Η ισραηλινή εταιρεία παρακολούθησης NSO Group φέρεται να χρησιμοποίησε πολλαπλά exploits zero-day, συμπεριλαμβανομένου ενός άγνωστου με το όνομα “Erised”, που αξιοποίησε τα τρωτά σημεία του WhatsApp για να αναπτύξει το spyware Pegasus σε επιθέσεις μηδενικού κλικ, ακόμη και μετά από μήνυση.
Το Pegasus είναι η πλατφόρμα spyware του Ομίλου NSO (που διατίθεται στην αγορά ως λογισμικό παρακολούθησης για κυβερνήσεις σε όλο τον κόσμο), με πολλαπλά στοιχεία λογισμικού που παρέχουν στους πελάτες εκτεταμένες δυνατότητες επιτήρησης των παραβιασμένων συσκευών των θυμάτων. Για παράδειγμα, οι πελάτες NSO θα μπορούσαν να παρακολουθούν τη δραστηριότητα των θυμάτων και να εξάγουν πληροφορίες χρησιμοποιώντας τον πράκτορα Pegasus που είναι εγκατεστημένος στα κινητά τηλέφωνα των θυμάτων.
Σύμφωνα με δικαστήριο έγγραφα κατατέθηκε την Πέμπτη (εντοπίστηκε για πρώτη φορά από τον ανώτερο ερευνητή του Citizen Lab, John Scott Railton) ως μέρος της νομικής μάχης του WhatsApp με τον Ισραηλινό Όμιλο NSO, ο κατασκευαστής spyware ανέπτυξε ένα exploit με το όνομα «Heaven» πριν από τον Απρίλιο του 2018 που χρησιμοποιούσε έναν προσαρμοσμένο πελάτη WhatsApp γνωστό ως «Διακομιστής εγκατάστασης WhatsApp» (ή «WIS») ικανό να μιμηθεί τον επίσημο πελάτη για να αναπτύξει τον πράκτορα spyware Pegasus σε συσκευές στόχων από ένα διακομιστής τρίτου μέρους υπό τον έλεγχο της NSO.
Ωστόσο, το WhatsApp απέκλεισε την πρόσβαση της NSO σε μολυσμένες συσκευές και τους διακομιστές της με ενημερώσεις ασφαλείας που εκδόθηκαν τον Σεπτέμβριο και τον Δεκέμβριο του 2018, εμποδίζοντας τη λειτουργία του Heaven exploit.
Μέχρι τον Φεβρουάριο του 2019, ο κατασκευαστής spyware φέρεται να ανέπτυξε ένα άλλο exploit γνωστό ως «Eden» για να παρακάμψει τις προστασίες του WhatsApp που εφαρμόστηκαν το 2018. Όπως διαπίστωσε το WhatsApp τον Μάιο του 2019, το Eden χρησιμοποιήθηκε από πελάτες NSO σε επιθέσεις κατά περίπου 1.400 συσκευών.
“Ως κατώτατο όριο, η NSO παραδέχεται ότι ανέπτυξε και πούλησε το λογισμικό υποκλοπής spyware που περιγράφεται στην Καταγγελία και ότι το λογισμικό υποκλοπής spyware της NSO – συγκεκριμένα το διάνυσμα εγκατάστασης μηδενικού κλικ που ονομάζεται “Eden”, το οποίο ήταν μέρος μιας οικογένειας διανυσμάτων που βασίζονται στο WhatsApp γνωστά συλλογικά καθώς το “Hummingbird” (συλλογικά, το “Malware Vectors”)—ήταν υπεύθυνος για τις επιθέσεις”, το αποκαλύπτουν τα δικαστικά έγγραφα.
Ο Tamir Gazneli, επικεφαλής έρευνας και ανάπτυξης της NSO, και οι «κατηγορούμενοι παραδέχθηκαν ότι ανέπτυξαν αυτά τα exploits εξάγοντας και απομεταγλωττίζοντας τον κώδικα του WhatsApp, αναστρέφοντας το WhatsApp» για να δημιουργήσουν το πρόγραμμα-πελάτη WIS που θα μπορούσε να χρησιμοποιηθεί για «να στείλει λανθασμένα μηνύματα (το οποίο ο νόμιμος πελάτης WhatsApp δεν μπόρεσε να στείλει) μέσω διακομιστών WhatsApp και ως εκ τούτου να αναγκάσει τις συσκευές-στόχους να εγκαταστήσουν τον πράκτορα λογισμικού κατασκοπείας Pegasus—όλα κατά παράβαση των ομοσπονδιακός και κρατικός νόμος και η απλή γλώσσα των Όρων Παροχής Υπηρεσιών του WhatsApp.”
Αφού εντόπισε τις επιθέσεις, το WhatsApp διόρθωσε τα τρωτά σημεία του Eden και απενεργοποίησε τους λογαριασμούς WhatsApp της NSO. Ωστόσο, ακόμη και μετά τον αποκλεισμό του Eden exploit τον Μάιο του 2019, τα δικαστικά έγγραφα αναφέρουν ότι η NSO παραδέχτηκε ότι ανέπτυξε έναν ακόμη φορέα εγκατάστασης (με το όνομα «Erised») που χρησιμοποίησε τους διακομιστές αναμετάδοσης του WhatsApp για την εγκατάσταση του spyware Pegasus.
Οι χρήστες του WhatsApp στοχοποιήθηκαν ακόμη και μετά την κατάθεση μήνυσης
Τα νέα δικαστικά έγγραφα αναφέρουν ότι η NSO συνέχισε να χρησιμοποιεί και να κάνει το Erised διαθέσιμο στους πελάτες ακόμη και μετά την κατάθεση της αγωγής τον Οκτώβριο του 2019, έως ότου πρόσθετες αλλαγές στο WhatsApp απέκλεισαν την πρόσβασή της λίγο μετά τον Μάιο του 2020. Μάρτυρες της NSO φέρονται να αρνήθηκαν να απαντήσουν εάν ο κατασκευαστής spyware ανέπτυξε περαιτέρω Διανύσματα κακόβουλου λογισμικού που βασίζονται στο WhatsApp.
Αποκάλυψαν επίσης ότι ο πωλητής spyware αναγνώρισε στο δικαστήριο ότι το spyware Pegasus εκμεταλλεύτηκε την υπηρεσία του WhatsApp για να εγκαταστήσει τον πράκτορα λογισμικού παρακολούθησης σε “μεταξύ εκατοντάδων και δεκάδων χιλιάδων” συσκευών-στόχων. Παραδέχτηκε επίσης ότι έκανε αντίστροφη μηχανική στο WhatsApp για να αναπτύξει αυτή τη δυνατότητα, εγκαθιστώντας την «τεχνολογία» για τους πελάτες της και παρέχοντάς τους τους λογαριασμούς WhatsApp που έπρεπε να χρησιμοποιήσουν στις επιθέσεις.v
Η διαδικασία εγκατάστασης spyware φέρεται να ξεκίνησε όταν ένας πελάτης Pegasus εισήγαγε τον αριθμό κινητού τηλεφώνου ενός στόχου σε ένα πεδίο ενός προγράμματος που εκτελείται στον φορητό υπολογιστή του, το οποίο πυροδότησε την ανάπτυξη του Pegasus στις συσκευές των στόχων εξ αποστάσεως.
Έτσι, η συμμετοχή των πελατών της στη λειτουργία ήταν περιορισμένη καθώς έπρεπε μόνο να εισαγάγουν τον αριθμό-στόχο και να επιλέξουν «Εγκατάσταση». Η εγκατάσταση του spyware και η εξαγωγή δεδομένων διεκπεραιώθηκαν εξ ολοκλήρου από το σύστημα Pegasus της NSO, χωρίς να απαιτούνται τεχνικές γνώσεις ή περαιτέρω ενέργειες από τους πελάτες.
Ωστόσο, η NSO συνεχίζει να δηλώνει δεν ευθύνονται για τις ενέργειες των πελατών τους ή δεν έχουν πρόσβαση στα δεδομένα που ανακτήθηκαν κατά την εγκατάσταση του spyware Pegasus, περιορίζοντας τον ρόλο τους στις επιχειρήσεις επιτήρησης.
Μεταξύ άλλων στόχων, το spyware Pegasus της NSO χρησιμοποιήθηκε για να χακάρει τα τηλέφωνα Καταλανών πολιτικών, δημοσιογράφων και ακτιβιστών, Κυβερνητικά στελέχη του Ηνωμένου ΒασιλείουΦινλανδοί διπλωμάτες και υπάλληλοι του Υπουργείου Εξωτερικών των ΗΠΑ.
Τον Νοέμβριο του 2021, οι Ηνωμένες Πολιτείες επέβαλαν κυρώσεις στην NSO Group και την Candiru για την παροχή λογισμικού που χρησιμοποιείται για την κατασκοπεία κυβερνητικών αξιωματούχων, δημοσιογράφων και ακτιβιστών. Στις αρχές Νοεμβρίου 2021, η Apple κατέθεσε επίσης μήνυση κατά της NSO για εισβολή σε συσκευές iOS πελατών της Apple και κατασκοπεία τους χρησιμοποιώντας λογισμικό κατασκοπείας Pegasus.
Ένας εκπρόσωπος του Ομίλου NSO δεν ήταν άμεσα διαθέσιμος για σχόλιο όταν επικοινώνησε η BleepingComputer νωρίτερα σήμερα.
VIA: bleepingcomputer.com
