Pravni dokumenti objavljeni kao dio tekućeg pravnog sukoba između Meta-ovog WhatsApp-a i NSO grupe otkrili su da je izraelski prodavač špijunskog softvera koristio više eksploatacija usmjerenih na aplikaciju za razmjenu poruka kako bi isporučio Pegasus, uključujući jedan čak i nakon što ga je Meta tužila zbog toga.
Oni takođe pokazuju da je NSO Grupa u više navrata pronalazila načine za instaliranje invazivnog alata za nadzor na uređajima mete dok je WhatsApp podigao novu odbranu kako bi se suprotstavio prijetnji.
U maju 2019. godine, WhatsApp je rekao da je blokirao sofisticirani cyber napad koji je iskoristio njegov sistem za video pozive kako bi potajno isporučio Pegasus zlonamjerni softver. Napad je koristio tadašnju grešku nultog dana praćenu kao CVE-2019-3568 (CVSS rezultat: 9,8), kritičnu grešku za overflow bafera u funkciji glasovnog poziva.
Dokumenti sada pokazuju da je NSO Grupa “razvila još jedan instalacijski vektor (poznat kao Erised) koji je također koristio WhatsApp servere za instaliranje Pegasus-a.” Vektor napada – eksploatacija bez klikova koja bi mogla ugroziti telefon žrtve bez ikakve interakcije žrtve – neutralizirana je negdje nakon maja 2020., što ukazuje da je korišten čak i nakon što je WhatsApp podnio tužbu protiv njega u oktobru 2019.
Vjeruje se da je Erised jedan od mnogih takvih vektora malicioznog softvera – zajednički nazvanih Hummingbird – koje je NSO Grupa osmislila da instalira Pegasus koristeći WhatsApp kao kanal, uključujući one koji se prate kao Nebo i Eden, od kojih je potonji kodno ime za CVE -2019-3568 i korišten je za ciljanje oko 1.400 uređaja.
“[NSO Grupa] je priznala da su razvili te eksploatacije tako što su izdvojili i dekompilirali WhatsAppov kod, obrnuti inženjering WhatsApp-a i dizajnirali i koristili vlastiti ‘WhatsApp Installation Server’ (ili ‘WIS’) za slanje pogrešno oblikovanih poruka (što je legitiman WhatsApp klijent nije mogao poslati) preko WhatsApp servera i na taj način uzrokovati da ciljni uređaji instaliraju Pegasus špijunski agent—sve u suprotnosti sa saveznim i državnim zakonima i jednostavnim jezikom WhatsApp-ovih Uslova korištenja”, navodi se u nezapečaćenim sudskim dokumentima.
Konkretno, Heaven je koristio manipulisane poruke kako bi natjerao WhatsAppove signalne servere – koji se koriste za autentifikaciju klijenta (tj. instalirane aplikacije) – da usmjere ciljne uređaje na relejni server treće strane koji kontrolira NSO Group.
Kaže se da su sigurnosna ažuriranja na strani servera koje je WhatsApp napravila do kraja 2018. godine potaknula kompaniju da razvije novi exploit – pod nazivom Eden – do februara 2019. koji je ukinuo potrebu za vlastitim relejnim serverom NSO Grupe u korist releja kojima upravlja WhatsApp.
“NSO je odbio da kaže da li je razvio dalje vektore malicioznog softvera zasnovanog na WhatsApp-u nakon 10. maja 2020.”, navodi se u jednom od dokumenata. “NSO takođe priznaje da su vektori malicioznog softvera korišteni za uspješno instaliranje Pegasus-a na ‘između stotina i desetina hiljada’ uređaja.”
Osim toga, podnesci nude pogled iza scene na to kako je Pegasus instaliran na uređaju mete koristeći WhatsApp, i kako NSO grupa, a ne kupac, upravlja špijunskim softverom, što je u suprotnosti s prethodnim tvrdnjama izraelske kompanije.
“Uloga korisnika NSO je minimalna”, navodi se u dokumentima. „Kupac je trebao samo da unese broj ciljnog uređaja i ‘pritisne Instaliraj, a Pegasus će instalirati agenta na uređaj daljinski bez ikakvog angažmana.’ Drugim riječima, korisnik jednostavno naruči podatke ciljnog uređaja, a NSO kontrolira svaki aspekt procesa preuzimanja i isporuke podataka kroz svoj dizajn Pegasus-a.”
Grupacija NSO je u više navrata tvrdila da je njen proizvod namijenjen za borbu protiv teškog kriminala i terorizma. Takođe je insistiralo da su njeni klijenti odgovorni za upravljanje sistemom i da imaju pristup obaveštajnim podacima koje je prikupio.
Još u septembru 2024., Apple je podnio zahtjev za “dobrovoljno” odbacivanje tužbe protiv NSO Grupe, navodeći promjenjivo okruženje rizika koje bi moglo dovesti do izlaganja kritičnih informacija “obavještajnih podataka o prijetnjama” i da “ima potencijal da stavi vitalne sigurnosne informacije na rizik.”
U prijelaznim godinama, proizvođač iPhonea je stalno dodavao nove sigurnosne značajke kako bi otežao izvođenje špijunskih napada plaćenika. Prije dvije godine uveo je Lockdown Mode kao način za jačanje obrane uređaja smanjenjem funkcionalnosti u raznim aplikacijama kao što su FaceTime i Messages, kao i blokiranjem profila konfiguracije.
Zatim su se ranije ove sedmice pojavili izvještaji o novom sigurnosnom mehanizmu u beta verzijama iOS-a 18.2 koji automatski ponovo pokreće telefon ako nije otključan 72 sata, što zahtijeva od korisnika, uključujući agencije za provođenje zakona koje mogu imati pristup telefonima osumnjičenih, da ponovo unesite lozinku kako biste pristupili uređaju.
Magnet Forensics, koji nudi alat za ekstrakciju podataka pod nazivom GrayKey, potvrdio je funkciju “ponovnog pokretanja neaktivnosti”, navodeći da je okidač “vezan za stanje zaključavanja uređaja” i da “kada uređaj uđe u zaključano stanje i nije otključan u roku od 72 sata, ponovo će se pokrenuti.”
“Zbog novog tajmera za ponovno pokretanje neaktivnosti, sada je imperativnije nego ikad da se uređaji snime što je prije moguće kako bi se osiguralo pribavljanje najdostupnijih podataka”, dodaje se.
Izvor:The Hacker News
