אמזון ניתקה שרתים וחשבונות, אך לא בטוח בכלל שהם של NSO

לפי הצהרה שמסר אתמול דובר AWS של אמזון לאתר הטכנולוגיה Motherboard, החברה ניתקה תשתית וחשבונות הקשורים לפעילות תוכנת פגסוס שנחשפה בתחקיר השבוע • אולם תשובת AWS המעורפלת אינה מבהירה האם התשתית המדוברת הייתה שייכת ל-NSO

משרדי חברת NSO / צילום: Associated Press, Daniella Cheslow
משרדי חברת NSO / צילום: Associated Press, Daniella Cheslow

הידיעה על כך שאמזון AWS ניתקה את NSO משירותי הענן שלה התפשטה אמש (ב') במהירות בכלי תקשורת בישראל ובעולם. מקור הידיעה היה דיווח יחיד שהתפרסם באתר הטכנולוגיה Motherboard של רשת Vice, שהתבסס על תשובה מעורפלת יחסית שקיבל האתר מדובר AWS.

דובר AWS כתב בתשובה לשאלת Motherboard כי "כאשר למדנו על הפעילות, פעלנו במהירות לנתק את החשבונות והתשתית הרלוונטית". תגובה זו אינה מתייחסת למי שייכים השרתים והחשבונות שנותקו ושאלות המשך שהופנו על ידי כלי תקשורת בעולם ל-AWS לא נענו.

ב-NSO הכחישו אתמול את הדברים, ומסרו כי הטענה בדבר סגירת חשבונות אמזון אינה נכונה. המסקנה היחידה שאפשר להגיע אליה היא ש-AWS ניתקה פעילות הקשורה לתחקיר פגסוס שפורסם השבוע, אף שלא ברור למי הייתה שייכת הפעילות בפועל.

התחקיר שפורסם השבוע קישר שוב בין תוכנת פגסוס שמפתחת NSO לבין ריגול אחרי עיתונאים, פעילי זכויות אדם ופוליטיקאים. התחקיר בוצע על ידי צוות בינלאומי של 80 עיתונאים מ-17 כלי תקשורת בעשר מדינות, בהובלת אמנסטי ופורבידן סטוריז, והתבסס על הדלפה של כ-50 אלף מספרי טלפון שהיוו לכאורה מאגר יעדים פוטנציאליים עבור ממשלות שקנו את התוכנה של NSO.

ב-NSO דחו את ההאשמות וכינו את התחקיר "תלוש ומנותק מהמציאות". ב-NSO הדגישו כי אין הוכחה לקשר בין המאגר של 50 אלף מספרי הטלפון לבין השימוש בכלי התקיפה שלהם. עם זאת, החוקרים בתחקיר טוענים כי הצליחו לזהות  מתוך המאגר 37 טלפונים של עיתונאים, פעילי זכויות אדם ופוליטיקאים בהם נמצאו סימנים לחדירה בפועל או ניסיונות חדירה של תוכנת פגסוס. 

כחלק מהפרויקט, פרסמה אמנסטי תוצאות חקירה טכנית לפיה הטכנולוגיה של NSO מנצלת חולשות באפליקציות של אפל כמו iMessage או FaceTime  כדי להחדיר את תוכנת פגסוס בלי שהמשתמש צריך ללחוץ על קישור כלשהו.

אמנסטי טענה כי במקרה  אחד של עורך דין צרפתי לזכויות אדם, מכשיר האייפון שלו שהותקף שלח מידע לשירות CloudFront של אמזון. מדובר בשירות להפצה מהירה של נתונים, וידאו ואפליקציות. לפי אמנסטי, מדובר ברמז לכך ש-NSO עברה להשתמש בשירותי AWS בחודשים האחרונים.

ארגון סיטיזן לאב, שבדק את ממצאי אמנסטי, דיווח גם הוא כי הבחין שקבוצת NSO החלה לעשות שימוש נרחב בשירותי CloudFront של אמזון ב-2021.

עם זאת, מהתוצאות של אמנסטי וסיטיזן לאב לא ברור למי שייכים החשבונות באמזון אליהם שלח מכשיר האייפון מידע והאם הם מופעלים על ידי NSO, אחד מלקוחותיה או גורם צד שלישי כלשהו.

למעשה סביר ש-NSO, שנמצאת על הכוונת כבר שנים, מסווה היטב את פעולתה. הדוח של אמנסטי מצא בכל מקרה כי הפעילות הקשורה לפגסוס משתמשת בכל מקרה בעוד שירותים מחברות ענן נוספות כמו DigitalOcean ,OVH ו-Linode.