Израильская контора, несколько лет процветавшая на продажах шпионского ПО крупным правительственным клиентам, прочно попала в оборот в последнее время. ФБР копает доказательства, и Facebook успешно доказывает в суде факт атаки на пользователей WhatsApp с целью тренировки шпионского ПО Pegasus.
Заговорили сотрудники компании, в том числе и про этот самый Pegasus. В случае, о котором стало известно Motherboard, сотрудник NSO Group воспользовался в 2016 году Pegasus для слежки за женщиной, которая ему нравилась.
Узнав о случившемся, NSO Group якобы уволила провинившегося работника и провела беседу с остальными сотрудниками во избежание подобных злоупотреблений в будущем. Джефф Безос , по-видимому, таким злоупотреблением не считается.
Pegasus предназначен для удаленного доступа к iPhone и Android-устройствам со всеми установленными обновлениями. В частности, инструмент позволяет отслеживать местоположение пользователя, читать его электронные письма, текстовые сообщения и переписку в соцсетях, перехватывать фотографии и видео, включать на устройстве микрофон и камеру.
ПО эксплуатирует уязвимости нулевого дня, о которых Google и Apple ничего не известно. Производитель уверяет, что Pegasus используется исключительно для расследований серьезных преступлений и терроризма, но эксперты не раз сообщали об использовании инструмента для слежки за диссидентами, активистами и журналистами по всему миру.
Напомним, Facebook с октября судится с NSO Group по обвинению в атаках на пользователей WhatsApp, на которых обкатывали новые вредоносы. И теперь все серьезно: Facebook установила связь между одним из IP-адресов и 720 случаями атак на пользователей WhatsApp весной 2019 года, в ходе которых эксплуатировалась уязвимость нулевого дня в функции WhatsApp VoIP.
Эксплоит для 0-day уязвимости позволял заразить телефон вредоносной программой Pegasus, которая затем проверяла C&C-серверы NSO Group для получения новых команд. В 720 случаях атак IP-адрес удаленного сервера представлял собой 104,223.76.220, а в трех случаях — 54.93.81.200. Первый IP-адрес принадлежит QuadraNet Enterprises — провайдеру центра обработки данных в Лос-Анджелесе (Калифорния).
Юристы Facebook представили суду доказательства, что у NSO был контракт с QuadraNet Enterprises, позволявший использовать сервер для осуществления атак с использованием вредоносного ПО Pegasus. Кроме того, в судебном документе были перечислены «поддомены, которые, как утверждается, были размещены на серверах Amazon с указанием даты атак».
Израильская компания NSO Group предлагает своим клиентам мощные эксплоиты для iPhone и Android-устройств, позволяющие устанавливать на устройства вредоносное ПО для перехвата сообщений до их шифрования, отслеживания местоположения и многого другого. Устройство для взломов Pegasus было продемонстрировано на конференции по безопасности Milipol в Париже в 2019 году, где его сфотографировал журналист Business Insider.
В октябре 2019 года принадлежащая Facebook компания WhatsApp подала в суд на NSO Group, которая якобы помогла правительственным спецслужбам взломать телефоны порядка 1,4 тыс. пользователей по всему миру, в том числе дипломатов, оппозиционеров, журналистов и высокопоставленных должностных лиц.
В начале апреля в сети появлялась информация, что в числе тех, кто приценивался к шпионскому ПО Pegasus еще задолго до пандемии якобы была…корпорация Facebook, обеспокоенная тем, что личные данные пользователей соцсети собираются недостаточно эффективно. Сами NSO Group, утверждалось в этом тексте, отказались продавать компании Цукерберга Pegasus т.к. они «не имеют дела с частными лицами».
Читайте также на АКБ: