Firma de supraveghere israeliana NSO Group a folosit, conform documentelor judecatoresti, mai multe exploit-uri zero-day, inclusiv unul necunoscut numit „Erised”, care a exploatat vulnerabilitatile WhatsApp pentru a implementa spyware-ul Pegasus in atacuri zero-click, chiar dupa ce a fost dat in judecata.
Pegasus este platforma de spyware a NSO Group (comercializata ca software de supraveghere pentru guvernele din intreaga lume), cu mai multe componente software care ofera clientilor capabilitati extinse de supraveghere asupra dispozitivelor compromise ale victimelor. De exemplu, clientii NSO ar putea monitoriza activitatea victimelor si extrage informatii folosind agentul Pegasus instalat pe telefoanele mobile ale acestora.
Conform documentelor judecatoresti depuse joi (observate initial de cercetatorul senior al Citizen Lab, John Scott Railton) in cadrul bataliei legale dintre WhatsApp si NSO Group-ul israelian, producatorul de spyware a dezvoltat un exploit numit ‘Heaven’ inainte de aprilie 2018 care folosea un client WhatsApp personalizat cunoscut sub numele de ‘WhatsApp Installation Server’ (sau ‘WIS’) capabil sa se faca drept clientul oficial pentru a implementa agentul de spyware Pegasus pe dispozitivele tintelor de la un server terta aflat sub controlul NSO.
Cu toate acestea, WhatsApp a blocat accesul NSO la dispozitivele infectate si serverele sale cu actualizari de securitate emise in septembrie si decembrie 2018, prevenind astfel functia exploit-ului Heaven.
Pana in februarie 2019, producatorul de spyware a dezvoltat presupus un alt exploit cunoscut sub numele de ‘Eden’ pentru a evita protectiile WhatsApp implementate in 2018. Conform descoperirii facute de WhatsApp in mai 2019, Eden a fost folosit de clientii NSO in atacuri impotriva aproximativ 1.400 de dispozitive.
„In principiu, NSO recunoaste ca a dezvoltat si vandut spyware-ul descris in Plangere, si ca spyware-ul NSO – in special vectorul sau de instalare zero-click numit ‘Eden,’ care a facut parte dintr-o familie de vectori bazati pe WhatsApp cunoscuti colectiv sub numele de ‘Hummingbird’ (colectiv, ‘Vectorii Malware’) – a fost responsabil pentru aceste atacuri”, dezvaluie documentele judecatoresti.
Tamir Gazneli, seful de cercetare si dezvoltare al NSO, si „defendantii au recunoscut ca au dezvoltat acele exploit-uri prin extragerea si decompilarea codului WhatsApp, reverse-engineering WhatsApp” pentru a crea clientul WIS care putea fi folosit pentru a „trimite mesaje modificate (pe care un client WhatsApp legitim nu le-ar putea trimite) prin serverele WhatsApp si, astfel, sa determine dispozitivele tintelor sa instaleze agentul de spyware Pegasus – totul in incalcarea legilor federale si statale si a limbajului clar al Termenilor de Servicii ai WhatsApp.”
Dupa detectarea atacurilor, WhatsApp a remediat vulnerabilitatile Eden si a dezactivat conturile WhatsApp ale NSO. Cu toate acestea, chiar daca exploit-ul Eden a fost blocat in mai 2019, documentele judecatoresti arata ca NSO a recunoscut ca a dezvoltat inca un vector de instalare (numit ‘Erised’) care a folosit serverele de releu ale WhatsApp pentru a instala spyware-ul Pegasus.
Noile documente judecatoresti arata ca NSO a continuat sa foloseasca si sa puna la dispozitie Erised clientilor sai chiar si dupa ce procesul a fost intentat in octombrie 2019, pana cand modificarile suplimentare ale WhatsApp i-au blocat accesul undeva dupa mai 2020. Martorii NSO au refuzat, presupus, sa raspunda daca producatorul de spyware a dezvoltat noi vectori de malware bazati pe WhatsApp.
De asemenea, au dezvaluit ca vendorul de spyware a recunoscut in instanta ca spyware-ul sau Pegasus a exploatat serviciul WhatsApp pentru a instala agentul sau de software de supraveghere pe „intre sute si zeci de mii” de dispozitive tinta. A recunoscut, de asemenea, ca a reverse-engineering WhatsApp pentru a dezvolta aceasta capacitate, instaland „tehnologia” pentru clientii sai si furnizandu-le conturile WhatsApp de care aveau nevoie pentru a le folosi in atacuri.
Procesul de instalare a spyware-ului a fost, presupus, initiat atunci cand un client Pegasus introducea numarul de telefon mobil al unei tinte intr-un camp dintr-un program care ruleaza pe laptopul sau, declansand astfel implementarea Pegasus pe dispozitivele tintelor de la distanta.
Astfel, implicarea clientilor in operatie a fost limitata, deoarece acestia trebuiau doar sa introduca numarul tinte si sa selecteze ‘Instaleaza’. Instalarea spyware-ului si extragerea datelor au fost gestionate in intregime de sistemul Pegasus al NSO, neexistand nevoie de cunostinte tehnice sau actiuni ulterioare din partea clientilor.
Cu toate acestea, NSO continua sa sustina ca nu isi asuma responsabilitatea pentru actiunile clientilor sai sau ca nu are acces la datele recuperate in timpul instalarii spyware-ului Pegasus, limitandu-si rolul in operatiunile de supraveghere.
Printre alte tinte, spyware-ul Pegasus al NSO a fost folosit pentru a hack-ui telefoanele politicienilor catalani, jurnalistilor si activistilor, oficialilor guvernamentali din Regatul Unit, diplomatilor finlandezi si angajatilor Departamentului de Stat al SUA.
In noiembrie 2021, Statele Unite au impus sanctiuni impotriva NSO Group si Candiru pentru furnizarea de software folosit pentru spionarea oficialilor guvernamentali, jurnalistilor si activistilor. La inceputul lunii noiembrie 2021, Apple a intentat, de asemenea, un proces impotriva NSO pentru hack-ui telefoanele iOS ale clientilor Apple si pentru spionarea acestora folosind spyware-ul Pegasus.
Un purtator de cuvant al NSO Group nu a fost imediat disponibil pentru comentarii atunci cand a fost contactat de BleepingComputer mai devreme astazi.
WhatsApp cripteaza acum bazele de date de contacte pentru sincronizare in scopul pastrarii confidentialitatii
Meta opreste rutarea prin intermediul Deutsche Telekom din cauza unei taxe de peering de 20 de milioane de euro
SUA intensifica lupta impotriva vendorului de spyware Intellexa cu mai multe sanctiuni
Leave a Reply