תוכנת הריגול של קנדירו הישראלית הופעלה נגד פעילי זכויות אדם, פוליטיקאים ועיתונאים
תוכנת הריגול של קנדירו הישראלית הופעלה נגד פעילי זכויות אדם, פוליטיקאים ועיתונאים
לפי תחקיר של מיקרוסופט ומכון המחקר סיטיזן לאב של אוניברסיטת טורונטו, התוכנה שמאושרת ליצוא על ידי משרד הביטחון שימשה לריגול אחר יותר מ-100 פעילים, פוליטיקאים ומתנגדי משטר ממדינות כמו איראן, לבנון, תימן, בריטניה, טורקיה ואפילו ישראל. מיקרוסופט: "החברות האלו מגדילות את הסיכון שכלי הנשק ייפלו לידיים הלא נכונות ויסכנו זכויות אדם"
תוכנת הריגול שמפתחת קנדירו (Candiru) הישראלית שימשה לריגול אחרי יותר מ-100 פעילי זכויות אדם, מתנגדי משטר, עיתונאים ואקדמאים ממדינות כמו איראן, לבנון, תימן, בריטניה, טורקיה ואפילו ישראל – כך חושף תחקיר משותף של מיקרוסופט ומכון המחקר סיטיזן לאב של אוניברסיטת טורונטו, שמתפרסם הערב (ה').
מדובר בפעם הראשונה שבה החברה הישראלית החשאית, שנחשבת למתחרה של NSO אך הצליחה לאורך השנים לשמור על פרופיל נמוך יותר, נחשפת בצורה כזו. התחקיר צפוי לעורר הדים בינלאומיים שישלפו את החברה מהאלמוניות היחסית שבה פעלה עד עתה.
"החברות האלו מגדילות את הסיכון שכלי הנשק ייפלו לידיים הלא נכונות ויסכנו זכויות אדם", אמרו במיקרוסופט, והבהירו שבכוונתם להמשיך ולהיאבק בשלל אמצעים נגד מפתחות תוכנות ריגול ומעקב.
קנדירו נוסדה ב-2014 על ידי יעקב ויצמן וערן שורר. יו"ר החברה הוותיק איציק זק הוא גם בעל המניות הגדול ביותר שלה. היא עושה מאמצים ניכרים לשמור את פעילותה מתחת למכ"ם, ולאורך השנים שינתה את שמה כמה פעמים. שמה העדכני הוא סאייטו טק בע"מ, ובעבר נקראה גם טאבטה, גרינדוויק פתרונות וד. אפ אסוסיאייטס, אך בתעשייה היא עדיין מוכרת בשמה המקורי – קנדירו. כמו שחקניות ישראליות רבות בתחום, היא מגייסת את מרבית עובדיה מ-8200.
לפי תביעה שהגיש עובד לשעבר בחברה, בשנתיים הראשונות להקמתה היו לקנדירו מכירות של כמעט 30 מיליון דולר, ועם לקוחותיה נמנו מדינות באירופה, ברית המועצות לשעבר, המפרץ הפרסי, אסיה ואמריקה הלטינית. לפי דיווחים קודמים של גופי אבטחת מידע וכלי תקשורת, לקוחות קנדירו כוללים את אוזבקיסטאן, ערב הסעודית, איחוד האמירויות, סינגפור וקטר.
המחקר ממפה לראשונה את פעולת החברה
המחקר הנוכחי של סיטיזן לאב, שלכתיבתו היו שותפים ביל מרזק, ג'ון סקוט-ריילטון, קריסטין ברדן, בהאר עבד אל-ראזק ורון דייברט, ממפה לראשונה את היקף ושיטות הפעילות של החברה, וגם מנתח איך פועלת הרוגלה שלה. אף שהמחקר של סיטיזן לאב מתמקד ברוגלה שהוחדרה למחשב מבוסס וינדוס, ובהתאם כל הקורבנות האחרים שאותרו בעקבות מחקר זה עשו שימוש במערכת ההפעלה של מיקרוסופט, לדברי קנדירו היא מציעה פתרונות ריגול גם לאייפון ולאנדרואיד – תחום שבו היא מתחרה ישירות ב-NSO.
המחקר החל בזיהוי ומיפוי כתובות IP ואתרים שבהם משתמשים החברה או לקוחותיה. "באמצעות שיטות סריקת האינטרנט שלנו הצלחנו למפות 764 כתובות IP של אתרים ושרתים ששייכים לקנדירו", אמר ל"כלכליסט" ד"ר ביל מרזק, עמית מחקר בכיר בסיטיזן לאב וחוקר באוניברסיטת קליפורניה בברקלי, שהוביל את המחקר הנוכחי. הקשר בין האתרים נקבע באמצעות טכניקות מיפוי ו-Fingerprinting, שמזהות אתרים קשורים על סמך מאפיינים דומים וייחודיים שפיתחו החוקרים. הקשירה של האתרים הללו לקנדירו התאפשרה בעקבות טעות מצדה של החברה.
"הצלחנו לייחס את פעילות הרוגלה לקנדירו באמצעות הסריקות המקוונות שלנו. מצאנו תעודת הצפנה לאתרי אינטרנט (מכונה גם תעודת SSL. מאשרת שהתקשורת בין הגולש לאתר באתרי HTTPS אכן מוצפנת, ע"כ), שנעשה בה שימוש בשישה שרתים. התעודה כללה את כתובת האימייל amitn@candirusecurity.com. כתובת אימייל אחרת עם סיומת זו שימשה לרישום אתר בשם verification.center. ברישום אתר זה הופיע גם מספר הטלפון +972-54-2552428, שלפי פרטי רישום החברות של D&B הוא מספר הפקס של קנדירו בישראל. תעודת ה-SSL שמצאנו קשורה ל-764 האתרים הנוספים, מה שאפשר לנו למפות את רשת האתרים של החברה. כנראה שזו היתה טעות תפעולית, הם השתמשו בתעודה הזו בשוגג בשרתי הרוגלה שלהם".
לא יכול להיות שמישהו אחר, שלא קשור לקנדירו, הזין את כתובת האתר הזה בתעודת ההצפנה? אולי מתחרה שרצתה להסיט אש ממנה אל יריבה?
"זו אפשרות, אבל אני נוטה לחשוב שזה לא סביר. בעיקר מכיוון שבעבר היו חברות אבטחה אחרות שדיווחו על קנדירו. למשל קספרסקי דיווחה ב-2018 או 2019 שזיהתה שורה של פרצות שמנוצלות על ידי קנדירו. הם לא פירטו על הגילוי הזה, אבל כן ציינו כמה אתרים שדרכם נוצלו הפרצות, ואחד האתרים האלו הוא אתר שהופיע בסריקה שלנו. אנחנו התחלנו את הסריקה שלנו מהתעודה של קנדירו, ומצאנו אתר נוסף שקספרסקי קשרה לחברה בעבר. יש עוד כמה קישורים כאלו שנותנים לנו ביטחון שאנחנו רואים משהו שקשור לקנדירו ולא מבצע הונאה".
מיפוי האתרים הוליד כמה תובנות על אופן פעילות הרוגלה וקורבנות אפשריים שלה. "גילינו כמה אתרים שמתחזים לאתרים של עמותות זכויות אדם או ארגוני אקטיביסטים", סיפר מרזק. "למשל היה אתר בשם amnestyreports.com, שנראה כמו ניסיון להתחזות לאתר של ארגון אמנסטי. אתר אחר בשם refugeeinternational.org דומה במכוון לאתר רשמי של ארגון סיוע לפליטים שכתובתו היא refugeesinternational.org, עם S באמצע. היו גם אתרים שהתחזו לאתרים של אתרי חדשות (cnn24-7.online), של חברות טכנולוגיה (googlplay.store, apple-updates.online, faceb00k-live.onlive ועוד) ושל ארגונים בינלאומיים כמו אתר מזויף של השליח המיוחד של מזכ"ל האו"ם לתימן".
לאתרים אחרים היו כתובות בעלות הקשרים אקדמיים, כמו womanstudies.co, מה שיכול להצביע על כך שבין קורבנות הרוגלה היו גם אנשי אקדמיה. כן זיהתה סיטיזן לאב דומיינים שמתחזים לאלו של אתרי חדשות או גופים מקומיים במדינות כמו רוסיה, אינדונזיה, איראן, טורקיה, קפריסין, אוסטריה, הרשות הפלסטינית וערב הסעודית. אלו יכולים להיות עדות לניסיונות לאתר קורבנות במדינות אלו או גולים ממדינות אלו שעברו להתגורר במדינות אחרות. בנוסף לכך הסריקות העלו מידע שלפיו לקוחות קנדירו פועלים מערב הסעודית, איחוד האמירויות, הונגריה ואינדונזיה. "יש כנראה עוד לקוחות, אלו רק הלקוחות שמצאנו", אמר מרזק.
המחקר איתר עותק של הרוגלה וניתח אותה
הישג מרכזי של המחקר הוא איתור עותק של הרוגלה של קנדירו וניתוחה. "מצאנו מחשב של קורבן שתקשר עם חלק מהאתרים שמיפינו", סיפר מרזק. "הצלחנו לבצע ניתוח פורנזי של המחשב ולהוציא עותק של הרוגלה שתקשרה עם אתרים אלו. ניתחנו את הרוגלה והבנו את אופן הפעילות שלה".
בין השאר זיהו בסיטיזן לאב שהרוגלה נשארת על המחשב גם אחרי ביצוע ריבוט או התקנת עדכוני תוכנה. היא מסוגלת לבלוש ולהעתיק סיסמאות וקוקיז מדפדפנים, וגם מאפשרת למפעיל לשלוח הודעות מחשבונות פעילים של אנשים על מחשביהם. "אם אני מחובר במחשב שלי לפייסבוק, לג'ימייל או לחשבון דומה, אז מפעיל הרוגלה יכול להשתמש במחשב שלי כדי לשלוח הודעה בשמי ישירות מחשבון הג'ימייל או הפייסבוק שלי למישהו אחר. זה פיצ'ר מעניין שלא ראינו ברוגלות אחרות, היכולת להתחזות למטרה באמצעות שימוש החשבון שלהם ישירות מהמחשב הנגוע.
"גם מצאנו ראיות לכך שהיא יכולה לצפות בהודעות בסיגנל אם הקורבן משתמש באפליקציית הדסקטופ של השירות, ולקחת קבצים ששמורים על המחשב. לא מצאנו ראיות לכך בניתוח שלנו, אבל לפי מסמכים של החברה הרוגלה גם יכולה להפעיל מרחוק את המיקרופון ואת המצלמה. יכול להיות שזו רוגלה מודולרית, שמאפשרת ללקוח לבחור אילו יכולות להחדיר לאילו מטרות".
הקורבן במקרה זה היה פעיל פוליטי במערב אירופה, שביקש שזהותו לא תיחשף. "על סמך השיחות אתו, הוא היה יעד לריגול בגלל עמדותיו הפוליטיות ולא בגלל פעילות פלילית או טרור", אמר מרזק. סיטיזן לאב גם שיתפה עותק של הרוגלה עם מיקרוסופט. ניתוח שביצעה ענקית הטכנולוגיה חשף שהרוגלה ניצלה שתי פרצות Zero-Day בווינדוס (פרצות שלא היו מוכרות לחברה קודם לכן), ואלו תוקנו ביום שלישי.
הידיים הלא נכונות
הניתוח של מיקרוסופט גם זיהה יותר מ-100 קורבנות של הרוגלה בכל העולם, ובהם פוליטיקאים, פעילי זכויות אדם, עיתונאים, אקדמאים, עובדי שגרירות ודיסידנטים פוליטיים. אלו הגיעו מישראל, הרשות הפלסטינית, איראן, לבנון, תימן, ספרד, בריטניה, טורקיה, ארמניה וסינגפור. במיקרוסופט מדגישים שזיהוי קורבנות במדינה מסוימת לא מעיד על כך שסוכנות באותו מדינה היא לקוח של קנדירו, שכן ריגול בינלאומי הוא שכיח. "במשך שבועות ניתחנו את הרוגלה, תיעדנו איך היא עובדת, ובנינו הגנות שיכולות לאתר ולנטרל אותה", כתבה מנהלת יחידת האבטחה הדיגיטלי של מיקרוסופט, כריסטין גודווין, בפוסט שפרסמה הערב החברה. "קראנו לנוזקה הזו DevilsTongue (לשון השטן)".
לדברי גודווין, שיתוף הפעולה של מיקרוסופט עם סיטיזן לאב הוא חלק ממאמץ משפטי, טכני ולוביסטי רחב יותר שמובילה החברה כדי להתמודד עם הסכנות של חברות שבונות ומוכרות נשקי סייבר. "החברות האלו מגדילות את הסיכון שכלי הנשק ייפלו לידיים הלא נכונות ויסכנו זכויות אדם", היא הבהירה. "זו הסיבה, למשל, שהגשנו תצהיר ידידת בית המשפט בתביעה של ווטסאפ נגד NSO".
מחברי הדו"ח בסיטיזן לאב מתחו ביקורת חריפה על משרד הביטחון, שמאשר את היצוא של מוצרי קנדירו וחברות דומות למדינות אחרות. "למרבה הצער, המשרד הוכיח שהוא לא מוכן להעמיד את חברות הריגול תחת הביקורת הקפדנית שדרושה כדי למנוע פגיעה מהסוג שאנחנו וארגונים אחרים זיהינו", נכתב. "הליך קבלת רישיון היצוא במדינה אטום כמעט לחלוטין, וחסרים לו אפילו המדדים הבסיסיים ביותר של אחריות ציבורית ושקיפות. אנחנו מקווים שהדו"ח הזה יעודד מקבלי החלטות ומחוקקים בישראל ובמקומות אחרים לעשות יותר כדי למנוע את הנזקים המצטברים של שוק תוכנות ריגול לא מאוסדר".
בקנדירו סירבו להגיב לדיווח.