לא, לא דלפו 50,000 מטרות של NSO ואין תשתיות של החברה בארה״ב 

עידן הפייק ניוז הגיע גם לסיקור אודות סייבר התקפי. כן, זה תחום שמושך אש. עם זאת, רצוי לבדוק עובדות. לחברה הישראלית אין תשתיות בארה״ב והשרת ממנו דלף מידע אינו שייך לחברה

לא, לא דלפו 50,000 מטרות של NSO ואין תשתיות של החברה בארה״ב 

קרדיט: יונתן בלום

פרסומים של כלי תקשורת בעולם, כולל ישראלים, טוענים כי דליפה משרת hlrlookup בקריסין חשפה כ-50,000 מטרות של חברת הסייבר הישראלית NSO. מהו שירות hlrlookup? זהו שירות המאפשר לאתר מספרי טלפון ברחבי העולם. מדובר בשירות פתוח, חלקו בחינם וחלקו האחר בתשלום. רק שהשירות הזה לא שייך לNSO ואינו משרת את כלי הסייבר של החברה. 

אז מה כן חדש בפרסומים? ובכן, בפרסום אחר של אמנסטי, יריבה ותיקה של NSO, יש ניתוח טכני של קוד, שלכאורה שייך לכלי התקיפה ״פגסוס״ של NSO. הקוד נלקח, בין היתר, מטלפונים של עיתונאים ועו״ד, חלקם בצרפת, שלטענת אמנסטי נפלו קורבן להדבקה מצד לקוח פגסוס. 

בעוד חלק מהניתוח הטכני מתבסס על קוד ישן, טוענים באמנסטי, שבין היתר, הם מצאו חולשה חדשה לתוכנת הiMessage של אפל. לפי הכתוב, מדובר במתקפות דומות במהותן לאלו מ2019, גם אז, בוצע שימוש במתקפה בתוכנת הiMessage של אפל. על פי הפרסום, החולשה מסוג zero-click (לא נדרשת התערבות משתמש) מתאימה לגרסת iOS 14.6. עוד נטען, כי NSO ניצלה, לכאורה, יישום נוסף של אפל - Apple Music. 

לטענות אלו אין הוכחה מעשית נכון לכתיבת שורות אלו - לא לחולשה בתוכנות אלו ולא לטענה שאת החולשות מצאה NSO. בנוגע לטענות על ניצול תוכנות של אפל, נכתב בפרסום כי ״דיווחנו על מידע זה לאפל, שהודיעה לנו שהם חוקרים את העניין.״ כאמור, בינתיים אין מידע נוסף מצד אפל. 

עוד לטענת הכותבים, החברה החלה לעבוד ״בחודשים האחרונים״ עם AWS services בבניית תשתית למתקפות שלה. ״אמנסטי אינטרנשיונל דיווחה על מידע זה לאמזון, שהודיעה לנו כי הם ׳פעלו במהירות כדי לסגור את התשתית והחשבונות המעורבים׳״, נכתב בפרסום. 

טענה זו אינה סבירה (בלשון המעטה) לאור העובדה שNSO נמצאת במשפט מול פייסבוק בארה״ב בחודשים האחרונים. במסגרתו, העידה בשבועה, כי אין לה פעילות בכלל בארה״ב. מכאן, ששימוש בתשתיות אמריקאיות לטובת תשתית תקיפה יכול לסבך את החברה לאור המשפט שכרגע מחכה לתוצאת הערעור של פייסבוק - האם ניתן לתבוע את החברה בבית משפט אמריקאי. ייתכן ואמנסטי מצאו משהו באמזון, כן או לא, אבל הוכחה שזה שייך לNSO - אין. 

בפרסום טוענים, כי על פי מידע שהגיע ממקור לא ידוע, פגסוס כבר לא שומר על התמדה (persistence) במכשירי iOS (היכולת לפעול גם לאחר אתחול המכשיר). ״לכן, קבצים בינאריים הקשורים לתהליכים אלה אינם ניתנים לאחזור ממערכת הקבצים הלא נדיפה. במקום זאת, יהיה צורך להיות מסוגל לפרוץ את המכשיר ללא אתחול מחדש ולנסות לחלץ קבצים אלו מהזיכרון״, כותבים בפרסום. וגם מספקים סימנים לזהות את פגסוס

בכתבה טוענים כי תשתית Pegasus של קבוצת NSO מורכבת בעיקר משרתים המתארחים במרכזי נתונים הממוקמים במדינות אירופה. ״המדינות המארחות את שרתי ה- DNS בתחום הזיהום ביותר כללו את גרמניה, בריטניה, שוויץ, צרפת וארצות הברית. רוב השרתים המזוהים מוקצים לחברות אירוח בארה"ב, Digital Ocean, Linode ו- Amazon AWS.״ בדו״ח רשומים מספר ספקי אירוח בארה״ב ואירופה, לכאורה, כאלו ששירתו את NSO - גם במקרה זה, אמנסטי לא סיפקו הוכחות כלשהן הקושרות את החברה לממצאים. 

לצד הדו״ח של אמנסטי, ארגון נוסף בשם citizenlab.ca, עשה בדיקה עצמאית משלו לדו״ח של אמנסטי. גם הוא מצא שימוש בתשתיות אמזון וחולשה עדכנית ליישום iMessage של אפל. יצויין כי סיטיזן לאבס לא שייכה את הממצאים לNSO. 

תגובת NSO לשתי טענות שעלו בפרסומים האחרונים

תשתיות בארה״ב: ״הטענה בדבר סגירת חשבונות אמזון אינה נכונה. גם התגובה של אמאזון אינה מתייחסת  לתשתיות NSO.״

דליפת מידע: ״מדובר בכותרות סנסציוניות  חסרות בסיס עובדתי. בדו״ח לכאורה שהועבר אין כל קשר בין רשימת 50,000 המספרים המדוברים לקבוצת NSO או למערכת פגסוס. למעשה, אפילו עורכת עיתון הוושינגטון פוסט הצהירה, כי ׳לא ניתן לקבוע באופן וודאי מהי מטרת הרשימה׳.

״גם הדו"ח עצמו קובע כי "לא ידוע כמה מהמספרים המדוברים היוו מטרות בפועל", אך כאמור אין זה מנע את הכותרת ואת סילוף המציאות. וכך, מי שקורא את הכתבה לומד, כי הסיפור מבוסס, למעשה, על כ-37 מתוך 50,000 מספרי הטלפון, וגם לגבי אותם 37 מספרים – העיתונאים/חוקרים לא הצליחו להוכיח קשר ל-NSO ולמערכות שלה.

״באותה מידה, אפשר היה לפתוח את מדריך הטלפון "דפי זהב", להרכיב רשימה מ-50,000 מספרי טלפון שנבחרו באקראי, ולייצר כותרות סנסציוניות על בסיסה. מלכתחילה, הסיפור היה תלוש ומנותק מהמציאות. 

״כאשר כתבי העיתונים יצרו עימנו קשר בשבוע שעבר לקבלת תגובה, לאחר, שלדבריהם, השקיעו חודשים בחקירת השמועות, הטענה הייתה מרעישה עוד יותר, שלא לומר דמיונית. במקור, נטען, כי 50,000 המספרים נמצאו והודלפו מתוך שרתים של NSO. 

״לאחר שהבנו שהדבר הזה בלתי אפשרי מכיוון ש-NSO לא חשופה למטרות הלקוחות, אין לה גישה לנתוני הלקוחות, לא קיים שרת מרכזי אחד שמחובר ללקוחות, ודבר לא דלף משרתי החברה. זאת ועוד, גם כמות המספרים שדווחה אינה הגיונית מבחינת הרשיונות שאנאסאו מעניקה ללקוחות, פנינו לכתבים עם דרישה חריפה לדייק בעובדות ואף עירבנו עורכי דין המובילים בתחומי תביעות דיבה, הפכו הסיפורים  במהירות  לסיפור תיאורטי אחד גדול, ובלבד שתישאר להם כותרת.

״כעת, הטענה החדשה היא כי 50,000 המספרים הללו קיימים ברשימה לא מוכרת וללא קשר כלשהו ל- NSO. עם זאת, איכשהו, החליטו הכתבים להמשיך עם הסיפור הזה, גם לאחר שהתברר כי מקורותיהם הלא מזוהים הטעו אותם, ממניעים תמוהים. 

״לבסוף, במקום להודות, כי אין מזימה זדונית, בחרו אותם  כתבים להטעות בכוונה את הקוראים באמצעות עלילה מלאת פיתולים ופניות, כדי להסיח את הדעת מאותו מונח חמקמק, 'האמת'. 

״כפי שחזרה והצהירה NSO בעבר, לא נמצא שום קשר בין הטכנולוגיות שלנו לבין הרצח המתועב של ג'מאל חשוגי. אנו יכולים לאשר, כי הטכנולוגיה שלנו לא שימשה להאזנה, מעקב, או איסוף מידע אודותיו או אודות בני משפחתו שהוזכרו. חקרנו בעבר טענה זו, אשר נשמעת שוב ושוב ללא אימות. 

״על אף האמור לעיל, קבוצת NSO תמשיך לחקור את כל החשדות המבוססים לגבי שימוש לרעה במוצריה, ותנקוט בפעולות החלטיות, ככל שיידרש, על בסיס ממצאי חקירות אלה. ובכלל זה, השבתה מרחוק של מערכות אצל לקוחות, פעולה ש-NSO כבר הוכיחה מספר פעמים את יכולתה ונכונותה לנקוט בה, ולא תהסס לעשות זאת שוב, ככל שיידרש.

״הטכנולוגיות של קבוצת NSO סייעו ומסייעות במניעת טרור, אלימות, פשעים ופיגועי טרור. מדי יום אנו עדים לאינספור מקרים בהם הטכנולוגיה עזרה לאתר ולתפוס פדופילים, סוחרי סמים וסוחרים בבני אדם, לאתור ילדים נעדרים וחטופים, לאתר ניצולים שנלכדו תחת בניינים שקרסו ובאסונות טבע, ולהגן על המרחב האווירי מפני איומי רחפנים. 

״במילים פשוטות, המטרה היחידה של הטכנולוגיות המפותחות בקבוצת NSO היא הצלת חיי אזרחים. החברה תמשיך לעבוד למען מטרה זו, למרות כל הניסיונות המתמשכים להכפיש אותה ולפגוע בשמה הטוב, על רקע כוזב וחסר כל ביסוס עובדתי.״

אולי יעניין אותך גם