Новые судебные документы раскрыли масштабную операцию израильской компании NSO Group по эксплуатации множественных уязвимостей в популярном мессенджере WhatsApp. Производитель печально известного шпионского ПО Pegasus последовательно использовал три различных 0-day эксплоита для компрометации пользовательских устройств.
Хронология использования эксплоитов
До апреля 2018 года NSO Group применяла специально разработанный клиент WhatsApp Installation Server (WIS) совместно с эксплоитом под названием Heaven. Этот инструмент мог маскироваться под официальный клиент мессенджера и использовался для удаленной установки Pegasus через контролируемые NSO серверы.
После обнаружения и блокировки Heaven в конце 2018 года, компания разработала новый эксплоит Eden. К маю 2019 года этот вектор атаки был использован для компрометации около 1400 устройств. Даже после начала судебного разбирательства NSO Group создала третий эксплоит — Erised, который продолжал функционировать до мая 2020 года.
Технические особенности атак
В ходе судебного процесса представители NSO Group признали, что разработка эксплоитов осуществлялась путем реверс-инжиниринга кода WhatsApp. Созданный вредоносный клиент позволял отправлять через серверы мессенджера специально сформированные сообщения, которые легитимный клиент отправить не мог.
Автоматизация процесса заражения
Процесс установки Pegasus был максимально упрощен для конечных пользователей. Операторам требовалось только ввести номер телефона жертвы в специальный интерфейс, после чего развертывание шпионского ПО происходило автоматически. По признанию компании, количество скомпрометированных устройств исчисляется «от сотен до десятков тысяч».
Возможности Pegasus
Шпионская платформа Pegasus обладает широким набором возможностей по сбору данных с iOS и Android устройств. В их число входят перехват текстовых сообщений, отслеживание звонков, определение геолокации, доступ к паролям и информации установленных приложений. NSO Group продолжает утверждать, что не имеет доступа к собираемым данным и не несет ответственности за действия своих клиентов.
Данное разоблачение демонстрирует серьезность угрозы, исходящей от коммерческого шпионского ПО, и подчеркивает необходимость усиления защиты популярных коммуникационных платформ. Несмотря на принятые WhatsApp меры по блокировке известных векторов атак, существует вероятность разработки новых эксплоитов, что требует постоянной бдительности со стороны пользователей и разработчиков систем безопасности.
