישראל או קוודרים עצמה. ייתכן שהפעילות שזוהתה בישראל הייתה למטרות בדיקה ופיתוח בלבד.
"הדו"ח הזה הוא תזכורת לכך שתעשייה הרוגלות המסחריות גדולה יותר מחברה אחת", מסכמים חוקרי סיטיזן לאב. "קוודרים פעילה כבר כמה שנים, ונראה שיש לה עסקים נרחבים עם מספר ממשלות בכל העולם. לחברה שורשים משותפים עם NSO ומפתחות רוגלה אחרות בקהילת המודיעין הישראלית, שרבים מבוגריה הם יזמים מנוסים ומקושרים. כמו NSO, אינטלקסה וחברות אחרות שבחנו, לקוודרים מבנה תאגידי מורכב ואטום, שנועד למנוע ביקורת ציבורית".
איימי הוגאן-בורניי, המשנה ליועץ המשפטי ומנהלת תחום מדיניות והגנת סייבר במיקרוסופט, כתבה בפוסט שפרסמה באתר החברה: "הגידול החד בפעילות של חברות סייבר שפועלות כשכירות חרב מהווה איום על הדמוקרטיה וזכויות האדם בכל העולם. הכלים של חברות אלו שימשו למתקפות נגד מערכות בחירות, עיתונאים ופעילי זכויות אדם, והם נגישים יותר ויותר בשוק הפתוח, ומאפשרים לשחקנים זדוניים לערער מוסדות דמוקרטיים". את תגובת קוודרים לא ניתן היה להשיג.
ג'ון סקוט-ריילטון, חוקר בכיר בסיטיזן לאב, הביע בשיחה עם "כלכליסט" חשש שקוודרים תחזור לחיים תחת שם וזהות תאגידית שונים. "גם אם החברה נסגרת, נמשיך לעקוב מקרוב אחרי הטכנולוגיה שלה כדי לראות לאן היא מגיעה", הוא הוסיף. "פיתחנו דרכים לניטור הטכנולוגיה של קוודרים, ונמשיך לעקוב אחריה גם אם החברה תפעל בעתיד תחת זהות תאגידית אחרת. זו תזכורת לכך שהבעיה אינה רק הזהות התאגידית אלא האנשים שמאחוריה".