Il Gruppo NSO ha sfruttato il zero-day di WhatsApp anche dopo la causa, dicono i documenti del tribunale

NSO Group Technologies Ltd. ha continuato a sviluppare spyware che utilizzava molteplici exploit zero-day di WhatsApp anche dopo che l’azienda di messaggistica ha citato in giudizio la società di sorveglianza israeliana per violazione delle leggi federali e statali contro l’hacking, rivelano i documenti del tribunale presentati dall’app di messaggistica e dalla sua società madre Meta, pubblicati giovedì.

I documenti del tribunale rivelano che NSO ha continuato a utilizzare i server di WhatsApp per installare lo spyware Pegasus sui telefoni chiamando il dispositivo target, anche dopo che la piattaforma di messaggistica ha rilevato e bloccato l’exploit a maggio 2019.

Le accuse derivano da una serie di attacchi informatici contro gli utenti di WhatsApp, tra cui giornalisti, dissidenti e attivisti per i diritti umani.

“Come questione preliminare, NSO ammette di aver sviluppato e venduto lo spyware descritto nel Reclamo, e che lo spyware di NSO—specificamente il suo vettore di installazione zero-click chiamato “Eden,” che faceva parte di una famiglia di vettori basati su WhatsApp noti collettivamente come “Hummingbird” (collettivamente, i “Vettori Malware”)—è stato responsabile degli attacchi descritti nel Reclamo. Il Responsabile R&D di NSO ha confermato che quei vettori funzionavano esattamente come sostenuto dai Ricorrenti.” si legge nel documento del tribunale.

NSO ammette che i clienti di NSO hanno utilizzato la sua tecnologia Eden in attacchi contro circa 1.400 dispositivi. Dopo la rilevazione degli attacchi, WhatsApp ha corretto le vulnerabilità di Eden e ha disattivato gli account WhatsApp di NSO. Tuttavia, l’exploit Eden è rimasto attivo fino a quando non è stato bloccato a maggio 2019.

Nonostante ciò, la società di sorveglianza ha sviluppato un ulteriore vettore di installazione, noto come “Erised,” che utilizzava i server di WhatsApp per installare lo spyware Pegasus in attacchi zero-click, ha ammesso NSO. Questo exploit sarebbe rimasto attivo e disponibile per i clienti di NSO anche dopo che WhatsApp ha citato in giudizio la società nell’ottobre 2019, fino a quando ulteriori modifiche di sicurezza alla piattaforma di messaggistica hanno bloccato il suo accesso in un momento successivo a maggio 2020.

I testimoni di NSO avrebbero rifiutato di confermare se il produttore di spyware avesse continuato a sviluppare vettori di malware basati su WhatsApp in seguito.

L’azienda ha riconosciuto che i suoi dipendenti hanno creato e utilizzato account WhatsApp per sviluppare malware per se stessi e per i loro clienti. Questo ha violato i Termini di Servizio di WhatsApp in vari modi, tra cui l’ingegneria inversa della piattaforma, la trasmissione di codice malevolo, la raccolta non autorizzata di dati e l’accesso illegale al servizio.

Meta ha affermato che queste azioni hanno anche violato il Computer Fraud and Abuse Act (CFAA) e il California’s Comprehensive Computer Data Access and Fraud Act (CDAFA), causando danni a WhatsApp.

NSO ha a lungo sostenuto di non essere a conoscenza delle operazioni dei suoi clienti e di avere un controllo minimo sull’uso del suo spyware da parte dei clienti, negando qualsiasi coinvolgimento nell’esecuzione di attacchi informatici mirati.

Tuttavia, i documenti del tribunale recentemente rilasciati rivelano che il fornitore di spyware operava il suo spyware Pegasus, con i clienti che dovevano solo fornire un numero target.

In uno dei documenti del tribunale, WhatsApp ha sostenuto che “il ruolo dei clienti di NSO è minimo,” dato che i clienti governativi dovevano solo inserire il numero di telefono del dispositivo target e, citando un dipendente di NSO, “premere Installa, e Pegasus installerà l’agente sul dispositivo da remoto senza alcun coinvolgimento.”

“In altre parole, il cliente semplicemente effettua un ordine per i dati di un dispositivo target, e NSO controlla ogni aspetto del processo di recupero e consegna dei dati attraverso il suo design di Pegasus,” ha aggiunto WhatsApp.

I documenti del tribunale hanno anche citato un dipendente di NSO che ha affermato che “era nostra decisione se attivare [l’exploit] utilizzando messaggi WhatsApp o meno,” riferendosi a uno degli exploit che la società offriva ai suoi clienti.

Nella sua difesa, Gil Lanier, Vicepresidente delle comunicazioni globali per la società israeliana, ha dichiarato in una nota a TechCrunch: “NSO sostiene le sue dichiarazioni precedenti in cui abbiamo ripetutamente dettagliato che il sistema è operato esclusivamente dai nostri clienti e che né NSO né i suoi dipendenti hanno accesso all’intelligence raccolta dal sistema.”

“Siamo fiduciosi che queste affermazioni, come molte altre in passato, saranno dimostrate false in tribunale, e non vediamo l’ora di avere l’opportunità di farlo,” ha aggiunto.