חברת הסייבר הישראלית שקשורה ל-NSO ומוכרת מערכות ריגול - נחשפת
דו"ח חדש של מכון סיטיזן לאב באוניברסיטת טורנטו חושף את הפעילות הבינלאומית של חברת הסייבר ההתקפי סירקלס טכנולוג'יס, חברה בעלת פרופיל צנוע יחסית שנוסדה על ידי ישראלים והיא בעלת קשרים עסקיים קרובים ל-NSO הישראלית, ולפי כמה דיווחים אף נמצאת בשליטתה
מסוכנות ביון בגואטמלה, דרך צבא תאילנד, עד מועצת הביטחון העליונה של איחוד האמירויות, ועם עוד כשני תריסר מדינות וגופים באמצע: דו"ח חדש של מכון סיטיזן לאב באוניברסיטת טורנטו חושף את הפעילות הבינלאומית של חברת הסייבר ההתקפי סירקלס טכנולוג'יס (Circles Technologies), חברה בעלת פרופיל צנוע יחסית שנוסדה על ידי ישראלים והיא בעלת קשרים עסקיים קרובים ל-NSO הישראלית, ולפי כמה דיווחים אף נמצאת בשליטתה.
- ביהמ"ש בקליפורניה: התביעה של פייסבוק נגד NSO תימשך
- פוליטיקאים בקטלוניה הוזהרו כי תוכנת הריגול של NSO הותקנה בטלפונים שלהם
- אמנסטי: תוכנת הריגול של NSO שימשה את הרשויות במרוקו לרגל אחר עיתונאי חוקר
"אנחנו מקווים שהדו"ח יאפשר לאנשים לשאול שאלות מדויקות ואולי לשפר את הרגולציה על התחום שכיום הוא כמו המערב הפרוע", אמר ל"כלכליסט" ד"ר ביל מרזק מאוניברסיטת קליפורניה בברקלי ועמית מחקר בכיר בסיטיזן לאב, שהוביל את חיבור הדו"ח. צוות החוקרים של סיטיזן לאב כלל גם את ג'ון סקוט-ריילטון, סידהארת' פראקאש ראו, סיינה אנסטיס ורון דייברט.
סירקלס נוסדה על ידי טל דיליאן, לשעבר מפקד היחידה הטכנולוגית של אגף המודיעין, ופיתחה טכנולוגיה "שמסוגלת לפרוץ לכל טלפון נייד בתוך 6 שניות", כפי שטען בעבר דיליאן בראיון לפורבס. בין השותפים בחברה נמנה בשלב מסוים גם אריק בנון, שכלכליסט חשף ששימש כמתווך בעסקאות למכירת תוכנת הריגול של NSO, פגסוס, למדינות שונות. לפי דיווח של אתר Forensic News מאפריל האחרון, ממסמכים מקפריסין, שם היתה רשומה סירקלס, מעידים שב-2014 החברה נרכשה על ידי NSO באמצעות חברה בת הרשומה בלוקסמבורג. מסירקלס נמסר לכלכליסט: "NSO וסירקלס הן חברות נפרדות בתוך אותה משפחה תאגידית״.
בניגוד למערכת פגסוס של NSO, שלאחר התקנה על המכשיר הנייד של הקרבן אוספת את כל המידע שקיים עליו, ומסוגלת גם להפעיל מרחוק את המצלמה, המיקרופון ועוד, המערכת של סירקלס עובדת ברמת הרשת הסלולרית ומאפשרת לתוקף לשבת על תשתית הסלולר באזורו או להתחבר למערכת נפרדת בשם Circles Cloud, שמחוברת לתשתיות סלולר בכל העולם. חיבור זה מאפשר לנטר שיחות הודעות SMS ומיקומי מכשירים, אך לא לגשת למידע השמור על המכשיר, לנטר מידע מוצפן (כמו תכתובת בווטסאפ) או להפעיל אותו מרחוק. מצד שני, המערכת של סירקלס לא דורשת גישה ישירה למכשיר או פעולה מצד המשתמש לצורך התקנת תוכנת הריגול, אינה משאירה עקבות על גבי המכשיר וניתנת לפריסה בצורה רחבה יותר.
עד עתה, מידע על היקף הפעילות של סירקלס התבסס על מסמכים פומביים, דוגמת דיונים משפטיים, או מידע שמסרו מקורות פנימיים כחלק מתחקירים עיתונאיים. ב-2016, למשל, העיתון הניגרי Premium Times דיווח שכמה מושלים במדינה רכשו את המערכות של סירקלס, ושאחד המושלים אף התקין אותה באחוזתו. מסמכים בתביעה שהוגשה נגד NSO בישראל העלו לכאורה שלסירקלס יש כמה לקוחות באיחוד האמירויות. ממצאי הדו"ח של סיטיזן לאב, מנגד, מספק ניתוח ראשון מבוסס ממצאים טכניים על פעילות סירקלס ב-25 מדינות.
נקודת המוצא של החקירה היתה טווחים של כתובות IP (מספר מזהה ייחודי שמוצמד לכל מחשב או שרת שמחובר לרשת), שמשוייכים לסירקלס ושהחוקרים אתרו דרך מאגרי מידע ציבוריים. החוקרים הזינו את כתובות אלו למנוע חיפוש ייעודי בשם שודאן, שסורק את הרשת ומזהה מחשבים ומכשירים שונים שמחוברים לרשת לפי כתובות IP. "רצינו לראות אם יש משהו מעניין בכתובות האלו", אמר מרזק. "מצאנו תריסר כתובות שהתחברו לרשת באמצעות פיירוול של צ'ק פוינט (מוצר הגנה נגד תקיפות מקוונות שצ'ק פוינט משווקת בצורה רחבה לחברות בכל העולם. לחברה אין קשר לפעילות הריגול של סירקלס או NSO, ע"כ). הפיירוולים של צ'ק פוינט מציגים מידע פומבי כמו השם של מי שהתקין את הפירוול והשם של שרת הניהול".
השרת בשרתים אלו הוגדר תחת כתובת אתר בשם tracksystem.info. כתובת זו נקשרה לסירקלס, בין השאר באימיילם שהודלפו מהחברה. בשלב זה חיפשו החוקרים, בשודאן ובמנועי חיפוש ייעודיים נוספים, האם יש פיירוולים נוספים של צ'ק פוינט שבהם מוגדרת tracksystem.info ככתובת שרת הניהול. חיפוש זה הנפיק כ-240 כתובות IP שונות, שבחלקן המידע שהוזן לפיירוול כלל פרטים מזהים שהזינו הגופים או המדינות שמפעילים את הפיירוול. לחוקרים היתה, למעשה, רשימה של גופים שהתחברו לכתובת אתר השייכת לסירקלס, מה שהוביל אותם למסקנה שהם משתמשים במערכת הריגול של החברה.
הממצאים של סיטיזן לאב חושפים שבין המדינות שעושות שימוש במערכת החברה, יש גם כאלו עם היסטוריה מפוקפקת בכל הנוגע לשמירה על זכויות אדם ואזרח. בצ'ילה, למשל, זיהו החוקרים מערכת אחת של סירקלס שהופעלה על ידי רשות אכיפת החוק הראשית של המדינה, PDI, שרכשה בעבר מערכות ריגול מחברות אחרות דוגמת האקינג טים. לסוכנויות אכיפת החוק של צ'ילה יש היסטוריה של פגיעה בזכויות אדם ואזרח, ובעבר הן ירטו שיחות ותכתובת ווטסאפ של עיתונאים ומנהיגי אופזיציה. יש לציין כי זוהה שימוש במערכת גם במגוון דמוקרטיות מערביות, דוגמת אוסטרליה, בלגיה ודנמרק. אלו, ככל הנראה, עושות שימוש במערכת במסגרת חקירת פשיעה חמורה או מלחמה בטרור, ומפעילות אותה בקפידה בהתאם לצווי בית משפט.
בגואטמלה זוהתה מערכת שהופעלה על ידי סוכנות הביון האזרחי (DIGICI, General Directorate of Civil Intelligence). עיתון מקומי דיווח ב-2018 שסוחרי נשק ישראלים מכרו לסוכנות זו מגוון מערכות ריגול, כולל מתוצרת NSO וסירקלס. לפי הדיווח, הסוכנות השתמשה במערכות אלו כדי לרגל אחרי עיתונאים, אנשי עסקים ויריבים פוליטיים של הממשל המקומי.
למקסיקו יש היסטוריה ארוכת שנים כאחת הלקוחות הבולטות של NSO, ובעבר דווח פעמים רבות שהממשלה השתמשה במערכות החברה על מנת לרגל אחרי עיתונאים, פעילי זכויות אדם ובני משפחה של קרבנות הקרטלים. חוקרי סיטיזן לאב זיהו במדינה מערכת של סירקלס שהופעלה על ידי הצי המקסיקני, וכן מערכת שהופעלה במדינת דוראנגו שבמרכז מקסיקו.
דו"ח של ארגון Front Line Defenders חשף ב-2018 שניגריה הפעלה מערך ריגול המוני נגד אזרחי באמצעות מערך הטלקום במדינה. לפי סיטיזן לאב, בניגריה מופעלות כיום שתי מערכות של סירקלס, אחת מהן על ידי סוכנות מודיעין בשם Nigerian Defence Intelligence Agency והשנייה על ידי גורם עלום.
בתאילנד זוהו שלוש מערכות של סירקלס, שתיים מהן מופעלות על ידי יחידות של צבא תאילנד ואחת על ידי מחלק הסמים של משטרת תאילנד. אחת מיחידות צבא אלו, Royal Thai Army Internal security Operations Command, הואשמה בעבר בעינוי אקטיבסטים. ביוני השנה דיווח ״הניו יורק טיימס״ שלפחות תשעה גולים תאילנדים, מבקרים בולטים של הצבא ושל משפחת המלוכה של תאילנד, נחטפו מהמדינות שבהן התגוררו. במקרה אחד, גופות של שלושה פעילים מלאוס התגלו בתאילנד על ידי דייג מקומי.
איחוד האמירויות, שחתמה לאחרונה על הסכם אברהם מול ישראל, אוזכרה מספר פעמים כלקוחה של NSO, ולפי דיווחים השתמשה בתוכנת הריגול של החברה על מנת לרגל אחרי בני משפחת המלוכה של קטאר, וכן ניסתה לרגל באמצעותה אחרי נסיך סעודי וראש ממשלת לבנון. שלוש מערכות של סירקלס אותרו במדינה, בהן אחת בשימוש על ידי מועצת הביטחון העליונה של איחוד האמירויות.
מערכת אחת זוהתה בזמביה. ב-2019 דיווח ״הוול סטריט ג'ורנל״ שהמדינה עצרה קבוצת בלוגרים מתנגדי משטר שהפעילו אתר חדשות, בסיוע "יחידת מעקב הסייבר של רגולטור הטלקום של זמביה, שזיהתה את את מיקום המדויק". מדובר ביכולת שהמערכת של סירקלס מאפשרת, אך לא ברור האם נעשה בה שימוש במקרה זה.
מדינות נוספות שבהן זוהתה פעילות של המערכת כוללות את אקוודור, אל סלבדור, גיניאה המשוונית, הונדורס, אינדונזיה וקניה. פעילות של המערכת זוהתה גם בישראל, ואולם ייתכן שמדובר במרכז הפעלה שלה ולא בפעילות ריגול מקומית.
"הפרסום הוא צעד ראשון בדרך להטלת האחריות על השימוש שנעשה בתוכנה על החברה", אמר מרזק. "כי ברגע שיודעים מה החברה עושה אנשים יכולים לשאול שאלות מוצקות יותר, כמו האם צריך לחקור עסקאות מסוימות או האם צריך לתת לחברה רישיון ייצוא. זה נותן יותר מידע למאמצים לגרום לתעשייה לשאת באחריות לשימוש שנעשה במוצרים שלהן. זו נקודת מוצא.
"מה שחשוב בדו"ח הזה הוא שאנחנו מביאים את השיטה המדעית לבעיה שבה מרבית המידע הזמין הוא שמועות מיד שנייה. חשוב ליצור מידע מדויק, להיות מסוגלים לייחס את הפעילות לחברות מסוימות ולממשלות מסוימות. זה מידע רב ערך לארגוני חברה אזרחית, מקבלי החלטות ובעלי עניין נוספים. מה שאני הכי אוהב בעבודה הזו הוא שאנחנו מקבלים תוצאות מדויקות ברמת אמון גבוה. זו תעשייה שמאתגר לחקור. היא מבוססת על סודיות, והיכולת לספק תוצאות רמת ודאות כלשהי חשובה במאמצים להביא שקיפות לתעשיית המעקב".
אתה לא חושש שבעצם החשיפה של פעילות זו אתה למעשה צפנה תשומת לב לחברה ומסייע לה לגייס לקוחות?
"אם אנחנו רק מדווחים על כמה תוכנת הריגול שלהם יעילה, אולי זה יגביר את המכירות שלהם. אבל אם תסתכל על 2016, חשפנו פרצה לא ידועה ש-NSO השתמשה בה, ולקוחות החברה יכלו להמשיך לנצל אותה. זה שיבש את פעילות החברה. אולי היה אפקט של העלאת המודעות ל-NSO, אבל הם היו יכולים עשות את זה בלי עזרתנו. לשיבוש המוחשי בפעילות החברה שנוצר בעקבות החשיפה שלנו היה אפקט חיובי.
"כשמייסדי NSO רכשו בחזרה את השליטה בחברה שלהם, היה דיווח בבלומברג ששווי החברה נפגע בעקבות הפרסומים על שימוש לרעה במוצרי החברה. יש אפקט מוחשי מבחינת לנסות להעלות את המודעות לנושאים אלו, ואנשים מגיבים לכך. יש ראיות לכך שלעבודה שלנו בסיטיזן לאב יש אפקט שמידע אנשים על הניצול לרעה של מוצרים אלו וגורם להם לדחוק בחברה לנקוט בצעדים שמתקנים חלק מהם".
מסירקלס נמסר בתגובה: "NSO וסירקלס הן חברות נפרדות בתוך אותה משפחה תאגידית. NSO וסירקלס מובילות את התעשייה שלהן במחויבות לאתיקה עסקית ולעמידה בחוקים וברגולציות קפדניים בכל שוק שבו הן פועלות. כמו שציינו בעבר, סירקלס מעורבת בחיפוש ובהצלה ובטכנולוגיית זיהוי מיקום טקטי. אנחנו לא יכולים להגיב על דו"ח שלא ראינו. בהתחשב בעבר של סיטיזן לאב, אנחנו מדמיינים ששוב מדובר בהנחות לא מדויקות ללא שליטה מלאה בעובדות. כתמיד, אנחנו מתבקשים להגיב על דו"ח שלא פורסם מארגון עם אג'נדה קבועה מראש".