Группа NSO использовала WhatsApp Zero-Day даже после иска, утверждают судебные документы
NSO Group Technologies Ltd. продолжала разрабатывать шпионское ПО, которое использовало множество эксплойтов нулевого дня в WhatsApp, даже после того, как компания по обмену мгновенными сообщениями подала в суд на израильскую фирму по наблюдению за нарушение федеральных и государственных законов о борьбе с хакерством. обнародовал судебное дело поданный приложением для обмена сообщениями и его материнской компанией Meta, который был опубликован в четверг.
Судебные документы показывают, что NSO продолжала использовать серверы WhatsApp для установки шпионского ПО Pegasus на телефоны, вызывая целевое устройство, даже после того, как платформа обмена сообщениями обнаружила и заблокировала эксплойт в мае 2019 года.
Обвинения связаны с серией кибератак против пользователей WhatsApp, в том числе журналистов, диссидентов и правозащитников.
«В качестве порогового значения NSO признает, что она разработала и продала шпионское ПО, описанное в жалобе, и что шпионское ПО NSO — в частности, его вектор установки без щелчка под названием «Eden», который был частью семейства векторов на основе WhatsApp, известных под общим названием как «Колибри» (совместно именуемые «Вредоносные программы») — был ответственен за атаки, описанные в Жалобе. Руководитель отдела исследований и разработок NSO подтвердил, что эти векторы работали именно так, как утверждали истцы». читает судебное дело.
NSO признает, что клиенты NSO использовали ее технологию Eden в атаках примерно на 1400 устройств. После обнаружения атак WhatsApp исправил уязвимости Eden и деактивировал учетные записи WhatsApp NSO. Однако эксплойт Eden оставался активным до тех пор, пока не был заблокирован в мае 2019 года.
Несмотря на это, Компания по наблюдению разработала еще один вектор установки, известный как «Erised», который использовал серверы WhatsApp для установки шпионского ПО Pegasus с помощью атак с нулевым щелчком мыши, признала NSO. Сообщается, что этот эксплойт оставался активным и доступным для клиентов NSO даже после того, как WhatsApp подал в суд на компанию в октябре 2019 года, пока дальнейшие изменения безопасности в платформе обмена сообщениями не заблокировали доступ к ней где-то после мая 2020 года.
Сообщается, что свидетели НСО отказались подтвердить, продолжал ли производитель шпионского ПО впоследствии разрабатывать векторы вредоносного ПО на базе WhatsApp.
Компания признала, что ее сотрудники создавали и использовали учетные записи WhatsApp для разработки вредоносного ПО для себя и своих клиентов. Это нарушило Условия обслуживания WhatsApp по нескольким причинам, включая реверс-инжиниринг платформы, передачу вредоносного кода, несанкционированный сбор данных и незаконный доступ к услуге.
Мета заявила, что эти действия также нарушили Закон о компьютерном мошенничестве и злоупотреблениях (CFAA) и Закон Калифорнии о всеобъемлющем доступе к компьютерным данным и мошенничеству (CDAFA), что привело к нанесению ущерба WhatsApp.
NSO уже давно утверждает, что не осведомлена о деятельности своих клиентов и имеет минимальный контроль над использованием клиентами ее шпионского ПО, отрицая свою причастность к осуществлению целевых кибератак.
Однако недавно опубликованные судебные документы показывают, что поставщик шпионского ПО использовал свое шпионское ПО Pegasus, а клиентам нужно было указать только целевой номер.
В одном из судебных документов WhatsApp утверждал, что «роль клиентов НСУ минимальна», учитывая, что от государственных заказчиков требовалось только ввести номер телефона целевого устройства и, цитируя сотрудника НСО, «нажать «Установить», и Pegasus установить агент на устройство удаленно, без какого-либо участия».
«Другими словами, клиент просто размещает заказ на данные целевого устройства, а NSO контролирует каждый аспект процесса получения и доставки данных посредством своей конструкции Pegasus», — добавил WhatsApp.
В судебных материалах также цитируется сотрудник NSO, который сказал, что «это было наше решение, запускать (эксплойт) с использованием сообщений WhatsApp или нет», имея в виду один из эксплойтов, которые компания предлагала своим клиентам.
В свою защиту Гил Ланье, вице-президент по глобальным коммуникациям израильской фирмы, заявил в заявлении для TechCrunch: «NSO поддерживает свои предыдущие заявления, в которых мы неоднократно уточняли, что системой управляют исключительно наши клиенты и что ни NSO, ни ее сотрудники не имеют доступа к информации, собранной системой».
«Мы уверены, что эти претензии, как и многие другие в прошлом, будут опровергнуты в суде, и мы с нетерпением ждем возможности сделать это», — добавил он.