Pranešama, kad Izraelio stebėjimo įmonė „NSO Group“ naudojo kelis nulinės dienos išnaudojimus, įskaitant nežinomą „Erised“, kuris panaudojo „WhatsApp“ pažeidžiamumą, kad įdiegtų „Pegasus“ šnipinėjimo programas atakose be paspaudimų, net ir po to, kai buvo iškelta byla.
„Pegasus“ yra NSO grupės šnipinėjimo programų platforma (parduodama kaip vyriausybių stebėjimo programinė įranga visame pasaulyje), turinti kelis programinės įrangos komponentus, suteikiančius klientams plačias aukų pažeistų įrenginių stebėjimo galimybes. Pavyzdžiui, NSO klientai galėjo stebėti aukų veiklą ir išgauti informaciją naudodamiesi aukų mobiliuosiuose telefonuose įdiegtu Pegasus agentu.
Remiantis ketvirtadienį pateiktais teismo dokumentais (juos pirmą kartą pastebėjo „Citizen Lab“ vyresnysis tyrėjas Johnas Scottas Railtonas), kaip „WhatsApp“ teisinės kovos su Izraelio NSO grupe dalis, šnipinėjimo programų gamintojas iki 2018 m. balandžio mėn. sukūrė išnaudojimą pavadinimu „Dangus“, kuriame buvo naudojamas pritaikytas „WhatsApp“ klientas. žinomas kaip „WhatsApp Installation Server“ (arba „WIS“), galintis apsimesti oficialiu klientu, kuris dislokuotų Pegasus šnipinėjimo programų agentą taikinių įrenginiuose iš trečiosios šalies serverio, kurį valdo NSO.
Tačiau „WhatsApp“ užblokavo NSO prieigą prie užkrėstų įrenginių ir savo serverių saugumo atnaujinimais, išleistais 2018 m. rugsėjo ir gruodžio mėn., neleisdamas dangaus išnaudojimui veikti.
Iki 2019 m. vasario mėn. šnipinėjimo programų gamintojas tariamai sukūrė kitą išnaudojimą, žinomą kaip „Eden“, siekdamas apeiti „WhatsApp“ apsaugą, įdiegtą 2018 m. Kaip „WhatsApp“ nustatė 2019 m. gegužę, NSO klientai „Eden“ naudojo atakoms prieš maždaug 1 400 įrenginių.
„Dėl slenksčio NSO pripažįsta, kad sukūrė ir pardavė skunde aprašytas šnipinėjimo programas ir kad NSO šnipinėjimo programas, ypač jos nulinio paspaudimo diegimo vektorių, vadinamą „Eden“, kuris buvo „WhatsApp“ pagrindu veikiančių vektorių šeimos dalis, žinoma bendrai. kaip „kolibris“ (bendrai „kenkėjiškų programų vektoriai“) buvo atsakingas už atakas“, – atskleidžiama teismo dokumentuose.
Tamiras Gaznelis, NSO tyrimų ir plėtros vadovas, ir „kaltinamieji pripažino, kad jie sukūrė tuos išnaudojimus ištraukdami ir dekompiliuodami WhatsApp kodą, apversdami WhatsApp“, kad sukurtų WIS klientą, kuris galėtų būti naudojamas „netaisyklingoms žinutėms siųsti (kurios teisėtas „WhatsApp“ klientas negalėjo siųsti) per „WhatsApp“ serverius ir taip priversti tikslinius įrenginius įdiegti „Pegasus“ šnipinėjimo programų agentą – visa tai pažeidžia federalinius ir valstijos įstatymus bei paprastą „WhatsApp“ paslaugų teikimo sąlygų kalbą.
Aptikusi atakas, „WhatsApp“ pataisė „Eden“ spragas ir išjungė NSO „WhatsApp“ paskyras. Tačiau net ir po to, kai 2019 m. gegužės mėn. buvo užblokuotas „Eden“ išnaudojimas, teismo dokumentuose teigiama, kad NSO pripažino, kad sukūrė dar vieną diegimo vektorių (pavadintą „Erised“), kuris naudojo „WhatsApp“ perdavimo serverius „Pegasus“ šnipinėjimo programoms įdiegti.
„WhatsApp“ vartotojai buvo nukreipti net po to, kai buvo pateiktas ieškinys
Naujuosiuose teismo dokumentuose teigiama, kad NSO toliau naudojo ir darė prieinamą klientams „Erised“ net ir po to, kai buvo pateiktas ieškinys 2019 m. spalį, kol papildomi „WhatsApp“ pakeitimai užblokavo jos prieigą kažkada po 2020 m. gegužės mėn. NSO liudininkai tariamai atsisakė atsakyti, ar šnipinėjimo programų gamintojas toliau vystėsi. „WhatsApp“ pagrįstų kenkėjiškų programų vektoriai.
Jie taip pat atskleidė, kad šnipinėjimo programų pardavėjas teisme pripažino, kad jo „Pegasus“ šnipinėjimo programa išnaudojo „WhatsApp“ paslaugą, kad įdiegtų stebėjimo programinės įrangos agentą „nuo šimtų iki dešimčių tūkstančių“ tikslinių įrenginių. Ji taip pat pripažino, kad „WhatsApp“ išplėtojo šią galimybę, įdiegdama „technologiją“ savo klientams ir suteikdama jiems WhatsApp paskyras, kurias jie turėjo naudoti atakose.v
Šnipinėjimo programų diegimo procesas tariamai buvo pradėtas, kai „Pegasus“ klientas įvedė taikinio mobiliojo telefono numerį į lauką savo nešiojamajame kompiuteryje veikiančioje programoje, o tai suaktyvino „Pegasus“ dislokavimą taikinių įrenginiuose nuotoliniu būdu.
Taigi jos klientų dalyvavimas operacijoje buvo ribotas, nes jiems tereikėjo įvesti tikslinį numerį ir pasirinkti „Įdiegti“. Šnipinėjimo programų diegimą ir duomenų ištraukimą visiškai tvarkė NSO Pegasus sistema, todėl iš klientų nereikėjo jokių techninių žinių ar tolesnių veiksmų.
Tačiau NSO ir toliau teigia, kad jie nėra atsakingi už savo klientų veiksmus arba neturi prieigos prie duomenų, gautų diegiant Pegasus šnipinėjimo programą, o tai riboja jų vaidmenį stebėjimo operacijose.
Be kitų taikinių, NSO Pegasus šnipinėjimo programa buvo naudojama įsilaužti į Katalonijos politikų, žurnalistų ir aktyvistų telefonus. Jungtinės Karalystės vyriausybės pareigūnaiSuomijos diplomatai ir JAV Valstybės departamento darbuotojai.
2021 m. lapkritį JAV skyrė sankcijas NSO Group ir Candiru už programinės įrangos, naudojamos šnipinėti vyriausybės pareigūnus, žurnalistus ir aktyvistus, tiekimą. 2021 m. lapkričio pradžioje „Apple“ taip pat pateikė ieškinį NSO dėl įsilaužimo į „Apple“ klientų „iOS“ įrenginius ir šnipinėjimo juos naudojant „Pegasus“ šnipinėjimo programas.
NSO grupės atstovas spaudai negalėjo iš karto komentuoti, kai anksčiau šiandien susisiekė su „BleepingComputer“.