דו"ח: פגסוס של NSO שימשה למעקב אחר אקטיביסטים פרו-דמוקרטים מתאילנד
דו"ח: פגסוס של NSO שימשה למעקב אחר אקטיביסטים פרו-דמוקרטים מתאילנד
עקבות תוכנת הריגול של NSO נמצאו, על פי דו"ח של סיטיזן לאב, בסמארטפונים של ילדים שלבשו גופיית בטן כסאטירה על המלך, של נשיאת אגודת הסטודנטים בתאילנד ושל פעילים חברתיים שנעצרו בעבר בשל התאגדות לא חוקית או פגיעה בכבוד המלך
תוכנת הריגול פגסוס של NSO הישראלית שימשה למעקב אחרי לפחות 30 אקטיביסטיים פרו-דמוקרטיים מתאילנד, בהם צעירים בני 18 – כך לפי דו"ח של מכון המחקר סיטיזן לאב של אוניברסיטת טורנטו שהתפרסם הבוקר. הדו"ח נכתב בשיתוף הארגונים iLaw ו-DigitalReach, וממצאיו אומתו על ידי אמנסטי טק.
"חלק מהקרבנות היו ילדים שלבשו גופיות בטן כסאטירה על המלך", אמר לכלכליסט ג'ון סקוט ריילטון, חוקר בכיר בסיטיזן לאב שהוביל את כתיבת הדו"ח הנוכחי. "זה ברור לכל שהרוגלה של NSO היא כלי לדיכוי. בשלב הזה, המעורבות של NSO בניצול לרעה של התוכנה שלה לא יכולה להיות בספק. מספיק זה מספיק. זו חברה שאבדה שליטה וממשיכה להביך את הרגולטורים שאישרו את המכירות האלה ולפגוע במוניטין של תעשיית הטכנולוגיה המופלאה בישראל. חבל מאוד שאחת מחברות הטכנולוגיה המפורסמות בישראל אחראית לכל כך הרבה דברים רעים".
לצד סקוט-ריילטון היו שותפים לחיבור הדו"ח גם ביל מרזק, אירנה פואטראנו, בכר עבדול-ראזק, סוטאוואן צ'אנפראסרט וראש מכון סיטיזן לאב פרופ' רון דיברט.
הטריגר לחקירה הנוכחית היה הודעות ששלחה אפל בנובמבר 2021 לבעלי אייפון שלפי החשד היו יעד לתקיפה מצד פגסוס. ההודעות נשלחו בעקבות דו"ח מוקדם יותר של סיטיזן לאב, שחשף פרצת אבטחה באייפון שנוצלה על ידי NSO להשתלת פגסוס. "פעילי חברה אזרחית רבים בתאילנד קיבלו את האזהרה", נכתב בדו"ח, "זמן קצר לאחר מכן, רבים מהם פנו לסיטיזן לאב ולגופים מקומיים".
מקבלי ההודעות וקורבנות פוטנציאלים אחרים העבירו לסיטיזן לאב ראיות פורנזיות. ניתוח טכני של מידע זה זיהה שלפחות חלק מהם אכן הודבקו בפגסוס, בהם גורמי מפתח בארגוני חברה אזרחי בתאילנד, אקטיבסטים, אקדמאים ועורכי דין. ההדבקות בוצעו בין אוקטובר 2020 לנובמבר 2021, במקביל לתקופה של מחאות פרו-דמוקרטיות רחבות במדינה. רבים מהקרבנות עוכבו לחקירה, נעצרו ונאסרו בעקבות פעילותם הפוליטית או הביקורת שלהם על הממשל.
במקביל, זוהו מתקפות נגד פרטים שלא היו מעורבים בפעילות פוליטית פומבית. "ייתכן שזה משקף את כוונת התוקף לחשוף פרטים על איך תנועת האופוזיציה מאורגנת. ייתכן שהתקיפות בוצעו על סמך עסקאות כספיות שהיו ידועות רק למוסדות פיננסיים ולממשלת תאילנד", נכתב בדו"ח.
הניתוח הפורנזי של סיטיזן לאב מתבסס על זיהוי אינדיקטורים לפעילות של פגסוס במכשיר שפותחו לאורך שש שנות חקירה התוכנה, כולל באמצעות ניתוח קוד המקור של פגסוס. במקרים מסוימים, הראיות הפורנזיות מאפשרות לזהות גם את המועד שבו הותקף המכשיר, באחרים רק טווח תאריכים אפשרי. לפי הדו"ח, התקיפות בוצעו באמצעות שתי מתקפות זירו-קליק שונות (מתקפות שלא מצריכות פעולה מצד הקרבן כדי להחדיר את הרוגלה) באייפון, שזוהו בעבר על ידי סיטיזן לאב ותוקנו מאז על ידי אפל.
אחת הקרבנות היא Jutatip Sirikahn, פעילה מרכזית בארגון FreeYOUTH ונשיאת ארגון הסטודנטים של תאילנד. היא נעצרה ב-1 בספטמבר 2020 אחרי שהשתתפה בהפגנה פרו-דמוקרטית. לפי סיטיזן לאב, הטלפון שלה הותקף ב-21 באוקטובר של אותה שנה ושוב ב-18 במרץ 2021, יומיים לפני המועד של הפגנה רחבה בבנגקוק. בסך הכל הודבק מכשירה שש פעמים. ארבעה פעילים נוספים ב-FreeYOUTH הותקפו גם הם.
כמו כן הותקפו, בין אוגוסט לספטמבר 2021, לפחות שלושה פעילים בארגון WEVO. בעת המתקפה, 66 מפעילי הארגון הואשמו בעבירות כמו התאגדות בלתי חוקית, פגיעה בכבוד המלך או הפרה של צו חירום. קורבן נוסף היא Panusaya Sithijirawattanakul, פעילה ב-United Front of Thammasat and Demonstration, שב-2020 נבחרה על ידי BBC לאחת מ-100 הנשים המשפיעות בעולם. בדצמבר 2020 היא לבשה גופיית בטן בעת ביקור בקניון עם הכיתוב "יש לי רק אבא אחד". רשויות תאילנד ראו בהתנהגות זו כעלבון כלפי המלך (שצולם פעם בטקס רשמי כשהוא לובש גופיית בטן). היא הותקפה עם פגסוס שלוש פעמים ביוני 2021 ופעם נוספת בספטמבר אותה שנה. שלושה פעילים אחרים בארגון הותקפו גם הם.
קורבנות נוספים כוללים שלושה פעילים אנונימיים שתרמו כספים למחאות הפרו-דמוקרטיות. לדברי פעילים אלה, הם לעתים השתתפו במחאות אך מעולם לא כמארגנים או כדוברים. כן הותקף הראפר הפופולרי והאקטיביסט Dechathorn Bamrungmuang, שנעצר לאחר שהופיע בהפגנה פרו-דמוקרטית.
אף שלחוקרים אין מידע ודאי לגבי הגורם שעומד מאחורי המתקפות, ראיות נסיבתיות מצביעות על כך שמדובר בתאילנד. זאת, בין השאר, לאור זהות הקרבנות, העובדה שהמתקפות מצביעות על ידע נרחב בהיבטים לא-פומביים של הקהילה האקטיביסטית במדינה, תזמון המתקפות למועדי אירועים פוליטיים שרלוונטיים לתאינלד, וממצאי עבר שלפיהם עושה ממשלת תאילנד שימוש בפגסוס.
"בחנו הסברים חלופיים אחרים לממצאים אלה, כמו לקוח ממשלתי אחר", כתבו החוקרים. "אבל בשעה שתרחיש שכזה אפשרי, מספר גורמים הופכים אותו לבלתי סביר. פעילות האקינג נרחבת שכזו נגד פרטים בולטים במדינה אחרת היא מסוכנת ועלולה להתגלות. בנוסף, זהות הקרבנות, ובמקרים מסוימים תזמון התקיפות, משקפים מידע שזמין בקלות לרשויות בתאילנד, כמו פעילות כספית לא-פומבית, אבל שממשלות אחרות יתקשו מאוד להשיג".
"זה מזעזע שאנשים יכולים לאבד את פרטיות רק כי לבשו גופייה עם סיסמאות פרו-דמוקרטיות, או כי כתבו שיר ראפ בגנות המלך", אמר ל"כלכליסט" ד"ר ביל מרזק, עמית מחקר בסיטיזן לאב שהיה שותף לכתיבת הדו"ח. "הדברים האלו אינם פשע, והם לא טרור, ובכל זאת הטכנולוגיה של NSO שימשה נגד האנשים האלה".
מ-NSO נמסר בתגובה: "ארגונים בעלי מניעים פוליטיים ממשיכים להעלות טענות לא מבוססות נגד NSO, בתקווה שהן יביאו לחרם כולל על כל טכנולוגיות מודיעין הסייבר, על אף שהוכחו כמצילות חיים. אנחנו מפנים אתכם לדו"ח עצמו, שמציין שהראיות הפורנזיות שנאספו ממכשירים נגועים לא סיפקו בפני עצמן ראיות חזקות שהצביעו על לקוח ספציפי של NSO".