İsrailli gözetleme firması NSO Group’un, dava açıldıktan sonra bile Pegasus casus yazılımını sıfır tıklama saldırılarında dağıtmak için WhatsApp’ın güvenlik açıklarından yararlanan “Erised” adlı bilinmeyen bir saldırı da dahil olmak üzere çok sayıda sıfır gün istismarı kullandığı bildirildi.
Pegasus, NSO Group’un casus yazılım platformudur (dünya çapındaki hükümetler için gözetim yazılımı olarak pazarlanmaktadır), müşterilere kurbanların ele geçirilen cihazları üzerinde kapsamlı gözetim yetenekleri sağlayan birden fazla yazılım bileşenine sahiptir. Örneğin NSO müşterileri, kurbanların cep telefonlarına yüklenen Pegasus aracısını kullanarak kurbanların faaliyetlerini izleyebiliyor ve bilgi alabiliyor.
Perşembe günü sunulan mahkeme belgelerine göre (ilk olarak Citizen Lab kıdemli araştırmacısı John Scott Railton tarafından tespit edildi), WhatsApp’ın İsrail NSO Grubu ile olan hukuki savaşının bir parçası olarak, casus yazılım üreticisi Nisan 2018’den önce özel bir WhatsApp istemcisi kullanan ‘Heaven’ adlı bir istismar geliştirdi. ‘WhatsApp Kurulum Sunucusu’ (veya ‘WIS’) olarak bilinen ve Pegasus casus yazılım aracısını, NSO’nun kontrolü altındaki üçüncü taraf bir sunucudaki hedeflere dağıtmak için resmi istemcinin kimliğine bürünebilen bir sunucudur.
Ancak WhatsApp, Eylül ve Aralık 2018’de yayınlanan güvenlik güncellemeleriyle NSO’nun virüslü cihazlara ve sunucularına erişimini engelleyerek Heaven istismarının çalışmasını engelledi.
Şubat 2019’a gelindiğinde, casus yazılım üreticisinin, WhatsApp’ın 2018’de uygulanan korumalarını atlamak için ‘Eden’ olarak bilinen başka bir açıktan yararlandığı iddia edildi. Mayıs 2019’da WhatsApp’ın tespit ettiği gibi, Eden, NSO müşterileri tarafından yaklaşık 1.400 cihaza yönelik saldırılarda kullanıldı.
“Bir eşik değeri olarak NSO, Şikayette açıklanan casus yazılımı kendisinin geliştirip sattığını ve NSO’nun casus yazılımını, özellikle de kolektif olarak bilinen WhatsApp tabanlı vektörler ailesinin bir parçası olan ‘Eden’ adlı sıfır tıkla kurulum vektörünü kabul etmektedir. Mahkeme belgeleri, “Sinek Kuşu”nun (topluca, “Kötü Amaçlı Yazılım Vektörleri”) saldırılardan sorumlu olduğunu ortaya koyuyor.
NSO’nun araştırma ve geliştirme başkanı Tamir Gazneli ve “sanıklar, bu açıkları, WhatsApp’ın kodunu çıkarıp kaynak koda dönüştürerek, WhatsApp’a tersine mühendislik uygulayarak” hatalı biçimlendirilmiş mesajlar göndermek için kullanılabilecek WIS istemcisi oluşturarak geliştirdiklerini itiraf ettiler. meşru WhatsApp istemcisinin WhatsApp sunucuları aracılığıyla gönderim yapamaması ve dolayısıyla hedef cihazların Pegasus casus yazılım aracısını yüklemesine neden olması, federal ve eyalet yasalarını ve WhatsApp Kullanım Koşullarının sade dilini ihlal etmektedir. Hizmet.”
Saldırıları tespit ettikten sonra WhatsApp, Eden’deki güvenlik açıklarını yamaladı ve NSO’nun WhatsApp hesaplarını devre dışı bıraktı. Ancak, Eden saldırısının Mayıs 2019’da engellenmesinden sonra bile mahkeme belgeleri, NSO’nun, Pegasus casus yazılımını yüklemek için WhatsApp’ın geçiş sunucularını kullanan başka bir kurulum vektörü (“Erised” adı verilen) geliştirdiğini itiraf ettiğini söylüyor.
WhatsApp kullanıcıları dava açıldıktan sonra bile hedef alındı
Yeni mahkeme belgeleri, Ekim 2019’da dava açıldıktan sonra bile NSO’nun, Mayıs 2020’den sonraki ek WhatsApp değişiklikleri erişimi engelleyene kadar Erised’i kullanmaya ve müşterilerin kullanımına sunmaya devam ettiğini söylüyor. NSO tanıklarının, casus yazılım üreticisinin daha fazla gelişip gelişmediğine yanıt vermeyi reddettiği iddia ediliyor. WhatsApp tabanlı kötü amaçlı yazılım vektörleri.
Ayrıca casus yazılım satıcısının mahkemede, Pegasus casus yazılımının, gözetleme yazılımı aracısını “yüzler ile onbinlerce” hedef cihaza yüklemek için WhatsApp’ın hizmetinden yararlandığını kabul ettiğini de ortaya çıkardılar. Ayrıca, bu yeteneği geliştirmek için WhatsApp’a tersine mühendislik uyguladığını, müşterileri için “teknolojiyi” kurduğunu ve onlara saldırılarda kullanmaları gereken WhatsApp hesaplarını sağladığını da kabul etti.v
Casus yazılım yükleme sürecinin, bir Pegasus müşterisinin hedefin cep telefonu numarasını dizüstü bilgisayarında çalışan bir programa girerek Pegasus’un hedefin cihazlarına uzaktan konuşlandırılmasıyla başlatıldığı iddia edildi.
Bu nedenle müşterilerinin operasyona katılımı sınırlıydı çünkü sadece hedef numarayı girip “Yükle”yi seçmek zorundaydılar. Casus yazılım kurulumu ve veri çıkarma işlemleri tamamen NSO’nun Pegasus sistemi tarafından gerçekleştirildi ve müşterilerden herhangi bir teknik bilgi veya başka bir işlem yapılması gerekmedi.
Ancak NSO, müşterilerinin eylemlerinden sorumlu olmadıklarını veya Pegasus casus yazılımının kurulumu sırasında elde edilen verilere erişimlerinin olmadığını belirtmeye devam ediyor, bu da gözetim operasyonlarındaki rollerini sınırlıyor.
Diğer hedeflerin yanı sıra, NSO’nun Pegasus casus yazılımı Katalan politikacıların, gazetecilerin ve aktivistlerin telefonlarına sızmak için kullanıldı. Birleşik Krallık hükümet yetkilileriFinlandiyalı diplomatlar ve ABD Dışişleri Bakanlığı çalışanları.
Kasım 2021’de Amerika Birleşik Devletleri, NSO Group ve Candiru’ya hükümet yetkilileri, gazeteciler ve aktivistler hakkında casusluk yapmak için kullanılan yazılımları sağladıkları için yaptırım uyguladı. Kasım 2021’in başlarında Apple, Apple müşterilerinin iOS cihazlarına sızmak ve Pegasus casus yazılımını kullanarak onları gözetlemek nedeniyle NSO’ya karşı da dava açtı.
Bugün erken saatlerde BleepingComputer ile iletişime geçildiğinde NSO Grubu sözcüsü yorum yapmak için hemen müsait değildi.