Read a text description of this video
Lama Fakih, Crisis and Conflict director and head of Beirut office at Human Rights Watch:
On November 24 last year, I received an iMessage from Apple that left me rattled. My name is Lama Fakih and I am the Crisis and Conflict director at Human Rights Watch.
Text:
Lama’s phones were infected at least five times using Pegasus spyware.
Text:
What is Pegasus?
Text:
It is a surveillance software developed by Israel-based company NSO Group.
Text:
It can access your device’s camera and mic, and also emails, texts, address book, photos, call history, calendar entries, internet history.
Lama Fakih, Crisis and Conflict director and head of Beirut office at Human Rights Watch:
I was targeted with so-called zero-click attacks which meant I didn’t have to do anything like click on a link for the attack to begin. There’s just no way to prevent an attack like this.
Text:
NSO Group says it only sells Pegasus to governments to stop criminals and terrorists. They said that targeting a Human Rights Watch staff member would violate company policies, and that they would examine the claim.
But researchers and human rights organizations have repeatedly shown that Pegasus has been used to target the phones of journalists and human rights defenders.
Text:
The targeting of Human Rights Watch fits a pattern of abuse…in which governments use commercial spyware to silence critics.
Lama Fakih, Crisis and Conflict director and head of Beirut office at Human Rights Watch:
These attacks make our work harder and they make it riskier. People have been detained, they’ve been tortured and even killed after they or someone they know have been attacked with spyware.
Text:
Apple and WhatsApp have filed lawsuits against NSO Group for targeting their users. The US has restricted trade with the company.
Lama Fakih, Crisis and Conflict director and head of Beirut office at Human Rights Watch:
But this is not enough. Governments should immediately suspend the flourishing trade in surveillance technologies until a rights-respecting regulatory framework is in place. They should stop surveillance companies from profiting off of rights abuse.
(ניו יורק) – ארגון Human Rights Watch אמר היום כי השתלת רוגלת פגסוס בטלפון של חברת צוות Human Rights Watch מדגישה את הצורך הדחוף בהסדרת הסחר העולמי בטכנולוגיות מעקב. על ממשלות לאסור על מכירה, יצוא והעברה של טכנולוגיות מעקב ועל השימוש בהן עד אשר ייקבעו אמצעי הגנה נאותים על זכויות האדם.
בין אפריל לאוגוסט 2021 הושתלה רוגלת פגסוס חמש פעמים בטלפון של למא פקיה, מנהלת משברים וסכסוכים בארגון Human Rights Watch וראש משרדו בבירות. פגסוס פותחה ונמכרת על ידי חברת NSO הישראלית. הרוגלה מותקנת בגניבה בטלפונים ניידים, ומרגע ההתקנה, הלקוח של החברה יכול להפוך אותו לכלי מעקב רב עוצמה, שכן הרוגלה מקנה לו גישה מלאה למצלמת המכשיר, לשיחות הטלפון, למדיה, למיקרופון, לדואר האלקטרוני, להודעות הטקסט ולפונקציות אחרות, המאפשרות מעקב אחר בעל הטלפון ואחרי אנשי הקשר שלו.
לדברי דבורה בראון, חוקרת בכירה ואחראית סנגור בנושא זכויות דיגיטליות בארגון Human Rights Watch, "ממשלות משתמשות ברוגלה של חברת NSO כדי לנטר ולהשתיק מגיני זכויות אדם, עיתונאים וחושפי הפרות של זכויות האדם [...] העובדה שהחברה הורשתה לפעול מבלי לתת דין וחשבון על מעשיה על אף ראיות מוצקות להפרות, לא רק פוגעת במאמצים של עיתונאים וארגוני זכויות אדם לדרוש מגורמים רבי עוצמה לתת דין וחשבון על התנהלותם, אלא גם מעמידה בסכנה חמורה את האנשים שהם מנסים להגן עליהם”.
פקיה, המחזיקה הן באזרחות אמריקאית והן באזרחות לבנונית, מפקחת על טיפול הארגון במשברים במגוון מדינות ובהן סוריה, מיאנמר, ישראל/פלסטין, יוון, קזחסטן, אתיופיה, לבנון, אפגניסטן וארה"ב. עבודתה כוללת תיעוד וחשיפה של הפרות זכויות אדם ושל פשעים בינלאומיים חמורים במהלך סכסוכים מזוינים, אסונות הומניטריים ותסיסה חברתית או פוליטית חמורה. לדברי ארגון Human Rights Watch, ייתכן שעבודתה זו משכה את תשומת ליבן של ממשלות שונות, לרבות כאלה הנחשדות כלקוחות של חברת NSO.
לדברי פקיה, "אין זה מקרה שממשלות משתמשות ברוגלות כדי לעקוב אחר פעילים ועיתונאים, אותם אנשים החושפים את השיטות הפוגעניות שלהם". "נראה שהן סבורות שהמעקב יאפשר להן לבסס את כוחן, להשתיק התנגדות ולהמשיך בסילוף העובדות".
ב-24 בנובמבר 2021 הודיעה חברת אפל לפקיה באמצעות דואר אלקטרוני, ב-iMessage ובהתראה במסך ההתחברות של AppleID כי ייתכן שסוכנים מטעם מדינה כלשהי עוקבים אחרי מכשיר האייפון האישי שלה. לאחר שערך ניתוח פורנזי, קבע צוות אבטחת המידע של ארגון Human Rights Watch כי רוגלת פגסוס הושתלה על מכשיר האייפון הנוכחי והקודם של פקיה. הממצאים נבדקו ואומתו באמצעות ביקורת עמיתים ממעבדת האבטחה של אמנסטי אינטרנשיונל.
הרוגלה הושתלה על הטלפונים של פקיה באמצעות מתקפת "אפס-קליקים", כלומר מבלי שנדרשה פעולה כלשהי מצידה כגון לחיצה על קישור. מדובר בטכניקת פריצה מתקדמת, מתוחכמת ויעילה אשר מקשה מאוד על הקורבן לזהות את המתקפה או לחסום אותה.
כך התווספה חברת הצוות של ארגון Human Rights Watch לרשימה הולכת וגדלה של פעילי זכויות אדם, עיתונאים, פוליטיקאים, דיפלומטים ואחרים הנתונים תחת מעקב באמצעות התקנת הרוגלה על מכשיריהם אגב הפרה של זכויותיהם. בחודש יולי 2021 חשף פרויקט פגסוס, שיתוף פעולה בין ארגוני תקשורת בתיאום Forbidden Stories, ארגון תקשורת ללא מטרות רווח שמשרדיו בפריס ובתמיכה טכנית של ארגון אמנסטי אינטרנשטיונל, כיצד רוגלת פגסוס הוחדרה למכשירי הטלפון של עשרות פעילים, עיתונאים ואנשי אופוזיציה במדינות רבות. פרויקט פגסוס זיהה לקוחות אפשריים של חברת NSO באזרבייג'ן, בחריין, הונגריה, הודו, קזחסטן, מקסיקו, מרוקו, רואנדה, ערב הסעודית, טוגו ואיחוד האמירויות הערביות.
במהלך שלושת החודשים האחרונים לבדם, נחשף בחקירות כי רוגלת פגסוס הוחדרה, בין היתר, למכשירים של שישה פעילי זכויות אדם פלסטינים, ארבעה קזחים פעילי החברה האזרחית, אחד עשר בעלי תפקידים בשגרירות ארה"ב באוגנדה, שני אנשי אופוזיציה פולנים, חבר בצוות חקירה עצמאי של האו"ם בנושא זכויות האדם בתימן, פעיל זכויות אדם בבחריין, פעיל זכויות אדם בירדן ו-35 עיתונאים ופעילי החברה האזרחית באל סלבדור.
בתגובה לראיות לשימוש בפגסוס למעקב אחר מגיני זכויות אדם, עיתונאים ומתנגדי משטר, אמרה חברת NSO שוב ושוב שרישיון השימוש בטכנולוגיה שלה מופץ אך ורק כדי להעניק לממשלות ולרשויות אכיפת החוק יכולת להילחם בטרור ובפשע באופן חוקי וכי היא אינה מפעילה בעצמה את הרוגלה שהיא מוכרת ללקוחות ממשלתיים.
כשפנה ארגון Human Rights Watch לחברת NSO כדי לבקש את תגובתה, אמרה החברה כי "לא ידוע לה על שום לקוח פעיל המשתמש בטכנולוגיה [שלה] נגד חבר/ת צוות בארגון Human Rights Watch" וכי היא תפתח בבדיקה ראשונית של טענתנו כדי לקבוע אם יש הצדקה לפתוח בחקירה. החברה אמרה כי היא רואה בחומרה "כל טענה בדבר שימוש לרעה במערכת [שלה] נגד מגן זכויות אדם", וכי שימוש כזה יפר את מדיניות החברה וסעיפים בחוזי המכירות שלה. החברה הפנתה את ארגון Human Rights Watch למדיניותה בנושא חושפי פעילות בלתי-חוקית ולדו"ח השקיפות שלה המתאר את אופן תגובתה לטענות כאלה.
הפעולות שנקטו באחרונה ממשלות וגורמים אחרים נגד חברות מעקב הן בכיוון הנכון, אך לדברי ארגון Human Rights Watch, כדי לרסן את התעשייה המתפתחת של טכנולוגיית המעקב, לרבות חברת NSO ואחרות, תידרש רגולציה ממשלתית מתואמת ושאפתנית יותר. על ממשלות לאסור על מכירה, יצוא והעברה של טכנולוגיות מעקב ועל השימוש בהן עד אשר ייקבעו אמצעי הגנה נאותים על זכויות האדם.
לדברי בראון, "על ממשלות לפעול בהתאם לראיות המצביעות על הפרת הזכויות הנפוצה ברחבי העולם עקב מכירה חסרת רסן של טכנולוגיות מעקב [...] מגיני זכויות האדם קוראים לרגולציה, חברות גדולות פותחות בהליכים משפטיים, בשעה שהימנעותן של ממשלות מנקיטת פעולה נחרצת נגד תעשיית הרוגלות היא איום ממשי על זכויות האדם הבסיסיות".
פעולות שננקטו לאחרונה נגד חברות הרוגלה
בחודשים האחרונים החלו חברות וממשלות לנקוט צעדים נגד חברות המייצרות רוגלות. ב-19 ביולי 2021 בעקבות הדיווחים של פרויקט פגסוס, הכריזה Amazon Web Services כי השביתה חשבונות ענן המקושרים לחברת NSO. ב-3 בנובמבר הכריזה לשכת המסחר של ארה"ב על החלטתה להוסיף את החברות NSO וקנדירו, חברה ישראלית נוספת המייצרת רוגלות, לרשימת הגבלות הסחר שלה (רשימת ישויות), בגין "פעילות שנוגדת את מדיניות החוץ ואת האינטרסים הלאומיים הביטחוניים של ארה"ב".
ההחלטה אוסרת לייצא לחברות NSO וקנדירו מארה"ב כל סוג של חומרה או תוכנה ללא רישיון מיוחד מלשכת המסחר של ארה"ב. אף שההחלטה אינה אוסרת על פי חוק על כל תמיכה מהותית (פיננסית או טכנית), היא הכניסה למעשה את שתי החברות לרשימה שחורה בארה"ב.
ב-9 בספטמבר 2021 נכנסו לתוקף הכללים המעודכנים של האיחוד האירופי ליצוא של טכנולוגיות מעקב. הרגולציה מחמירה פחות מכפי ששאפו ארגוני זכויות אדם שקראו למשל לאסור על מכירת טכנולוגיות מעקב לממשלות פוגעניות. אולם היא מחייבת את הנציבות האירופית לדווח לציבור את מספר הבקשות לרישיון יצוא שהוגשו עבור כל סוג של טכנולוגיית מעקב עבור כל מדינה חברה ועל יעדי היצוא. כמו כן היא מוסיפה את הסיכון לפגיעה בזכויות האדם כקריטריון בעת מתן רישיון יצוא. לדברי ארגון Human Rights Watch, יש למקסם את השפעת הרגולציה החדשה באמצעות פרשנות מרחיבה ויישום דקדקני.
פקיה קיבלה את ההודעה לאחר שבחודש נובמבר החלה חברת אפל ליידע משתמשים שהושתלה אצלם לכאורה רוגלה מטעם מדינה כלשהי.
חברת WhatsApp הגישה תביעה בגין פריצה לחשבונותיהם של 1,400 משתמשים באפליקציה באמצעות הרוגלה של חברת NSO בשנת 2019. בעקבותיה, הגישה אפל ב-23 בנובמבר 2021 תביעה נגד חברת NSO וחברת האם שלה, בגין פריצה למכשיריהם של משתמשי אפל ומעקב אחריהם.
היסטוריה ארוכה של פגיעה בזכויות באמצעות רוגלות
מזה למעלה משני עשורים שארגוני זכויות אדם, אקדמאים ועיתונאים מדווחים על שימוש ממלכתי ברוגלות מסחריות לשם הפרת זכויות.
טכנולוגיות מעקב מסחריות כוללות חומרה, תוכנה ושירותים המאפשרים מעקב סמוי וגלוי באמצעות מערכות דיגיטליות במטרה לנטר וכן לחלץ מידע, לאגור אותו ולנתחו. במקביל לגידול האקספוננציאלי בתלות בכלים ובטכנולוגיות דיגיטליות במהלך שני העשורים האחרונים, גבר גם העניין שגילו ממשלות רבות בטכנולוגיות מעקב. פיתוחן של טכנולוגיות מעקב מתקדמות וחודרניות במידה הולכת וגדלה הגביר גם את הסיכון הנשקף לזכויות האדם משימוש לרעה בטכנולוגיות אלה.
לטכנולוגיות מעקב מסחריות מנעד פעולות רחב, הכולל חילוץ חשאי של מידע ממכשירים אישיים; מעקב אחר מיקום העשוי להניב תובנות חושפניות לגבי זהותו, מיקומו, התנהגותו, קשריו החברתיים ופעילותו של הנעקב; Deep packet inspection המאפשרת ניטור, ניתוח והסטה של תעבורת אינטרנט אשר עלולה לשמש להדבקת מכשירים בתוכנות זדוניות ולחסום בפניהם גישה לאתרים מסוימים; וטכנולוגיית זיהוי פנים ורגש שנועדה ללכוד ולזהות את מאפייני הפנים של אדם או להסיק מהבעות פניו את רגשותיו או כוונותיו, בהתבסס על שיטות סיווג מפוקפקות ביותר.
חברות רבות המוכרות רוגלות מסחריות פועלות מארה"ב, מקנדה, מאירופה, מבריטניה ומישראל, אם כי העמימות האופפת את פעילות תעשיית המעקב המסחרי אינה מאפשרת להעריך את מלוא היקפה או את טווח פעולתה.
הפריצה למכשירי הטלפון של חברת צוות Human Rights Watch
חברת אפל הודיעה ללמא פקיה, מנהלת משברים וסכסוכים בארגון Human Rights Watch באמצעות דואר אלקטרוני, ב-iMessage ובהתראה במסך ההתחברות של AppleID ב-23 וב-24 בנובמבר 2021, כי ייתכן שסוכנים הפועלים מטעם מדינה כלשהי עוקבים אחרי מכשיר האייפון שלה.
עביר ר'טאס, מנהלת שותפה של תחום אבטחת המידע בארגון Human Rights Watch, אישרה את מהימנותן של ההודעות ששיגרה אפל. לאחר מכן ניתחה ר'טאס פורנזית את האייפון הנוכחי והקודם של פקיה, ששניהם היו מקושרים לאותו AppleID, כדי לקבוע אם המכשירים הודבקו ברוגלה. מהניתוח שערך ארגון Human Rights Watch עולה שעל שני המכשירים (אייפון 12 ואייפון XS) הושתלה רוגלת פגסוס של חברת NSO.
בדיקת האירועים בשני המכשירים חשפה עקבות של תהליכונים שקושרו לרוגלת פגסוס של NSO, במחקר שערכה בעבר מעבדת האבטחה הבינלאומית של אמנסטי אינטרנשיונל.
ארגון Human Rights Watch חלק את הנתונים הפורנזיים עם מעבדת האבטחה של אמנסטי אינטרנשיונל, שערכה ביקורת עמיתים ואישרה באופן עצמאי את הממצאים (ראו להלן תחת ממצאים טכניים עיקריים).
המלצות
כדי לתת מענה לסיכון הגבוה להפרת זכויות הנלווה לשימוש בכל סוגי טכנולוגיות המעקב, ארגוןHuman Rights Watch ממליץ כדלקמן:
- על ממשלות לאסור לאלתר על מכירה, יצוא והעברה של טכנולוגיות מעקב ועל השימוש בהן עד אשר ייקבעו אמצעי הגנה נאותים על זכויות האדם. כמו כן, עליהן לחשוף חוזים חתומים או שימוש עכשווי בטכנולוגיה כזו.
- על ממשלות להחיל משטרי סנקציות רלוונטיים, כגון משטר הסנקציות הגלובלי של האיחוד האירופי וחוק מגניצקי האמריקאי למתן דין וחשבון אשר לזכויות האדם ברחבי העולם, על חברות הרוגלה המסחריות האחראיות להפרות חמורות של זכויות האדם או השותפות להן. צעד זה נדרש כדי לנתקן מהתשתית הפיננסית והטכנית הנדרשת לפעולתן עד אשר יוכלו להוכיח כי הן נקטו צעדים ספציפיים למניעת הפרות שהובילו להטלת הסנקציות או עד לשינוי מופגן במדיניותן, שישים קץ לפגיעה בזכויות האדם.
- על ממשלות לוודא שכל שימוש בטכנולוגיית מעקב במדינותיהן יהיה כפוף לחוקי המדינה שיתירו שימוש כזה רק בהתאם לסטנדרטים הבינלאומיים של זכויות האדם של חוקיות, חיוניות, מידתיות ולגיטימיות של מטרות השימוש. על ממשלות לאכוף או לתקן חוקים אלה באופן נחרץ, כנדרש; להסיר חסמים משפטיים ואחרים בפני סעדים יעילים לקורבנות של מעקב בלתי-חוקי; ולוודא שלקורבנות זמינים הן ערוצים משפטיים והן ערוצים לא משפטיים כדי לדרוש סעד בגין פגיעה שייתכן שנגרמה להם עקב השימוש בטכנולוגיות המעקב.
- על ממשלות לאפשר את חידוש המכירה, היצוא וההעברה של טכנולוגיות מעקב רק כאשר ייקבעו מסגרות משפטיות אכיפות המחייבות שקידה ראויה בכל הנוגע לזכויות אדם. על מסגרות משפטיות אלה למנוע נפילה של טכנולוגיות כאלה בידיהן של ממשלות הפועלות ללא ערובות להגנה על זכויות האדם. על ממשלות שהפגינו זלזול ניכר בזכויות האדם ושיש להן דפוס פעולה של שימוש לרעה בטכנולוגיה, להיכלל ברשימה של "איסור מכירה".
- על ממשלות גם לדרוש מחברות פרטיות הפועלות משטחן לחשוף מידע על המוצרים ועל השירותים שהן מספקות, על תוצאות הליכי השקידה הראויה שלהן, על המכירות והיצוא שלהן, לרבות זהות הלקוחות ועל לקוחות פוטנציאליים שנדחו בשל אי-עמידה בסטנדרטים של זכויות האדם או של ממשל תקין. על ממשלות לדאוג לפיקוח בלתי-תלוי כדי לנטר את מידת עמידתן של חברות פרטיות בהגדרות של הליכי שקידה ראויה ושל שקיפות.
- על ממשלות לדאוג שמידע זה יהיה פתוח לעיון הציבור. על רכישה של טכנולוגיות מעקב על ידי רשויות אכיפת החוק בכל מדינה שהיא להיעשות בשקיפות ובאופן שיאפשר דיון ציבורי בנושא.
- כדי לעודד מתן דין וחשבון, על מומחים רלוונטיים העובדים עם האו"ם ועם מנגנוני זכויות אדם אזוריים לנטר ולחקור את השימוש של ממשלות ברוגלות ואת מכירתן של רוגלות על ידי חברות, ולדווח למדינות החברות על הפרת זכויות אדם הקשורה לשימוש ברוגלות אלה.
ממצאים טכניים עיקריים מהניתוח הפורנזי שערך ארגון Human Rights Watch
שני המכשירים של פקיה הכילו עקבות של השתלת פגסוס. עקבות פורנזיים מהמכשירים מצביעים על הדבקת שני הטלפונים באמצעות פרצת אבטחה ב-iMessage. עקבות אלו תואמים את השימוש ב-Megalodon/FORCEDENTRY של קבוצת NSO באמצעות מתקפת "אפס-קליקים", שעליה דיווחו בעבר ארגון אמנסטי אינטרנשיונל ומרכז המחקר Citizen Lab. בספטמבר 2021, תיקנה אפל את Megalodon/FORCEDENTRY בגרסה 14.8 של מערכת ההפעלה שלה (iOS 14.8). ההתקפות שתועדו בדוח שלפניכם אירעו בפרק זמן התואם את התקופה שבמהלכה ידוע על ניצולה של פרצת אבטחה זו.
- יעד: למא פקיה
- תפקיד: מנהלת משברים וסכסוכים בארגון Human Rights Watch וראש משרדו בבירות
- נקודות זמן משוערות להשתלת רוגלת פגסוס:
- 6 באפריל 2021
- 3 ביוני 2021
- 23 ביוני 2021
- 5 ביולי 2021
- סביב ה-23 באוגוסט 2021
- סוג המתקפה:Megalodon/FORCEDENTRY אפס-קליקים, אפס-ימים
- כרטיס סים: סים לבנוני של חברת "Touch Network"
תקיפת מכשיר האייפון XS
מכשיר האייפון XS היה בשימוש בחודשים ינואר 2019-יולי 2021. ב-12 ביולי 2021 הוא הוחלף באייפון 12.
מכשיר ה-XS הודבק בפגסוס בשלושה מועדים:
- 6 באפריל 2021
- 3 ביוני 2021
- 23 ביוני 2021
טבלה מס' 1 מציגה תיעוד של תהליכונים חשודים שזוהו במכשיר האייפון XS ואשר מיוחסים לפגסוס. הניתוח של Human Rights Watch מבוסס על אינדיקטורים ידועים של תהליכונים הקשורים לפגסוס. ייתכן שהמכשיר הודבק ברוגלה גם במועדים אחרים באמצעות תהליכונים אחרים של פגסוס שטרם זוהו.
|
תאריך (UTC) |
אירוע |
|
20201-04-06 05:16:33 |
עקבות הקשורים למתקפה על iMessage שנצפו לפני שתהליכוני פגסוס פעלו במכשיר |
|
05:17:30 2021-04-06
|
תהליכון: MobileSMSd |
|
05:17:30 2021-04-06 |
תהליכון: ABSCarryLog |
|
05:18:13 2021-04-06 |
תהליכון: bfrgbd |
|
17:07:33 2021-04-07 |
תהליכון: bfrgbd |
|
|
|
|
07:29:51 2021-06-03 |
תהליכון: JarvisPluginMgr |
|
07:29:59 2021-06-03 |
תהליכון: wifip2ppd |
|
07:30:42 2021-06-03 |
תהליכון: frtipd |
|
14:33:17 2021-06-13 |
תהליכון: frtipd |
|
|
|
|
07:30:46 2021-06-23 |
תהליכון: gatekeeperd |
|
07:31:28 2021-06-23 |
תהליכון: logseld |
|
07:30:46 2021-06-23 |
תהליכון: vm_stats |
|
11:48:56 2021-06-23 |
תהליכון: logseld |
|
15:51:40 2021-06-23 |
תהליכון: logseld |
|
20:09:53 2021-06-23 |
תהליכון: logseld |
תקיפת מכשיר האייפון 12
מכשיר האייפון 12 הודבק בהצלחה בפגסוס ב-5 ביולי 2021 וב-23 באוגוסט 2021. טבלה מס' 2 מציגה תיעוד של תהליכונים חשודים שזוהו על מכשיר האייפון 12 ואשר מיוחסים לפגסוס.
|
תאריך (UTC) |
אירוע |
|
06:47:10 2021-07-05 |
עקבות הקשורים למתקפה על iMessage שנצפו לפני שתהליכוני פגסוס פעלו במכשיר |
|
06:47:11 2021-07-05 |
תהליכון: gatekeeperd |
|
06:47:20 2021-07-05 |
תהליכון: CommsCenterRootH |
|
06:47:36 2021-07-05 |
תהליכון: mobileargd |
|
11:45:25 2021-07-05 |
תהליכון: mobileargd |
|
12:09:47 2021-07-05 |
תהליכון: mobileargd |
|
|
|
|
14:15:41 2021-08-23 |
תהליכונים שטרם שוימו המיוחסים לפגסוס |
ניתוח הנתונים שחולצו מהטלפון, בייחוד קובץ iOS בשם "com.apple.identityservices.idstatuscache.plist", המכיל רשימה של מקרים שבהם יישומים כמו Facetime ו-iMessage יצרו קשר לראשונה עם Apple IDs רשומים אחרים, חשף רשומה המכילה כתובת דוא"ל, המוצגת להלן, שיצרה קשר עם Apple ID של פקיה באמצעות iMessage. פקיה אינה מכירה כתובת זו ומעולם לא התכתבה עימה, ולכן היא חשודה. כתובת הדוא"ל תואמת גם דפוסים המשמשים לרישום חשבונות iCloud בהתקפות מזוהות אחרות של פגסוס. מחקר על התשתית שפגסוס מסתמכת עליה, מצביע על האפשרות שחברת NSO יוצרת את חשבונות הדוא"ל וה-iCloud הללו בשם לקוחותיה.
טכניקה דומה להדבקת מכשירי אייפון בפגסוס באמצעות מתקפת Megalodon/FORCEDENTRY תועדה במקרים שמרכז המחקר Citizen Lab קישר לסעודיה, החשודה כלקוחה של חברת NSO. עם זאת, ייתכן שלקוחות NSO אחרים השתמשו באותה טכניקה.
קשה לקבוע אם ממשלה היא לקוחה של חברת NSO מכיוון שהחברה אינה מפרסמת את רשימת לקוחותיה ונדיר שממשלות מאשרות כי רכשו את פגסוס. עם זאת, קיומו של מפעיל פגסוס במדינה, מקרים מאומתים של מכשירים שהרוגלה הושתלה עליהם ודפוס פעולה של מעקבים לא חוקיים ושרירותיים אחרי אזרחים ומבקרים חיצוניים הם סמנים טובים להיות ממשלה לקוחה פוטנציאלית של החברה.
כתובת הדוא"ל נכללה בדוח זה כדי שתוכל לשמש גורמים אחרים החוקרים גם הם התקפות פגסוס.
משתמש: nielscherer[at]gmail[dot]com
תאריך: 06:33 2021-06-29 UTC
שימוש ברוגלת פגסוס בלבנון
פקיה היא המקרה הראשון שבו דווח בפומבי על שימוש מאומת בפגסוס למעקב אחרי עובד/ת של ארגון לא ממשלתי בלבנון. עם היעדים הקודמים המאומתים בלבנון נמנו:
- ראש דסק הניו יורק טיימס בביירות, בן האברד, שעל הטלפון שלו הושתלה שוב ושוב רוגלת פגסוס של קבוצת NSO לאורך שלוש שנים מיוני 2018-יוני 2021, על פי ניתוח פורנזי של מרכז המחקר Citizen Lab. Citizen Lab דיווח שהמתקפה על המכשיר הובילה להדבקה מאומתת ברוגלת פגסוס ביולי 2020 וביוני 2021. מרכז המחקר הגיע בוודאות גבוהה למסקנה שמכשיר אייפון השייך להאברד הודבק בהצלחה ברוגלת פגסוס ב-13 ביוני 2021, ומצא עקבות התואמים ל"מתקפת האפס-קליקים" מסוג FORCEDENTRY ששימשה להדבקת המכשיר של פקיה. האברד חקר הפרות זכויות ושחיתות בסעודיה וכתב ביוגרפיה עדכנית של יורש העצר הסעודי, מוחמד בן סלמאן.
- לפי המגזין הלבנוני המקוון דרג', החבר בפרויקט פגסוס, כ-300 מספרי טלפון לבנוניים (קידומת 961+) נכללו ברשימה של 50,000 מספרים ש-Forbidden Stories וחברי הקונסורציום שלו פרסמו וזיהו כמטרות אפשריות להשתלת רוגלת פגסוס. העיתון לה מונד דיווח כי עם מספרי הטלפון שברשימה נמנו אלה של נשיא לבנון מישל עאון; ראש ממשלתה לשעבר סעד חרירי; שר החוץ שלה לשעבר ג'ובראן באסיל; עבאס איבראהים העומד בראש אחד משירותי הביטחון המרכזיים של לבנון; נגיד הבנק המרכזי שלה, ריאד סלמה; בכירים בחיזבאללה ועוד שרים, עיתונאים ושגרירים רבים. עד כה לא אומתה באמצעות ניתוח פורנזי מתקפה על אף אחד מהמספרים הללו.
- חברת NSO הכחישה את הטענה שהמספרים המופיעים ברשימה היו יעדים פוטנציאליים או ממשיים להשתלת רוגלת פגסוס, אך איש מהשותפים בפרויקט פגסוס לא חזר בו מדיווחיו. על פי דיווחים, מספר טלפון השייך להאברד הופיע ברשימה של פרויקט פגסוס ביולי 2019. עם זאת, לדברי Citizen Lab, אין בנמצא ראיות פורנזיות אשר לפרק זמן זה.
- רדוואן מורתדא, עיתונאי מעיתון "אל-אח'באר", צייץ גם הוא בטוויטר ב-24 וב-26 בנובמבר 2021 כי אפל הודיעה לו שייתכן שהאייפון שלו הותקף על ידי גורמים הפועלים מטעם מדינה כלשהי. ארגון Human Rights Watch לא אימת את הטענה שהמכשיר של מורתדא נגוע בפגסוס.
- על פי תביעה שהוגשה נגד DarkMatter, חברה לאבטחת סייבר מאיחוד האמירויות, שלגביה דיווחה סוכנות רויטרס ב-2019 כי הייתה נתונה לחקירה של הבולשת הפדרלית של ארה"ב, מכשיר הטלפון של ר'אדה עווייס, עיתונאית לבנונית באל-ג'זירה, הודבק ברוגלת פגסוס ב-2020. אין זה ברור אם בעת שהותקף המכשיר שלה, היא שהתה בלבנון או השתמשה במספר לבנוני.
אמצעים לאימות/שלילת הדבקה בפגסוס:
- קו הסיוע לביטחון דיגיטלי של ארגון Access Now: https://www.accessnow.org/help
- צוות האבטחה של אמנסטי בכתובת share@amnesty.tech (עבור עיתונאים ומגיני זכויות אדם)
- פרויקט MVT ב- GitHub: https://github.com/mvt-project/mvt
- הוראות לגיבוי ולניתוח מכשירי iOS נגד ה-IOCs שפגסוס מנצלת באמצעות Docker ו-MVT: https://defensive-lab.agency/2021/07/pegasus-ios-forensic/
לשאלות או לפניות בנושא הניתוח הטכני של Human Rights Watch, אנא צרו קשר עם infosec@hrw.org
