Группа NSO использовала уязвимость WhatsApp даже после иска, говорят судебные документы

Технологическая компания NSO Group Ltd. продолжала разрабатывать шпионское ПО, использующее несколько уязвимостей WhatsApp, даже после того, как компания мгновенных сообщений подала в суд на израильскую компанию по наблюдению за нарушением федеральных и государственных законов о хакерстве, как показано в судебных документах, поданных приложением для обмена сообщениями и его материнской компанией Meta, которые были опубликованы в четверг.

Судебные документы показывают, что NSO продолжала использовать серверы WhatsApp для установки шпионского ПО Pegasus на телефоны, звоня на целевое устройство, даже после того, как платформа обмена сообщениями обнаружила и заблокировала уязвимость в мае 2019 года.

Обвинения вытекают из серии кибератак на пользователей WhatsApp, включая журналистов, диссидентов и правозащитников.

«Как предварительный вопрос, NSO признает, что разработала и продала шпионское ПО, описанное в иске, и что шпионское ПО NSO — в частности, его вектор установки без клика под названием “Eden”, который был частью семейства векторов на основе WhatsApp, известных в совокупности как “Hummingbird” (вместе именуемые “Malware Vectors”) — было ответственным за атаки, описанные в иске. Руководитель НИОКР NSO подтвердил, что эти векторы работали именно так, как утверждают истцы», — говорится в судебном документе.

NSO признает, что клиенты NSO использовали его технологию Eden в атаках на примерно 1,400 устройств. После обнаружения атак WhatsApp устранила уязвимости Eden и деактивировала аккаунты NSO в WhatsApp. Однако уязвимость Eden оставалась активной до тех пор, пока не была заблокирована в мае 2019 года.

Несмотря на это , компания по наблюдению разработала еще один вектор установки, известный как “Erised”, который использовал серверы WhatsApp для установки шпионского ПО Pegasus в атаках без клика, признала NSO. Сообщается, что эта уязвимость оставалась активной и доступной для клиентов NSO даже после того, как WhatsApp подал в суд на компанию в октябре 2019 года, до тех пор, пока дальнейшие изменения безопасности в платформе обмена сообщениями не заблокировали ее доступ после мая 2020 года.

Свидетели NSO, как сообщается, отказались подтвердить, продолжала ли компания разрабатывать векторы вредоносного ПО на основе WhatsApp после этого.

Компания признала, что ее сотрудники создавали и использовали аккаунты WhatsApp для разработки вредоносного ПО для себя и своих клиентов. Это нарушало Условия обслуживания WhatsApp несколькими способами, включая реверс-инжиниринг платформы, передачу вредоносного кода, несанкционированный сбор данных и незаконный доступ к сервису.

Meta утверждала, что эти действия также нарушали Закон о компьютерном мошенничестве и злоупотреблениях (CFAA) и Закон Калифорнии о комплексном доступе к компьютерным данным и мошенничестве (CDAFA), причиняя ущерб WhatsApp.

NSO долгое время утверждала, что не осведомлена о действиях своих клиентов и имеет минимальный контроль над использованием своих шпионских программ клиентами, отрицая какое-либо участие в осуществлении целевых кибератак.

Тем не менее, недавно опубликованные судебные документы показывают, что поставщик шпионского ПО управлял своим шпионским ПО Pegasus, и клиентам нужно было только предоставить номер цели.

В одном из судебных документов WhatsApp утверждал, что «роль клиентов NSO минимальна», учитывая, что государственным клиентам нужно было только ввести номер телефона целевого устройства и, ссылаясь на сотрудника NSO, «нажать Установить, и Pegasus установит агента на устройстве удаленно без какого-либо участия».

«Другими словами, клиент просто размещает заказ на данные целевого устройства, а NSO контролирует каждый аспект процесса извлечения и доставки данных через свой дизайн Pegasus», — добавил WhatsApp.

Судебные документы также цитировали сотрудника NSO, который сказал, что «это было наше решение, использовать ли [уязвимость] с помощью сообщений WhatsApp или нет», ссылаясь на одну из уязвимостей, которые компания предлагала своим клиентам.

В своей защите Гил Ланиер, вице-президент по глобальным коммуникациям израильской компании, заявил в заявлении для TechCrunch: «NSO поддерживает свои предыдущие заявления, в которых мы неоднократно подчеркивали, что система управляется исключительно нашими клиентами и что ни NSO, ни ее сотрудники не имеют доступа к информации, собранной системой».

«Мы уверены, что эти утверждения, как и многие другие в прошлом, будут опровергнуты в суде, и мы с нетерпением ждем возможности сделать это», — добавил он.