Нещодавно оприлюднені судові документи розкрили безпрецедентну за масштабами операцію ізраїльської компанії NSO Group, спрямовану на експлуатацію критичних вразливостей месенджера WhatsApp. Розробники горезвісного шпигунського програмного забезпечення Pegasus послідовно впровадили три різні zero-day експлойти для несанкціонованого доступу до пристроїв користувачів.
Еволюція векторів атаки: від Heaven до Erised
Розслідування виявило чітку хронологію розвитку шкідливого інструментарію. До квітня 2018 року NSO Group використовувала спеціалізований клієнт WhatsApp Installation Server (WIS) разом з експлойтом Heaven. Цей інструмент імітував легітимний клієнт месенджера для віддаленого встановлення Pegasus через контрольовані компанією сервери.
Після виявлення та нейтралізації Heaven наприкінці 2018 року, фахівці NSO розробили новий експлойт Eden. За допомогою цього вектора атаки до травня 2019 року було скомпрометовано близько 1400 пристроїв. Навіть після початку судового розгляду компанія створила третій експлойт – Erised, який продовжував функціонувати до травня 2020 року.
Технічні аспекти компрометації пристроїв
В ході судового процесу представники NSO Group підтвердили використання реверс-інжинірингу коду WhatsApp для розробки експлойтів. Створений зловмисний клієнт дозволяв передавати через сервери месенджера спеціально сформовані повідомлення, які неможливо було відправити через стандартний клієнт.
Автоматизоване розгортання Pegasus
Процес інфікування цільових пристроїв був максимально спрощений. Операторам системи достатньо було ввести номер телефону жертви через спеціальний інтерфейс, після чого розгортання шпигунського ПЗ відбувалося автоматично. За даними компанії, кількість скомпрометованих пристроїв варіюється від сотень до десятків тисяч.
Функціональність шпигунської платформи
Pegasus демонструє широкий спектр можливостей для збору конфіденційних даних з iOS та Android пристроїв, включаючи перехоплення текстових повідомлень, моніторинг дзвінків, відстеження геолокації та доступ до облікових даних встановлених додатків. NSO Group продовжує наполягати на відсутності доступу до зібраних даних та знімає з себе відповідальність за дії клієнтів.
Це розслідування яскраво демонструє зростаючу загрозу з боку комерційного шпигунського програмного забезпечення та необхідність посилення захисних механізмів популярних комунікаційних платформ. Хоча WhatsApp вже впровадив заходи для блокування виявлених векторів атак, ймовірність розробки нових експлойтів залишається високою, що вимагає постійної пильності як від користувачів, так і від фахівців з кібербезпеки.
