Правовые документы, опубликованные в рамках продолжающегося судебного спора между WhatsApp от Meta* и израильской компанией NSO Group, показали, что производитель шпионского ПО использовал несколько эксплойтов, нацеленных на мессенджер, для доставки вредоносного ПО Pegasus. Более того, один из этих эксплойтов использовался даже после того, как компания была привлечена к суду за эти действия.
Постоянные взломы и противодействие WhatsApp
Документы свидетельствуют о том, что NSO Group неоднократно находила способы установить шпионское ПО на устройства целей, несмотря на то, что WhatsApp внедрял новые меры защиты для противодействия угрозе.
В мае 2019 года WhatsApp объявил о блокировке сложной кибератаки, которая использовала систему видеозвонков для незаметной доставки Pegasus. Атака эксплуатировала уязвимость нулевого дня, известную как CVE-2019-3568, критическую ошибку переполнения буфера в функции голосового вызова.
Однако новые документы раскрывают, что NSO Group разработала ещё один вектор установки, известный как Erised, который также использовал серверы WhatsApp для установки Pegasus. Этот эксплойт без клика мог скомпрометировать телефон жертвы без какого-либо взаимодействия с её стороны и был нейтрализован только после мая 2020 года. Это означает, что NSO продолжала свои действия даже после подачи иска от WhatsApp в октябре 2019 года.
Методы NSO Group и векторы атаки
Erised считается одним из множества векторов вредоносного ПО, объединённых под названием Hummingbird, которые NSO Group разработала для установки Pegasus через WhatsApp. К ним также относятся эксплойты, известные как Heaven и Eden. Последний является кодовым названием для CVE-2019-3568 и был использован для атаки на около 1400 устройств.
Эксплойт Heaven использовал изменённые сообщения, чтобы заставить серверы WhatsApp перенаправить целевые устройства на сторонний сервер, контролируемый NSO Group. Однако обновления безопасности, внесённые WhatsApp к концу 2018 года, побудили NSO разработать новый эксплойт Eden, который устранял необходимость в собственном сервере NSO, используя серверы, управляемые WhatsApp.
Роль клиентов и ответственность NSO Group
Документы также проливают свет на то, как именно Pegasus устанавливался на устройства и кто контролировал этот процесс. Вопреки предыдущим заявлениям NSO Group о том, что их клиенты ответственны за использование шпионского ПО, выяснилось, что именно NSO управляла всеми аспектами его установки и эксплуатации.
«Роль клиентов NSO минимальна. Клиенту нужно было только ввести номер целевого устройства и нажать "Установить", после чего компания устанавливала агента на устройстве удалённо без какого-либо участия. Иными словами, клиент просто размещает заказ на данные целевого устройства, а NSO контролирует каждый аспект процесса получения и доставки данных через свой дизайн Pegasus».
NSO Group неоднократно утверждала, что её продукт предназначен для борьбы с серьёзными преступлениями и терроризмом. Однако новые данные ставят под сомнение степень контроля и ответственности компании в использовании её технологий.
Реакция Apple и усиление мер безопасности
В сентябре 2024 года Apple подала ходатайство о «добровольном» прекращении своего иска против NSO Group, ссылаясь на меняющийся ландшафт рисков и потенциальную угрозу раскрытия критической информации о безопасности.
За последние годы Apple активно усиливала защиту своих устройств от атак шпионским ПО. Два года назад компания представила «Режим блокировки» (Lockdown Mode), который ограничивает функциональность некоторых приложений, таких как FaceTime и «Сообщения», для повышения безопасности.
На этой неделе стало известно о новой функции безопасности в бета-версиях iOS 18.2, которая автоматически перезагружает iPhone, если он не был разблокирован в течение 72 часов. Это требует от пользователей, включая правоохранительные органы, повторно ввести пароль для доступа к устройству.
Компания Magnet Forensics, разработчик инструмента извлечения данных GrayKey, подтвердила наличие функции «перезагрузки при бездействии», отметив, что она связана с состоянием блокировки устройства и активируется после 72 часов бездействия.
Заключение
Обнародованные документы проливают свет на методы работы NSO Group и её продолжающиеся усилия по взлому популярных мессенджеров для установки шпионского ПО. Эти откровения вызывают серьёзные опасения относительно конфиденциальности пользователей и подчеркивают необходимость усиления мер кибербезопасности.
Ещё по теме: