Tribunal dos EUA ordena que NSO Group entregue código do spyware Pegasus ao WhatsApp
4 de Março de 2024

Um juiz dos EUA ordenou que o NSO Group entregasse o código-fonte do spyware Pegasus e outros produtos para a Meta como parte do litígio em andamento do gigante das mídias sociais contra o fabricante israelense de spyware.

A decisão, que marca uma grande vitória legal para a Meta, que entrou com o processo em outubro de 2019 por usar sua infraestrutura para distribuir o spyware para aproximadamente 1.400 dispositivos móveis entre abril e maio.

Isso também incluiu duas dúzias de ativistas e jornalistas indianos.

Esses ataques exploraram uma falha zero-day na aplicação de mensagens instantâneas ( CVE-2019-3568 , pontuação CVSS: 9.8), um bug crítico de estouro de buffer na funcionalidade de chamada de voz, para entregar o Pegasus apenas fazendo uma chamada, mesmo em cenários onde as chamadas eram deixadas sem resposta.

Além disso, a cadeia de ataque incluiu etapas para apagar as informações da chamada recebida dos registros na tentativa de evitar a detecção.

Documentos judiciais divulgados no final do mês passado mostram que o NSO Group foi solicitado a "produzir informações sobre a funcionalidade completa do spyware relevante", especificamente por um período de um ano antes do suposto ataque a um ano após o suposto ataque (ou seja, de 29 de abril de 2018 a 10 de maio de 2020).

Dito isto, a empresa não tem que "fornecer informações específicas sobre a arquitetura do servidor neste momento" porque o WhatsApp "seria capaz de obter as mesmas informações a partir da funcionalidade completa do suposto spyware".

Talvez mais importante, ela foi poupada de compartilhar as identidades de sua clientela.

"Dado a decisão do tribunal ser um avanço positivo, é decepcionante que o NSO Group possa continuar mantendo a identidade de seus clientes, que são responsáveis por este alvo ilegal, em segredo", disse Donncha Ó Cearbhaill, chefe do Laboratório de Segurança da Anistia Internacional.

O NSO Group foi sancionado pelos EUA em 2021 por desenvolver e fornecer armas cibernéticas a governos estrangeiros que "usaram essas ferramentas para atacar maliciosamente funcionários do governo, jornalistas, empresários, ativistas, acadêmicos e trabalhadores de embaixadas."

O desenvolvimento acontece à medida que a Recorded Future revelou uma nova infraestrutura de entrega multinível associada ao Predator, um spyware móvel mercenário gerido pela Intellexa Alliance.

A rede de infraestrutura está muito provavelmente associada aos clientes de Predator, incluindo em países como Angola, Armênia, Botswana, Egito, Indonésia, Cazaquistão, Mongólia, Omã, Filipinas, Arábia Saudita e Trinidad e Tobago.

Vale a pena notar que nenhum cliente de Predator dentro de Botswana e as Filipinas haviam sido identificados até agora.

"Embora os operadores de Predador respondam aos relatórios públicos alterando certos aspectos de sua infraestrutura, eles parecem persistir com alterações mínimas em seus modos de operação; incluem temas de fraude consistentes e focam em tipos de organizações, como meios de notícias, ao aderir a configurações de infraestrutura estabelecidas", disse a empresa.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...