El Grupo NSO Explotó un Zero-Day de WhatsApp Incluso Después de la Demanda, Dicen Documentos Judiciales

NSO Group Technologies Ltd. continuó desarrollando spyware que utilizaba múltiples exploits zero-day de WhatsApp incluso después de que la firma de mensajería demandara a la empresa israelí de vigilancia por violación de leyes federales y estatales contra el hacking, reveló un documento judicial presentado por la aplicación de mensajería y su empresa matriz Meta que fue publicado el jueves.

Los documentos judiciales revelan que NSO continuó utilizando los servidores de WhatsApp para instalar spyware Pegasus en teléfonos al llamar al dispositivo objetivo, incluso después de que la plataforma de mensajería detectara y bloqueara el exploit en mayo de 2019.

Las alegaciones provienen de una serie de ciberataques contra usuarios de WhatsApp, incluidos periodistas, disidentes y defensores de los derechos humanos.

“Como cuestión preliminar, NSO admite que desarrolló y vendió el spyware descrito en la Demanda, y que el spyware de NSO—específicamente su vector de instalación sin clic llamado ‘Eden’, que era parte de una familia de vectores basados en WhatsApp conocidos colectivamente como ‘Hummingbird’ (colectivamente, los ‘Vectores de Malware’)—fue responsable de los ataques descritos en la Demanda. El Jefe de I+D de NSO ha confirmado que esos vectores funcionaron precisamente como alegaron los Demandantes.” dice el documento judicial.

NSO admite que los clientes de NSO utilizaron su tecnología Eden en ataques contra aproximadamente 1,400 dispositivos. Tras la detección de los ataques, WhatsApp parcheó las vulnerabilidades de Eden y desactivó las cuentas de WhatsApp de NSO. Sin embargo, el exploit de Eden permaneció activo hasta que fue bloqueado en mayo de 2019.

A pesar de esto, la firma de vigilancia desarrolló otro vector de instalación, conocido como “Erised,” que utilizó los servidores de WhatsApp para instalar spyware Pegasus en ataques sin clic, admitió NSO. Este exploit, según informes, permaneció activo y disponible para los clientes de NSO incluso después de que WhatsApp demandara a la empresa en octubre de 2019, hasta que cambios de seguridad adicionales en la plataforma de mensajería bloquearon su acceso en algún momento después de mayo de 2020.

Los testigos de NSO supuestamente se negaron a confirmar si el fabricante de spyware continuó desarrollando vectores de malware basados en WhatsApp después.

La empresa reconoció que sus empleados crearon y utilizaron cuentas de WhatsApp para desarrollar malware para ellos mismos y sus clientes. Esto violó los Términos de Servicio de WhatsApp de varias maneras, incluyendo la ingeniería inversa de la plataforma, la transmisión de código malicioso, la recolección de datos no autorizada y el acceso ilegal al servicio.

Meta afirmó que estas acciones también violaron la Ley de Fraude y Abuso Informático (CFAA) y la Ley de Acceso y Fraude de Datos Informáticos de California (CDAFA), causando daños a WhatsApp.

NSO ha mantenido durante mucho tiempo que no tiene conocimiento de las operaciones de sus clientes y tiene un control mínimo sobre el uso que estos hacen de su spyware, negando cualquier participación en la ejecución de ciberataques dirigidos.

Sin embargo, los documentos judiciales recién publicados revelan que el proveedor de spyware operaba su spyware Pegasus, con los clientes solo necesitando proporcionar un número objetivo.

En uno de los documentos judiciales, WhatsApp argumentó que “el papel de los clientes de NSO es mínimo,” dado que los clientes gubernamentales solo necesitaban ingresar el número de teléfono del dispositivo objetivo y, citando a un empleado de NSO, “presionar Instalar, y Pegasus instalará el agente en el dispositivo de forma remota sin ningún compromiso.”

“En otras palabras, el cliente simplemente realiza un pedido de los datos de un dispositivo objetivo, y NSO controla cada aspecto del proceso de recuperación y entrega de datos a través de su diseño de Pegasus,” agregó WhatsApp.

Los documentos judiciales también citaron a un empleado de NSO diciendo que “fue nuestra decisión si activar [el exploit] usando mensajes de WhatsApp o no,” refiriéndose a uno de los exploits que la empresa ofrecía a sus clientes.

En su defensa, Gil Lanier, Vicepresidente de comunicaciones globales de la firma israelí, dijo en un comunicado a TechCrunch: “NSO respalda sus declaraciones anteriores en las que detallamos repetidamente que el sistema es operado únicamente por nuestros clientes y que ni NSO ni sus empleados tienen acceso a la inteligencia recopilada por el sistema.”

“Estamos seguros de que estas afirmaciones, como muchas otras en el pasado, serán probadas incorrectas en la corte, y esperamos la oportunidad de hacerlo,” agregó.