La empresa de vigilancia israelí NSO Group supuestamente utilizó varios exploits de día cero, incluido uno desconocido llamado “Erised”, que aprovechó las vulnerabilidades de WhatsApp para implementar el software espía Pegasus en ataques de clic cero, incluso después de haber sido demandada.
Pegasus es la plataforma de software espía de NSO Group (comercializada como software de vigilancia para gobiernos de todo el mundo), con múltiples componentes de software que brindan a los clientes amplias capacidades de monitoreo en los dispositivos comprometidos de las víctimas. Por ejemplo, los clientes de NSO podrían monitorear la actividad de las víctimas y extraer información utilizando el agente Pegasus instalado en los teléfonos móviles de las víctimas.
De acuerdo a corte documentos archivado JUEVES (visto por primera vez por John Scott Railton, investigador principal de Citizen Lab) Como parte de la batalla legal de WhatsApp con el grupo israelí NSO, el fabricante de software espía desarrolló un exploit con el nombre en código “Heaven” antes de abril de 2018 que utilizaba un cliente de WhatsApp personalizado conocido como el nombre de “servidor de instalación de WhatsApp”. ” (o ‘WIS’) capaz de hacerse pasar por el cliente oficial para implementar el agente espía Pegasus en los dispositivos de los objetivos desde un servidor de terceros bajo el control de NSO.
Sin embargo, WhatsApp bloqueó el acceso de NSO a los dispositivos infectados y a sus servidores con actualizaciones de seguridad publicadas en septiembre y diciembre de 2018, impidiendo que el exploit Heaven funcionara.
En febrero de 2019, el fabricante de software espía supuestamente desarrolló otro exploit llamado “Eden” para eludir las protecciones de WhatsApp implementadas en 2018. Como descubrió WhatsApp en mayo de 2019, los clientes de NSO utilizaron Eden en ataques a aproximadamente 1400 dispositivos.
“Como cuestión preliminar, NSO admite que desarrolló y vendió el software espía descrito en la denuncia, y que el software espía de NSO, en particular su vector de instalación sin clics llamado “Eden”, que formaba parte de una familia de vectores basados en WhatsApp conocida colectivamente como “Hummingbird” (colectivamente, los “vectores de malware”), fue responsable de los ataques”, dijo el documentos judiciales revelan.
Tamir Gazneli, jefe de investigación y desarrollo de NSO, y los “acusados admitieron haber desarrollado estos exploits extrayendo y descompilando el código de WhatsApp, aplicando ingeniería inversa a WhatsApp” para crear el cliente WIS que podría usarse para “enviar mensajes con formato incorrecto (que un cliente legítimo de WhatsApp no pudo enviar) a través de servidores de WhatsApp y, por lo tanto, engañar a los dispositivos objetivo para que instalen el agente de software espía Pegasus, todo ello en violación de las leyes federales y estatales y de un lenguaje claro. Condiciones de uso de WhatsApp.
Después de detectar los ataques, WhatsApp parchó las vulnerabilidades de Eden y deshabilitó las cuentas de WhatsApp de NSO. Sin embargo, incluso después de que el exploit Eden fuera bloqueado en mayo de 2019, los documentos judiciales indican que NSO admitió haber desarrollado otro vector de instalación (llamado “Erised”) que utilizaba servidores de retransmisión de WhatsApp para instalar el software espía Pegasus.
Usuarios de WhatsApp atacados incluso después de presentar una denuncia
Los nuevos documentos judiciales indican que NSO continuó usando y poniendo a Erised a disposición de sus clientes incluso después de que se presentó la demanda en octubre de 2019, hasta que cambios adicionales en WhatsApp bloquearon su acceso en algún momento después de mayo de 2020. Los testigos de NSO se habrían negado a responder si el fabricante de software espía se había desarrollado más. Vectores de malware basados en WhatsApp.
También revelaron que el proveedor de software espía admitió ante el tribunal que su software espía Pegasus explotó el servicio de WhatsApp para instalar su agente de software de vigilancia en “entre cientos y decenas de miles” de dispositivos objetivo. La compañía también admitió haber realizado ingeniería inversa en WhatsApp para desarrollar esta capacidad, instalando “la tecnología” para sus clientes y proporcionándoles las cuentas de WhatsApp que necesitaban para los ataques.
Según se informa, el proceso de instalación del software espía se inició cuando un cliente de Pegasus ingresó el número de teléfono móvil de un objetivo en un campo de un programa que se ejecuta en su computadora portátil, lo que provocó la implementación remota del software espía en los dispositivos de los objetivos.
Así, la implicación de sus clientes en la operación era limitada ya que sólo debían introducir el número de destino y seleccionar “Instalar”. La instalación de software espía y la extracción de datos fueron manejadas íntegramente por el sistema Pegasus de NSO, sin requerir conocimientos técnicos ni acciones adicionales por parte de los clientes.
Sin embargo, NSO continúa afirmando ellos no son responsables por las acciones de sus clientes o no tienen acceso a los datos recuperados durante la instalación del software espía Pegasus, lo que limita su papel en las operaciones de vigilancia.
Entre otros objetivos, el software espía Pegasus de NSO se utilizó para piratear los teléfonos de políticos, periodistas y activistas catalanes. funcionarios del gobierno británicoDiplomáticos finlandeses y empleados del Departamento de Estado de Estados Unidos.
En noviembre de 2021, Estados Unidos sancionó a NSO Group y Candiru por proporcionar software utilizado para espiar a funcionarios gubernamentales, periodistas y activistas. A principios de noviembre de 2021, Apple también presentó una demanda contra NSO por piratear los dispositivos iOS de los clientes de Apple y espiar utilizando el software espía Pegasus.
Un portavoz de NSO Group no estuvo disponible de inmediato para hacer comentarios cuando BleepingComputer lo contactó hoy.