NSO Group nutzte WhatsApp Zero-Day weiterhin nach Klage, Gerichtsdokumente sagen

NSO Group Technologies Ltd. entwickelte weiterhin Spyware, die mehrere Zero-Day-Exploits von WhatsApp nutzte, selbst nachdem das Instant-Messaging-Unternehmen die israelische Überwachungsfirma wegen Verstoßes gegen bundesstaatliche und staatliche Anti-Hacking-Gesetze verklagt hatte, wie aus einem am Donnerstag veröffentlichten Gerichtsdokument hervorgeht, das von der Messaging-App und ihrem Mutterunternehmen Meta eingereicht wurde.

Gerichtsdokumente zeigen, dass NSO weiterhin WhatsApp-Server nutzte, um Pegasus-Spyware auf Handys zu installieren, indem das Zielgerät angerufen wurde, selbst nachdem die Messaging-Plattform den Exploit im Mai 2019 erkannt und blockiert hatte.

Die Vorwürfe stammen aus einer Reihe von Cyberangriffen auf WhatsApp-Nutzer, darunter Journalisten, Dissidenten und Menschenrechtsaktivisten.

„Als grundlegende Angelegenheit gibt NSO zu, dass es die in der Klage beschriebene Spyware entwickelt und verkauft hat und dass die Spyware von NSO – insbesondere ihr Zero-Click-Installationsvektor namens „Eden“, der Teil einer Familie von WhatsApp-basierten Vektoren ist, die kollektiv als „Hummingbird“ bekannt sind (gemeinsam die „Malware-Vektoren“) – für die in der Klage beschriebenen Angriffe verantwortlich war. Der Leiter der F&E von NSO hat bestätigt, dass diese Vektoren genau so funktionierten, wie von den Klägern behauptet.“ heißt es in dem Gerichtsdokument.

NSO gibt zu, dass die Kunden von NSO seine Eden-Technologie in Angriffen gegen etwa 1.400 Geräte einsetzten. Nach der Entdeckung der Angriffe patchte WhatsApp die Eden-Schwachstellen und deaktivierte die WhatsApp-Konten von NSO. Der Eden-Exploit blieb jedoch aktiv, bis er im Mai 2019 blockiert wurde.

Trotz dessen entwickelte die Überwachungsfirma einen weiteren Installationsvektor, bekannt als „Erised“, der WhatsApp-Server nutzte, um Pegasus-Spyware in Zero-Click-Angriffen zu installieren, gab NSO zu. Dieser Exploit blieb Berichten zufolge aktiv und für NSO-Kunden verfügbar, selbst nachdem WhatsApp das Unternehmen im Oktober 2019 verklagt hatte, bis weitere Sicherheitsänderungen an der Messaging-Plattform den Zugriff irgendwann nach Mai 2020 blockierten.

Berichten zufolge lehnten es NSO-Zeugen ab zu bestätigen, ob der Spyware-Hersteller danach weiterhin WhatsApp-basierte Malware-Vektoren entwickelte.

Das Unternehmen räumte ein, dass seine Mitarbeiter WhatsApp-Konten erstellten und nutzten, um Malware für sich selbst und ihre Kunden zu entwickeln. Dies verstieß in mehreren Punkten gegen die Nutzungsbedingungen von WhatsApp, einschließlich der Rückentwicklung der Plattform, der Übertragung von bösartigem Code, der unbefugten Datensammlung und des illegalen Zugriffs auf den Dienst.

Meta behauptete, dass diese Handlungen auch gegen das Computer Fraud and Abuse Act (CFAA) und das Comprehensive Computer Data Access and Fraud Act (CDAFA) von Kalifornien verstießen, was WhatsApp Schäden verursachte.

NSO hat lange behauptet, dass es sich nicht über die Operationen seiner Kunden im Klaren ist und nur minimalen Einfluss auf die Nutzung seiner Spyware durch die Kunden hat, und bestreitet jegliche Beteiligung an der Durchführung gezielter Cyberangriffe.

Die neu veröffentlichten Gerichtsdokumente zeigen jedoch, dass der Spyware-Anbieter seine Pegasus-Spyware betrieb, wobei die Kunden nur die Zielnummer angeben mussten.

In einem der Gerichtsdokumente argumentierte WhatsApp, dass „die Rolle der NSO-Kunden minimal ist“, da die Regierungs-Kunden nur die Telefonnummer des Zielgeräts eingeben mussten und, unter Berufung auf einen NSO-Mitarbeiter, „Installieren drücken, und Pegasus wird den Agenten ohne jegliches Engagement remote auf dem Gerät installieren.“

„Mit anderen Worten, der Kunde gibt einfach eine Bestellung für die Daten eines Zielgeräts auf, und NSO kontrolliert jeden Aspekt des Datenabrufs und des Lieferprozesses durch das Design von Pegasus“, fügte WhatsApp hinzu.

Die Gerichtsdokumente zitierten auch einen NSO-Mitarbeiter mit den Worten, es „war unsere Entscheidung, ob wir [den Exploit] mit WhatsApp-Nachrichten auslösen oder nicht“, und bezogen sich auf einen der Exploits, die das Unternehmen seinen Kunden anbot.

Zu seiner Verteidigung sagte Gil Lanier, Vizepräsident für globale Kommunikation des israelischen Unternehmens, in einer Erklärung gegenüber TechCrunch: „NSO steht hinter seinen früheren Aussagen, in denen wir wiederholt dargelegt haben, dass das System ausschließlich von unseren Kunden betrieben wird und dass weder NSO noch seine Mitarbeiter Zugang zu den durch das System gesammelten Informationen haben.“

„Wir sind zuversichtlich, dass diese Ansprüche, wie viele andere in der Vergangenheit, vor Gericht als falsch erwiesen werden, und wir freuen uns auf die Gelegenheit, dies zu tun“, fügte er hinzu.