Sledování přes WhatsApp: Případ proti izraelské spywarové firmě NSO a jak k útoku došlo
Podle WhatsApp také NSO provedl reverzní inženýrství aplikace WhatsApp a vyvinul program, který jim umožní emulovat legitimní síťový provoz WhatsApp za účelem přenosu škodlivého kódu – nedetekovaného – do cílových zařízení přes servery WhatsApp.
WhatsApp přizval experty na kybernetickou bezpečnost z Citizen Lab, akademické výzkumné skupiny založené na Munk School na University of Toronto, aby se o útoku dozvěděli více. WhatsApp, který se pyšní možnostmi šifrovaného zasílání zpráv, ano podal stížnost u kalifornského soudu obviňujícího spywarovou společnost NSO Group a její mateřskou společnost Q Cyber Technologies z cílení minimálně 1 400 uživatelů po celém světě.
Co WhatsApp tvrdil
Tvrdí to WhatsApp útok odhalil v květnu 2019 a zjistili, že NSO zneužil zranitelnost přetečení vyrovnávací paměti v zásobníku WhatsApp VOIP k odeslání Pegas malware do cílových zařízení, a to i bez toho, aby uživatelé odpovídali na přijaté hovory.
V článku v The Washington Post šéf WhatsApp Will Cathcart tvrdil, že mohou propojit útok s NSO, protože útočníci používali servery a internetové hostingové služby, které byly dříve spojeny s NSO, a svázali určité účty WhatsApp používané během útoků zpět s NSO. Zatímco jejich útok byl vysoce sofistikovaný, jejich pokusy zahladit stopy nebyly zcela úspěšné, napsal v stanovisku z 30. října.
WhatsApp přizval experty na kybernetickou bezpečnost z Citizen Lab, akademické výzkumné skupiny založené na Munk School na University of Toronto, aby se o útoku dozvěděli více. V rámci našeho vyšetřování incidentu společnost Citizen Lab identifikovala více než 100 případů zneužívání obránců lidských práv a novinářů v nejméně 20 zemích po celém světě, od Afriky, Asie, Evropy, Středního východu a Severní Ameriky. se uskutečnilo poté, co Novalpina Capital získala NSO Group a zahájila pokračující kampaň pro styk s veřejností na podporu příběhu, že nové vlastnictví omezí zneužívání, uvedl příspěvek na jejich webu.
Co je v žalobě
Žaloba WhatsApp poskytuje informace o tom, jak NSO údajně nasadil spyware Pegasus v cílových zařízeních.
Žaloba tvrdí, že obžalovaní (NSO) vytvořili různou počítačovou infrastrukturu, včetně účtů WhatsApp a vzdálených serverů, a poté použili účty WhatsApp k zahájení hovorů prostřednictvím serverů žalobců, které byly navrženy tak, aby tajně vkládaly škodlivý kód do cílových zařízení. To pak způsobilo spuštění škodlivého kódu na některých cílových zařízeních a vytvoření spojení mezi těmito cílovými zařízeními a počítači ovládanými obžalovanými (dále jen „vzdálené servery“).
Žaloba tvrdí, že mezi lednem 2018 a květnem 2019 NSO vytvořil účty WhatsApp pomocí telefonních čísel registrovaných v různých zemích, včetně Kypru, Izraele, Brazílie, Indonésie, Švédska a Nizozemska. Také si pronajali servery a internetové hostingové služby v různých zemích, včetně Spojených států, za účelem připojení cílových zařízení k síti vzdálených serverů určených k distribuci malwaru a předávání příkazů do cílových zařízení.
WhatsApp tvrdil, že tyto servery jsou mimo jiné ve vlastnictví společností Choopa, Quadranet a Amazon Web Services. IP adresa jednoho ze škodlivých serverů byla dříve spojena se subdoménami používanými obžalovanými.
PODCAST: Útok WhatsApp Pegasus, jeho důsledky a reakce vlády
Tvrdilo, že NSO směroval a způsobil směrování škodlivého kódu přes servery žalobců – včetně signálních serverů a přenosových serverů – skrytých v rámci běžného síťového protokolu. Signalizační servery WhatsApp usnadňují zahájení hovorů mezi různými zařízeními, zatímco přenosové servery pomáhají s určitými datovými přenosy prostřednictvím služby. To, jak tvrdí WhatsApp, bylo neautorizované a nezákonné, protože servery byly podle zákonů USA považovány za chráněné počítače.
Podle WhatsApp také NSO provedl reverzní inženýrství aplikace WhatsApp a vyvinul program, který jim umožní emulovat legitimní síťový provoz WhatsApp za účelem přenosu škodlivého kódu – nedetekovaného – do cílových zařízení přes servery WhatsApp. Aby se žalovaní vyhnuli technickým omezením zabudovaným do signálních serverů WhatsApp, naformátovali obžalovaní zprávy o zahájení hovoru obsahující škodlivý kód tak, aby vypadaly jako legitimní hovor, a kód skryli v nastavení hovoru. Jakmile byla volání obžalovaných doručena do cílového zařízení, vložili škodlivý kód do paměti cílového zařízení – i když cílový uživatel na volání neodpověděl.
Čtěte také | Kromě květnového varování poslal WhatsApp v září další na 121 narušených Indů
S argumentem, že NSO porušil americký zákon o počítačovém podvodu a zneužívání, kalifornský zákon o komplexním přístupu k počítačovým datům a podvodu, porušil své smlouvy s WhatsApp, neoprávněně vstoupil, WhatsApp požádal o úlevu, včetně trvalého zákazu přístupu ke službě, platformě WhatsApp a Facebooku. počítačové systémy, vytváření nebo udržování jakéhokoli účtu WhatsApp nebo Facebook a zapojování se do jakékoli činnosti, která narušuje, snižuje kvalitu nebo narušuje systémy. Platforma pro zasílání zpráv také požadovala náhradu škody.
Časová osa událostí od května 2019 Vysvětleno: Jak fungoval spyware Pegasus
Citizen Lab říká, že vlajková loď spywaru NSO Group / Q Cyber Technologies má mnoho jmen a Pegasus je jen jedním z běžně používaných. Říká se mu také Q Suite a dokáže proniknout do zařízení iOS i Android. Ke špehování cíle používají operátoři několik vektorů, aby pronikli do bezpečnostních funkcí v operačních systémech a tiše nainstalovali Pegasus bez vědomí nebo povolení uživatele. Zatímco v tomto případě byl vektorem zmeškaný hovor WhatsApp, společnost Citizen Lab tvrdí, že identifikovala další případy, které zahrnují oklamání cílů, aby klikli na odkaz pomocí sociálního inženýrství. Po instalaci může Pegasus začít kontaktovat servery pro řízení a řízení operátora (C&C) za účelem přijímání a provádění příkazů a také odesílání důležitých informací včetně hesel a textových zpráv. Může také pomoci operátorovi zapnout kameru nebo mikrofon zařízení a dokonce sledovat polohu v reálném čase. Byl navržen tak, aby nezanechával stopy a také využíval minimální šířku pásma.
Nenechte si ujít z Explained: Co signalizuje pochod Azadi v Pákistánu
Sdílej Se Svými Přáteli:
