צדיקה ברוסיה? קספרסקי פיתחה שיטה לנטרול הרוגלה של NSO

חוקרי קספרסקי (Kaspersky) פיתחו דרך לזהות בקלות את קיומה של רוגלת פגסוס של NSO הישראלית.

החוקרים, מצוות המחקר והניתוח העולמי של קספרסקי (GReAT) פיתחו – ושחררו לשוק – שיטה כדי לעזור למשתמשי iPhone הנמצאים בסיכון לזהות האם הרוגלה של חברת הסייבר ההתקפי הישראלית הושתלה במכשירם.

לפי קספרסקי, הכלי החדש חושף את נוכחות פגסוס באמצעות ניתוח של רכיב שלא נחקר בעבר, בשם Shutdown.log. זהו יומן מערכת המאוחסן בארכיון sysdiagnose של מכשירים מבוססי מערכת ההפעלה iOS, השומר מידע מכל הפעלה ואתחול של המכשיר. החוקרים מצאו שאם משתמש שהמכשיר שלו הודבק ברוגלה מאתחל את המכשיר – יצופו חריגות (אנומליות) הקשורות לפגסוס, המפריעות להשלמתו של הליך האתחול, וכך יש עדות להדבקה..

לדברי מאהר יאמוט, חוקר האבטחה הראשי של GReAT, "קשה לחדור ליומן המערכת sysdiagnose, ובכך הוא מסייע לזהות זיהומים פוטנציאליים ב-iPhone. הוא מקבל חיווי על הזיהום, ואז מאשר ומאמת את ההדבקה והופך להיות לחלק מגישה מוכללת לחקירת זיהום נוזקות ב-iOS. אנו מאמינים שהשיטה והכלי ישמשו כעדות משפטית אמינה, שתתמוך בניתוח זיהומים".

הניתוח מתבסס על כלי הערכה עצמית חדש של קספרסקי – סקריפט Python3. הוא מחלץ, מנתח ומנתח את Shutdown.log. הוא זמין לשימוש ציבורי ב-GitHub, וניתן להשתמש בו גם במכשירים המריצים macOS, Windows ולינוקס.

קספרסקי עצמה הותקפה ב-2019 על ידי רוגלת "אפס קליק" ל-iOS בשם Triangulation. זו הייתה נוזקה מתוחכמת מאוד, בייחוד בשל יכולתה לטשטש את שרשרת ההתקפה ואת קיומה. מפתחי הנוזקה לא נחשפו. והנוזקה פעלה נגד אנשי חברת הסייבר במשך 5 שנים לערך. החשיפות שלה על ידי חוקרי קספרסקי שימשו לאחר מכן את בכירי סוכנות הביון FSB של הקרמלין, כדי להאשים את אפל בשיתוף פעולה עם שירותי הביון האמריקניים. אפל הכחישה עובדה זו בתוקף, ואמרה כי לעולם לא תאפשר לממשלה כלשהי להכניס דלת אחורית למוצריה.

פגסוס נמכרה לממשלות, שהשתמשו בה כדי לרגל אחרי פעילי זכויות אדם, פעילים חברתיים ומתנגדים פוליטיים ועיתונאים. קוסטין ריאו, ראש צוות המחקר והניתוח הגלובלי בקספרסקי, אמר בעבר כי "רוגלת פגסוס של NSO היא כלי רב עוצמה, שנמכר למדינות ומקנה להן יכולות לבצע מעקבים סמויים אחר מטרות באופן מתוחכם מאוד – מבלי שיעד המעקב נדרש לבצע פעולה אקטיבית כלשהי. זה מלמד אותנו ששחקניות אלו מוכנות להשקיע משאבים גדולים – עשרות ולעיתים גם מאות מיליוני דולרים – כדי להשיג את יכולות הריגול המתקדמות הללו. לפיכך, סביר להניח כי יעד שנבחר על ידי שחקן מדינתי ככל הנראה לא יוכל לחמוק ממעקב. אלה החדשות הרעות".

בסוף 2023 חשפו החוקרים רוגלה ל-iPhone, שפותחה, לכאורה, על ידי הביון האמריקני והדביקה גם דיפלומטים ישראלים. הרוגלה, ציינו אנשי קספרסקי, "מתוחכמת בצורה בלתי רגילה". היא הופעלה, לדבריהם, כנגד אלפי יעדים, תוך ניצול רכיב חומרה לא מוכר ב-iPhone, עם שילוב של כמה חולשות ופרצות. קורבנות הרוגלה היו חוקרי קספרסקי עצמם, בכירים בנאט"ו ודיפלומטים ישראלים וסינים – שכולם פעלו במסגרת תפקידם ברוסיה.

ביוני האחרון שירות הביון FSB הרוסי האשים סוכנות ביון אמריקנית בפריצה לכמה אלפי מכשירי iPhone, כולל מכשירים השייכים לאזרחים רוסים ואחרים הקשורים לנציגויות דיפלומטיות ולשגרירויות במדינה. המתקפות אירעו בתחילת 2023.

הצהרת סוכנות הביון הייתה דלה בפרטים ולא ציינה איזו סוכנות ביון אמריקנית עומדת מאחורי המתקפות. לפי הסוכנות, אפל עובדת בשיתוף פעולה הדוק עם המודיעין האמריקני, במיוחד הסוכנות לביטחון לאומי, NSA.

מומחי אבטחה ציינו, כי "התחכום של המתקפות הללו מצמצם את טווח החשודים בפיתוחם רק לקומץ מהשחקנים החזקים בעולם בתחום ההתקפי".

במשך שנים היו דיבורים על קשר חשאי בין חברת הגנת הסייבר לקרמלין. ב-2017 הממשל בארה"ב אסר את השימוש במוצרי קספרסקי במערכות פדרליות, בשל חששות מריגול. בשנה שעברה, נציבות התקשורת הפדרלית של ארה"ב הוסיפה את החברה הרוסית לרשימת חברות שהציוד והשירותים שלהן נחשבות לאיום על הביטחון הלאומי.