דוח חדש של אמנסטי-טק, שמתפרסם במסגרת התחקיר הבינלאומי המשותף "תיקי פרדטור", חושף כי בכירים באיחוד האירופי ובאו"ם, דיפלומטים, עיתונאים ב-CNN ובכלי תקשורת נוספים, אנשי אקדמיה וככל הנראה גם חברי קונגרס אמריקאים, היו יעדים של קמפיין הדבקה שביצעה וייטנאם באמצעות רוגלת ה"פרדטור" הישראלית. ניסיונות ההדבקה נעשו דרך טוויטר והוסוו כתגובות שכתב משתמש מזוייף (אווטאר) לציוצים של יעדי ההדבקה.

תחקירי "תיקי פרדטור" מבוססים על מסמכים ועדויות שהגיעו לידי מגזין מדיהפארט הצרפתי ודר שפיגל הגרמני, ובניתוחם השתתפו 15 כלי תקשורת בהובלת EIC (European Investigative Collaborations), וביניהם גם הוושינגטון פוסט, WOZ (שווייץ), דאראג' (לבנון) וכלי תקשורת נוספים. דניאל דולב מגוף התחקירים שומרים היה העיתונאי הישראלי שלקח חלק בפרויקט. בניתוח הממצאים הטכנולוגיים סייעה אמנסטי-טק, המעבדה הפורנזית של אמנסטי אינטרנשיונל, שכאמור גם מפרסמת במסגרת הפרויקט את הדוח הנוכחי. 

לינקים "מורעלים" לנשיאת הפרלמנט האירופי

בסך הכל זוהו ניסיונות הדבקה של 59 גופים ובעלי תפקידים, ולא ידוע כמה מהם צלחו. אחת המטרות הראשונות שזיהו אנשי אמנסטי-טק היה אתר בשם Thoibao.de, כלי תקשורת אופוזיציוני עצמאי שמנוהל מברלין על ידי גולים וייטנאמים. האתר מפרסם סרטונים שמופצים גם ברשתות החברתיות, ולמרות שהגישה אליו חסומה במדינה הקומוניסטית המצונזרת בקשיחות, הוא מצליח להגיע למיליוני וייטנאמים.

בהתייחסות לציוץ בטוויטר של מאמר שעסק בחקירת שחיתות במשרד ההגנה הוייטנאמי, כתב משתמש בשם @joseph_Gordon16 תגובה בוייטנאמית שרמזה כי מדובר במאבקי כוח פנימיים בתוך הרשויות במדינה, ולצידה מה שנראה כלינק לאתר חדשות. בפועל, הלינק שלח את מי שלחץ עליו לתשתית שרתים להדבקה בפרדטור. באמנסטי טק מעריכים כי המטרות העיקריות היו אנשי צוות האתר.

קוואה לה טראנג, הוא הרוח החיה מאחורי Thoibao.de. משרדו בברלין, שבמשך היום משמש גם כחנות למצלמות אבטחה, שוכן מאחורי דלת כבדה וחסינת כדורים. "המתקפה הזו מטרידה אותי מאוד", הוא אומר ומסביר כי לאתר יש 12 עובדים שפועלים במקומות שונים בעולם, רובם בחשאי ותחת שמות בדויים בשל החשש כי השלטון בהאנוי לא יהסס לחטוף אותם לוייטנאם. "אני מתקשר עם התומכים שלי ועם המקורות בקודים", אמר לה טראנג. "אם השלטון בוייטנאם היה נחשף לתכני הסלולרי שלי זה היה מסכן את חיי הצוות".

קוואה לה טראנג השוכן מאחורי דלת כבדה וחסינת כדורים בברלין: "המתקפה הזו מטרידה אותי מאוד. אני מתקשר עם התומכים שלי ועם המקורות בקודים. אם השלטון בוייטנאם היה נחשף לתכני הסלולרי שלי זה היה מסכן את חיי הצוות".

קבוצת מטרות שניה שזיהתה אמנסטי-טק היו אקדמאים ומוסדות הקשורים לרגולציה של דיג בלתי חוקי. הרקע הוא ככל הנראה"כרטיס צהוב" שהוציאה ב-2017 הנציבות האירופית לוייטנאם בגין התנהלותה סביב הנושא. מדובר בצעד האחרון לפני הטלת איסור על יבוא דגה מהמדינה לאיחוד האירופי. כך למשל, "גוז'ף גורדון16" הגיב במאי האחרון לציוץ של אקדמאי ספרדי שעוסק בנושא. בציוץ נכתב בספרדית "מה הפתרון שלך להסרת הכרטיס הצהוב?" וצורף לינק שנראה כהפניה לאתר חדשות אסייאתי, אך בפועל היה לינק להדבקה ברוגלה. 

אותו "גוזף גורדון16" הגיב גם לציוצים נוספים של הגוף בנציבות האירופית שאחראי לאזהרה שספגה וייטנאם, והמתקפה לא נעצרה שם; תגובות ובהן לינקים "מורעלים" נשלחו לנשיאת הפרלמנט האירופי רוברטה מצולה, לחשבון הארגוני של הנציבות האירופית, לשגרירת גרמניה בארה"ב, למשרד החוץ של טייוואן, לכתבים ברשת CNN ועוד. 

מי שעוד ייתכן וטורגטו הם ארבעה חברי קונגרס אמריקאים. עם זאת, הלינקים המזויפים לא נשלחו ישירות אליהם אלא היו תגובות לציוצים של חשבונות אחרים בטוויטר שאזכרו את חברי הקונגרס. כך, למשל, אחד הציוצים הללו היה של משרד החוץ הטייוואני והוזכר בו מייקל מקאול, חבר בית הנבחרים האמריקאי מטעם טקסס וראש ועדת יחסי החוץ של הבית. 

שני גופים נוספים שחוקרים מתקפות סייבר - מכון המחקר הקנדי "סיטיזן לאב", וצוות ניתוח האיומים (TAG) של גוגל, אישרו את הממצאים בדוח של אמנסטי. ג'ון סקוט-ריילטון מ"סיטיזן לאב" אומר כי לא ברור אם לחיצה על הלינק הרעיל היתה מדביקה בפרדטור טלפון בעל מספר אמריקאי, שכן לדבריו בגרסה מסוימת של הרוגלה שאותרה לאחרונה בניסיון הדבקה שנעשה במצרים, נראה שיש חסימה שאינה מאפשרת הדבקה של מספרים אמריקאים וישראלים. 

עובד לשעבר בקבוצת אינטלקסה אמר לאחד מכלי התקשורת שהשתתפו בתחקיר דברים דומים ביחס לחסימת הדבקה של טלפונים משתי המדינות האלה. בנוסף, מהממצאים הטכניים עולה כי לא כל מי שלחץ על הלינק בהכרח הודבק ברוגלה, אלא במעין "כלי" ראשוני שמטרתו לסנן את מי שאינו מטרת התקיפה. 

סקוט-ריילטון הוסיף כי נדהם מהתעוזה שבמתקפה הפומבית, שמגדילה את הסיכוי לחשיפת המבצע כולו ודרכי הפעולה של התוקף, וכן מבחירת מטרות כה בכירות ובולטות. "כפי שלקוח של פרדטור בוודאי לומד עכשיו בדרך הקשה, מתקפה דרך טוויטר היא רעיון גרוע. העובדה שזה בכלל קורה היא הוכחה שהרוגלה עדיין מגיעה למפעילים פזיזים".

ניתוח התשתית הטכנולוגית ששימשה למבצע ההדבקה בטוויטר, אומרים אנשי אמנסטי, מאשר כי המתקפה בוצעה בידי "סוכנים של רשויות וייטנאמיות". הם גם זיהו שורת מדינות נוספות שככל הנראה משתמשות בפרדטור, בהן קזחסטן, סודן, מונגוליה ואנגולה. 

"סוכנים של רשויות וייטנאמיות"

ניתוח התשתית הטכנולוגית ששימשה למבצע ההדבקה בטוויטר, אומרים אנשי אמנסטי, מאשר כי המתקפה בוצעה בידי "סוכנים של רשויות וייטנאמיות". הם גם זיהו שורת מדינות נוספות שככל הנראה משתמשות בפרדטור, בהן קזחסטן, סודן, מונגוליה ואנגולה. 

ממצאי הדוח, כאמור, אושרו בידי גופי מחקר בינלאומיים נוספים. סקוט-ריילטון מ"סיטיזן לאב" אמר כי הנתונים מצביעים על "קשר חזק" לוייטנאם, ואילו בצוות מחקר האיומים של גוגל הוסיפו כי הם מייחסים את המתקפה ללקוח של אינטלקסה, וכי הם "מאמינים שהתשתית של המתקפה קשורה לשחקן ממשלתי בוייטנאם".

אף שלא ניתן להצביע בוודאות מוחלטת על וייטנאם כמי שעמדה מאחורי המתקפה, זהותן של המטרות מהווה ראיה נסיבתית כבדת משקל שאליה מצטרפים המסמכים שנחשפים במסגרת התחקיר. 

הפרויקט הוויטנאמי קיבל במסמכים הפנימיים של יצרנית הרוגלה ושותפתה את שם הקוד Anglerfish, או בעברית "דג חכאי" - דג שצד את טרפו בחשכה באמצעות פיתיון, מטאפורה לא רעה לרוגלה המתקדמת. ב-31 בדצמבר 2020, בקבוצת ווטסאפ משותפת לבכירי אינטלקסה, יצרנית הפרדטור בבעלות ישראלית, ושותפיהם העיסקיים מחברת נקסה הצרפתית, עדכן המנכ"ל של האחרונה כי "החוזה עם וייטנאם נחתם (...) תודה לכולם על התמיכה".

"וואאאאוו!!!!!!" הגיב אל"מ (במיל') טל דיליאן, אחד ממייסדי אינטלקסה, וסמנכ"ל המכירות הישראלי של הקבוצה הצטרף בהתלהבות: "עבודה נהדרת חבר'ה!". 

ב-31 בדצמבר 2020, בקבוצת ווטסאפ משותפת לבכירי אינטלקסה ושותפיהם העיסקיים מחברת נקסה הצרפתית, עדכן המנכ"ל של האחרונה כי "החוזה עם וייטנאם נחתם (...) תודה לכולם על התמיכה". "וואאאאוו!!!!!!" הגיב אל"מ (במיל') טל דיליאן

העיסקה עם וייטנאם הייתה דומה במובנים רבים לעיסקאות שעשתה השותפות הישראלית-צרפתית עם מדינות אחרות בעולם שנחשפו בפרויקט: בשם הצד הישראלי-צרפתי חתמה על החוזה חברה בשם AMES - חברה אחות של נקסה שרשומה בדובאי. מהצד השני חתמה על החוזה חברה בשם "דלסונס הונג קונג בע"מ". הלקוח האמיתי, על פי הרישום הפנימי בנקסה, היה "המשרד לביטחון הציבור" (MOPS) בוייטנאם. 

נקסה שיווקה את פרדטור תחת השם המסחרי "Arrows" ("חצים") – "חץ ירוק" להדבקת טלפונים עם מערכת הפעלה אנדרואיד, ו"חץ אדום" למערכות ההפעלה של אפל. עם זאת, במסמכים מופיע המוצר שנמכר לוייטנאם כ"חץ כחול", מה שעשוי לרמוז על הדבקה דרך טוויטר או פייסבוק, שהשתמשו שתיהן במיתוג שלהן בכחול. בנוסף, תיאור טכני של המערכת שהגיע לידי משתתפי הפרויקט מראה כי בין שלל שיטות ההדבקה, אינטלקסה גם מציעה ללקוחותיה מפורשות שימוש באווטארים לצורכי הדבקה דרך רשתות חברתיות.

לידי עורכי "תיקי פרדטור" הגיעו גם רישומי מטען החושפים כי ב-1 בנובמבר 2021, שלישים פריטים של חומרת מחשב נשלחו לווייטנאם על ידי "דלסונס הונג קונג". הנמעת הייתה חברה ממשלתית וייטנאמית בשם "BCA Thang Long", שאחת ממטרותיה, על פי אתר האינטרנט שלה, היא יבוא ויצוא עבור "המשרד לביטחון הציבור".

המשלוח כלל, על פי שטר המטען, "מודול ניטור PC", "מרכז בקרה" ו"מודול ניטור סמארטפון נייד" הקשור ל"מערכת תוכנה מקצועית". שלושת הפריטים הללו, בשווי 8.4 מיליון דולר, יוצרו על ידי חברה שנרשמה כ-"AS". במסמכים הפנימיים של נקסה, הקיצור AS משמש לא פעם לתיאור החברה האחות בדובאי. 27 הפריטים הנוספים שנכללו במשלוח, שערכם הכולל עמד על 167 אלף דולר, כללו שרתים ומחשבים שולחניים, ציוד רשת ומחשב נייד.

המידע על המשלוח הגיע משלושה מאגרי מידע שונים של רישומי יצוא. הנתונים זהים לחלוטין לגבי כל היבטי המשלוח (מחירים, כמות ותיאור הסחורה, תאריך אספקה, שמות החברות המייצאות והיבואניות), למעט ארץ המוצא. בשניים מהמאגרים נכתב שהסחורה נשלחה מאיחוד האמירויות, ואילו בשלישי כי היא נשלחה מישראל. במכס בישראל סירבו להשיב על שאלות בנושא, וענו כי הם מנועים חוקית מלהתייחס למשלוחים של חברה ספציפית.

המשרד לביטחון הציבור בוייטנאם, חברת "דלסונס" ואינטלקסה לא הגיבו לפניות בנושא. עם זאת, לאחר שנשלחו שאלות ובקשות לתגובה לאינטלקסה, החשבון "ג'וזף_גורדון16" נמחק מטוויטר, וחלק ניכר מהתשתית ששימשה להדבקה בפרדטור כובתה במהירות. "יותר מ-70% משרתי פרדטור שזוהו עברו לאוף-ליין מאז אמצע ספטמבר", אומר דונצ'ה או'סרבהייל, מנהל המעבדה של אמנסטי.

X (לשעבר טוויטר) לא הגיבה לפניות בנושא. 

מטעמן של נקסה ו-AMES נמסר כי הן התנערו מכל החוזים למכירת פרדטור עוד לפני שהמערכת הפכה למבצעית. בחברות טוענים כי העבירו את החוזים ישירות לאינטלקסה החל מהרבעון השלישי של 2021. בכירי החברות, סטפן סלייה ואוליבייה בוחבוט, הוסיפו כי הם "תמיד פעלו על פי הרגולציה הרלוונטית והשיגו אישורים מגופי הפיקוח הנדרשים".