Grupo NSO Explorou Zero-Day do WhatsApp Mesmo Após Processo, Dizem Documentos do Tribunal

A NSO Group Technologies Ltd. continuou a desenvolver spyware que usava múltiplas explorações zero-day do WhatsApp mesmo após a empresa de mensagens instantâneas processar a empresa israelense de vigilância por violação das leis federais e estaduais anti-hacking, revelou um documento judicial apresentado pelo aplicativo de mensagens e sua empresa-mãe Meta, publicado na quinta-feira.

Os documentos do tribunal revelam que a NSO continuou usando servidores do WhatsApp para instalar o spyware Pegasus em telefones, ligando para o dispositivo alvo, mesmo após a plataforma de mensagens detectar e bloquear a exploração em maio de 2019.

As alegações decorrem de uma série de ciberataques contra usuários do WhatsApp, incluindo jornalistas, dissidentes e defensores dos direitos humanos.

“Como uma questão preliminar, a NSO admite que desenvolveu e vendeu o spyware descrito na Queixa, e que o spyware da NSO—especificamente seu vetor de instalação sem clique chamado ‘Eden’, que fazia parte de uma família de vetores baseados no WhatsApp conhecidos coletivamente como ‘Hummingbird’ (coletivamente, os ‘Vetores de Malware’)—foi responsável pelos ataques descritos na Queixa. O chefe de P&D da NSO confirmou que esses vetores funcionaram exatamente como alegado pelos Autores.” diz o documento judicial.

A NSO admite que seus clientes usaram sua tecnologia Eden em ataques contra aproximadamente 1.400 dispositivos. Após a detecção dos ataques, o WhatsApp corrigiu as vulnerabilidades do Eden e desativou as contas do WhatsApp da NSO. No entanto, a exploração Eden permaneceu ativa até ser bloqueada em maio de 2019.

Apesar disso, a empresa de vigilância desenvolveu mais um vetor de instalação, conhecido como “Erised,” que usou servidores do WhatsApp para instalar spyware Pegasus em ataques sem clique, admitiu a NSO. Essa exploração supostamente permaneceu ativa e disponível para os clientes da NSO mesmo após o WhatsApp processar a empresa em outubro de 2019, até que mudanças de segurança adicionais na plataforma de mensagens bloquearam seu acesso em algum momento após maio de 2020.

Testemunhas da NSO supostamente se recusaram a confirmar se o fabricante de spyware continuou desenvolvendo vetores de malware baseados no WhatsApp depois.

A empresa reconheceu que seus funcionários criaram e usaram contas do WhatsApp para desenvolver malware para si mesmos e seus clientes. Isso violou os Termos de Serviço do WhatsApp de várias maneiras, incluindo engenharia reversa da plataforma, transmissão de código malicioso, coleta de dados não autorizada e acesso ilegal ao serviço.

A Meta alegou que essas ações também violaram a Lei de Fraude e Abuso de Computadores (CFAA) e a Lei de Acesso e Fraude de Dados de Computador da Califórnia (CDAFA), causando danos ao WhatsApp.

A NSO tem sustentado há muito tempo que não tem conhecimento das operações de seus clientes e tem controle mínimo sobre o uso de seu spyware pelos clientes, negando qualquer envolvimento na execução de ciberataques direcionados.

No entanto, os novos documentos do tribunal revelam que o fornecedor de spyware operava seu spyware Pegasus, com os clientes apenas precisando fornecer um número alvo.

Em um dos documentos do tribunal, o WhatsApp argumentou que “o papel dos clientes da NSO é mínimo,” dado que os clientes governamentais eram apenas obrigados a inserir o número de telefone do dispositivo alvo e, citando um funcionário da NSO, “pressionar Instalar, e o Pegasus instalará o agente no dispositivo remotamente sem qualquer engajamento.”

“Em outras palavras, o cliente simplesmente faz um pedido pelos dados de um dispositivo alvo, e a NSO controla todos os aspectos do processo de recuperação e entrega de dados através do seu design do Pegasus,” acrescentou o WhatsApp.

Os documentos do tribunal também citaram um funcionário da NSO dizendo que “foi nossa decisão se ativar [a exploração] usando mensagens do WhatsApp ou não,” referindo-se a uma das explorações que a empresa ofereceu a seus clientes.

Em sua defesa, Gil Lanier, Vice-Presidente de comunicações globais da empresa israelense, disse em uma declaração ao TechCrunch: “A NSO defende suas declarações anteriores nas quais detalhamos repetidamente que o sistema é operado exclusivamente por nossos clientes e que nem a NSO nem seus funcionários têm acesso à inteligência coletada pelo sistema.”

“Estamos confiantes de que essas alegações, como muitas outras no passado, serão provadas erradas no tribunal, e aguardamos a oportunidade de fazê-lo,” acrescentou.