"לפאראגון היה מוניטין של יצרנית רוגלות 'טובה יותר', אבל הגילוי של ווטסאפ מצביע שזה לא כך"
"לפאראגון היה מוניטין של יצרנית רוגלות 'טובה יותר', אבל הגילוי של ווטסאפ מצביע שזה לא כך"
פאראגון, שהוקמה על ידי אהוד שניאורסון, לשעבר מפקד 8200, ואהוד ברק הוא אחד ממשקיעיה, מיצבה את עצמה כחברה אתית שבניגוד ל־NSO פועלת רק בארצות דמוקרטיות. ואולם בסוף השבוע טענה ווטסאפ כי טלפונים של עיתונאים נפרצו עם רוגלה של החברה
תוכנת הריגול של פאראגון (Paragon) הישראלית שימשה לתקיפת סמארטפונים של 90 עיתונאים ופעילי חברה אזרחית דרך חשבון הווטסאפ שלהם — כך טוענת מפעילת אפליקציית המסרים המיידיים שבבעלות מטא. ווטסאפ לא חשפה את זהות הקורבנות, אך הגארדיאן זיהה אחד מהם כעורך של אתר תחקירים איטלקי שמוביל קו סיקור ביקורתי נגד ראשת הממשלה הימנית־קיצונית ג'ורג'יה מלוני ומפלגתה.
"יצרניות תוכנות ריגול מסחריות ייאלצו להתמודד עם ניצול לרעה של המוצר שלהן ברגע שהן מתחילות למכור למאגר לקוחות רחב יותר", אמר ל"כלכליסט" ג'ון סקוט־ריילטון, חוקר בכיר במכון סיטיזן לאב (Citizen Lab) באוניברסיטת טורנטו, שמתמחה בחקר תוכנות ריגול מסחריות. "לא רק דיקטטורות מנצלות לרעה רוגלות, זה קורה גם בדמוקרטיות".
פאראגון הוקמה ב־2019 על ידי קבוצת יוצאי 8200 בהובלת אהוד שניאורסון, לשעבר מפקד היחידה, ויו"ר החברה כיום. בעל מניות בולט נוסף בחברה הוא ראש הממשלה והרמטכ"ל לשעבר אהוד ברק. בעלי מניות גדולים אחרים הם קרן ההון סיכון באטרי וקרן ההון סיכון רד דוט של יורם אורון.
בדצמבר דווח בכלי תקשורת בחו"ל שקרן ההשקעות הפרטית האמריקאית AE מתכוונת לרכוש את פאראגון תמורת 500 מיליון דולר במזומן, עם אופציה להגדלת השווי ל־900 מיליון דולר בהתאם לעמידה ביעדים. ואולם, שלושה ימים לאחר חשיפת העסקה הודיע משרד הביטחון שמעולם לא הוגשה בקשה למכירת החברה ושהעסקה גם לא אושרה כנדרש על ידי האגף לפיקוח על היצוא הביטחוני (אפ"י).
מאושרת על ידי הממשל
לרוגלה של פאראגון, גרפייט (Graphite), יש יכולות שדומות לאלו של פגסוס הידועה לשמצה של NSO. בדומה לפגסוס, סמארטפון שהודבק בגרפייט יהיה נתון באופן כמעט מלא לשליטתו של התוקף, שיוכל לגשת לכל המידע השמור במכשיר, כולל התכתבויות באפליקציות מוצפנות כמו ווטסאפ וסיגנל.
פאראגון מנסה להתמצב כ"חברה אתית" שמוכרת רק למדינות דמוקרטיות (לפי פרסומי עבר, NSO מכרה גם למדינות כמו ערב הסעודית ואיחוד האמירויות). החברה מתגאה בכך שהיא מצויה ברשימת הספקים המאושרת על ידי הממשל האמריקאי, הודות לעובדה שהיא פועלת רק במדינות דמוקרטיות. בדרך זו מנסה פאראגון לבדל את עצמה מ־NSO, המתחרה הגדולה, ומחברות כמו קנדירו ואינטלקסה של טל דיליאן, שבשנים האחרונות נכנסו לרשימה השחורה של מחלקת הסחר של ארה"ב.
אבל המוניטין של פאראגון עומד עכשיו בסימן שאלה לאור הגילויים של ווטסאפ. לדברי החברה, היא יכולה להגיד ב"ביטחון גבוה" ש־90 עיתונאים ופעילים בארגוני חברה אזרחית הותקפו ואולי נפגעו באמצעות גרפייט.
המתקפה בוצעה באמצעות ניצול חולשת zero click בווטסאפ. כלומר, לא נדרשה שום פעולה מצד הקורבנות על מנת לאפשר את חדירת הרוגלה למכשירם.
ווטסאפ שלחה לפאראגון מכתב ובו הורתה לה לחדול מניצול האפליקציה על מנת לחדור למכשירי קורבנות, ולפי דיווחים היא שוקלת צעדים משפטיים נוספים נגד החברה.
ווטסאפ מנהלת תביעה משפטית ארוכה נגד NSO, בעקבות פריצה ל־1,400 משתמשי האפליקציה. בדצמבר, פסק בית המשפט לטובת ווטסאפ, ומצא ש־NSO אחראיות למתקפות, שהיא עברה על החוק ושהפרה את תנאי השימוש באפליקציה. NSO צפויה לערער.
"ווטסאפ שיבשה קמפיין רוגלה של פאראגון, שטירגט מספר משתמשים, כולל עיתונאים ואנשי חברה אזרחית", נמסר מווטסאפ לגארדיאן. "פנינו ישירות לאנשים שאנחנו סבורים שהותקפו. מדובר בדוגמה האחרונה לכך שחברות שמפתחות רוגלות צריכות לשאת באחריות לפעולותיהן הבלתי־חוקיות. ווטסאפ תמשיך להגן על יכולתם של אנשים לתקשר בפרטיות".
ווטסאפ לא מסרה פרטים נוספים על זהות הקורבנות של פאראגון. עם זאת, הגארדיאן זיהה אחד מהם כעיתונאי החוקר האיטלקי פרנצ'סקו קנצ'קלאטו. קנצ'קלאטו, העורך הראשי של אתר התחקירים Fanpage, נודע בעיקר בחשיפת הקשרים בין פעילים וארגונים פשיסטיים למפלגתה של ראשת הממשלה מלוני. בשנה שעברה הוא חשף שפעילים צעירים במפלגה הפיצו ביטויים אנטישמיים, הצדיעו במועל יד ושרו פזמונים פשיסטיים.
בשיחה עם הגארדיאן אמר קנצ'קלאטו שלא היתה לו סיבה לחשוד שמכשירו הותקף או שהיה תחת חקירה מצד הממשל. "התחלנו לבצע ניתוח טכני של המכשיר במטרה להעריך את היקף המתקפה הזו, איזה מידע נלקח או אחרי מה הם ריגלו, ובמשך כמה זמן", הוא אמר. "ברור שאנחנו גם מעוניינים לדעת, אם זה אפשרי, מי הורה על פעילות הריגול הזו".
"אנחנו האנטי NSO"
חוקרים בתחום ציינו שהפרסומים סביב פאראגון מצביעים על הקושי למנוע שימוש לרעה בתוכנות ריגול מסחריות, גם כאשר הן נמכרות רק למדינות דמוקרטיות.
"פאראגון השקיעה זמן רב בלהגיד 'אנחנו האנטי־NSO'", אמר סקוט־ריילטון ל"כלכליסט". "מה שנראה עכשיו, על סמך מה שווטסאפ אמרה, הוא שיצרניות רוגלות מסחריות ייתקלו בניצול לרעה של המוצר שלהן כשהן יתחילו למכור אותו למאגר לקוחות רחב יותר".
לדבריו, "זו עובדה של התעשייה, וזה לא משהו מוגבל לחברה אחת או שתיים. טרגוט אנשי חברה אזרחית ועיתונאים הולך יד ביד עם ההתפשטות של יכולות ריגול מסחריות. אם הייתי בכיר בממשל האמריקאי או אחד מבעלי בריתו, הייתי שואל עצמי — האם מישהו מאנשי או מבעלי בריתי טורגט גם הוא ברוגלה הזו? פאראגון אמרה שהיא לא מוכרת בצורה רחבה כמו אחרים, אבל נראה שלא משנה אם רשימת הלקוחות שלך מצומצמת, ייתכן שזה תמיד רחב מדי".
נטליה קפריבה מארגון Access Now אמרה לגארדיאן: "במשך זמן מה, לפאראגון היה מוניטין כיצרנית רוגלות 'טובה יותר', אבל הגילויים האחרונים של ווטסאפ מצביעים שזה לא המצב. זו לא רק שאלה של כמה תפוחים רעים. ניצול לרעה מסוג זה הוא פיצ'ר של תעשיית הרוגלות המסחריות".
ואכן, החשיפה של הניצול לרעה של פאראגון, שבימים הקרובים צפויים להתפרסם אודותיה פרטים נוספים, מדגישה את הקושי לאסדר את תחום הרוגלות המסחריות על מנת למנוע ניצול לרעה שלהן. גם כשמדובר בחברה המוכרת למדינות דמוקרטיות בלבד, אין לה יכולת לשלוט בשימוש שנעשה בתוכנה שלה ברגע שהיא נמצאת בידי הלקוח.
גם אם הלקוח שמשתמש ברוגלות כאלה הוא סוכנות ממשל במדינה דמוקרטית, היכולות העוצמתיות של הרוגלות, לצד האפשרות להפעילן בחשאיות, כנראה מבטיחות שייעשה בהן שימוש לרעה גם אם קיים פיקוח משפטי על השימוש בהן. אפשר היה לראות זאת בהפעלת פגסוס של NSO על ידי משטרת ישראל, ועתה בפרשה זו.
פאראגון לא הגיבה לפניית כלכליסט. מאהוד ברק לא נמסרה תגובה.
