החדשות המרגיזות האלה מתחילות כמו כל סיפור סייבר מודרני: לא “האקר גאון עם קוד קסם”, אלא עסק. מחקרי אבטחה מצביעים על קבוצת האקרי-לפי-ביקוש שפגעה בגורמים במזרח התיכון וצפון אפריקה: עיתונאים, פעילים ואנשי ממשל. והטריק? שילוב בין פישינג שמוביל לחשבונות ענן, תוכנות ריגול שמתחפשות לאפליקציות תמימות, ויכולת להשתלט על מכשירים. כן, זה בדיוק כמו שזה נשמע.
המסלול שתואר הוא די אלגנטי מבחינת התוקפים, אבל כואב לקורבנות. בחלק מהמקרים בוצעו ניסיונות פישינג שמטרתם להשיג גישה לגיבויי iCloud ולחשבון המסרים Signal. ברגע שהגישה עוברת לתוקפים, הם יכולים להשתמש בה כדי להגיע לתוכן שנמצא בגיבוי, שזה בערך כמו לקבל “מפתח” לחלק גדול מהחיים הדיגיטליים של המשתמש.
במקום אחר, הקמפיין כלל גם תוכנת ריגול לאנדרואיד שמסוגלת, לפי התיאורים, לקחת שליטה על המכשיר. כלומר לא רק “לגנוב קצת מידע ברקע”, אלא להתקרב לרמת שליטה שעלולה להפוך את הטלפון למשהו שאי אפשר לסמוך עליו. כי כשיש תוכנת ריגול, אין באמת “מצב פרטי”. יש רק “מצב שמישהו אחר רואה”.
מיקור חוץ לריגול: מדינות קונות את זה כמו שירות
אחד הדברים שמדאיגים במיוחד במחקר הוא המגמה: גופים ממשלתיים לא תמיד מפתחים הכול לבד. יותר ויותר, הם מפנים את העבודה לחברות פרטיות שמספקות יכולות חדירה: תוכנות ריגול, ניצולים (אקספלויטים) ושאר קסמים שחוסכים למדינה כאב ראש. מבחינת לקוחות, זה גם לפעמים יותר זול מאשר לרכוש מוצר מסחרי של תוכנת ריגול ולבנות סביבו תשתית.
במחקר תואר שיתוף פעולה בין כמה ארגוני זכויות דיגיטליות וחברת אבטחת מובייל. יחד הם תיעדו מספר מקרים בין 2023 ל-2025 נגד עיתונאים במצרים, וגם מקרה בלבנון שתועד על ידי גוף נוסף לזכויות דיגיטליות. בנוסף, חברת אבטחת מובייל בחנה את המתקפות, והרחיבה את התמונה כך שהקמפיין לא מוגבל רק לחברה אזרחית במצרים ולבנון.
למי זה פונה? גם ממשלות, גם מדינות רחוקות
הטווח שתואר כולל יעדים במצרים ובממשל של בחריין, וגם יעדים באיחוד האמירויות, בערב הסעודית, בבריטניה, ובאופן אפשרי גם בארצות הברית או אנשים שקשורים לאוניברסיטאות שם. במילים פשוטות: זה לא “עוד מקרה מקומי”. זה נראה כמו קמפיין שמטרתו לצבור מידע ולשחק גיאופוליטיקה, רק עם כלים של תשתית פרטית.
ProSpy, וגם טריק עם מכשיר חדש ב-Signal
כשהקמפיין פונה למשתמשי אנדרואיד, התוקפים השתמשו בתוכנת ריגול בשם ProSpy. היא התחפשה לאפליקציות תקשורת פופולריות כמו Signal, WhatsApp ו-Zoom, וגם לאפליקציות פופולריות במיוחד במזרח התיכון כמו ToTok ו-Botim. כלומר, לא צריך לפרוץ “בכוח” אם אפשר לגרום לאנשים להתקין משהו שכביכול עוזר להם לתקשר.
ובחלק מהמקרים התוקפים ניסו לגרום לקורבנות לבצע פעולה בתוך Signal: להירשם ולהוסיף מכשיר חדש לחשבון. את המכשיר מוסיפים בעצם “השליחים” של התוקפים, כך שהחשבון עלול להיפתח עבורם. זה טריק שנשמע ישן, אבל הוא עדיין עובד, כי אנשים עושים טעויות כשהם בטוחים שמישהו “רק מנסה לעזור להם”.
iPhone: גונבים את ה-Apple ID כדי להגיע לגיבוי
כשמדובר במשתמשי iPhone, התוקפים ניסו להוציא מהקורבנות את פרטי Apple ID. המטרה הייתה להשתמש בזה כדי לפרוץ לגיבויי iCloud, וכך לקבל גישה לתוכן רחב שנמצא בגיבוי של המכשיר. במקום להתעסק עם פריצות מורכבות יותר בתוך מערכת ההפעלה, הם בחרו במסלול שיכול להיות זול ומהיר יותר.
מי עומד מאחורי זה? השם “Appin” עלה, אבל המשחק עבר הלאה
בניתוח של החברה החוקרת, נטען שהקמפיין עשוי להיות קשור לספק האקרי-לפי-ביקוש שמחובר לקבוצה אחרת שממנה חברות אבטחה חושדות בקשר אפשרי לממשלה הודית. הוזכר גם חשד לכך שהקמפיין הוא “ענף” של סטארטאפ הודי בשם Appin, שלכאורה נסגר בשלב מאוחר יותר. אבל הנקודה הישראלית-קשוחה כאן היא ברורה: פעילות לא נעלמת. היא פשוט משנה כתובת. במקום חברה גדולה, מגיעות חברות קטנות יותר.
ניסיון ליצור קשר עם גורמים שזוהו כחשודים לא הניב תגובה, בין היתר כי החשודים הסירו חשבונות ברשתות החברתיות ואת האתר. זה לא אומר שהם חפים מפשע. זה רק אומר שהם למדו את השיעור: כשאתה משחק באש, אתה מכבה את הסיגנלים מהר.
הטוויסט המעיק: יותר קל להתחמק מאחריות
איש מקצוע שעבד על המקרים ציין שהפיכת הריגול לשירות זולה יותר יכולה גם להקשות על ענישה. אם לא יודעים מי הלקוח הסופי, ומי מפעיל את התשתית, אז “למי אכפת” הופך להיות פילוסופיית בריחה. ובסייבר, פילוסופיית בריחה היא לפעמים כל מה שמבדיל בין צדק לבין עוד דו”ח שמצטבר בארון.
מה אתם עושים מזה ביום-יום?
אם יש משהו שכן אפשר לעשות, זה לא “להיות האקר”. זה בעיקר להיות בן אדם עם הרגלים: להיזהר מפישינג גם אם זה נראה משכנע, לא להוסיף מכשירים חדשים לחשבון בלי להבין בדיוק למה, ולבדוק הרשאות לגיבויים. כי בסוף, הקמפיינים האלה לא מנצחים בזכות גאונות. הם מנצחים בזכות רגע אחד של חוסר תשומת לב.
