Хакер #305. Многошаговые SQL-инъекции
Стало известно, что израильская компания NSO Group, занимающаяся разработкой шпионского ПО (включая нашумевший Pegasus), использовала сразу несколько 0-day эксплоитов для WhatsApp. В том числе против пользователей применялся ранее неизвестный эксплоит под названием Erised, который использовал уязвимости для развертывания Pegasus.
Напомним, что Pegasus представляет собой шпионскую платформу, разработанную NSO Group. «Пегас» продается как легальная спайварь и используется для шпионажа и наблюдения по всему миру. Так, Pegasus (а через него и клиенты NSO Group) способен собирать с устройств на базе iOS и Android текстовые сообщения, информацию о приложениях, подслушивать вызовы, отслеживать местоположение, похищать пароли и так далее.
Несколько лет назад мы посвятили Pegasus и NSO Group отдельную статью, после того как внимание общественности оказалось привлечено к работе этой коммерческой спайвари и связанными с ней злоупотреблениями.
Еще в 2019 году представители WhatsApp подали в суд на NSO Group и обвинили компанию в пособничестве кибератакам, которые осуществлялись в интересах различных правительств в 20 странах мира, включая Мексику, ОАЭ и Бахрейн.
Эта тяжба длится до сих пор, и несколько дней назад достоянием общественности стали весьма интересные и неотредактированные судебные документы.
Согласно этим бумагам, примерно до апреля 2018 года NSO Group использовала для атак кастомный клиент WhatsApp (WhatsApp Installation Server или WIS) и эксплоит собственной разработки под названием Heaven. Он мог выдавать себя за официальный клиент мессенджера и использовался для установки Pegasus на устройства жертв со стороннего сервера, находящегося под контролем NSO.
«WIS мог выдать себя за официальный клиент, чтобы получить доступ к серверам WhatsApp и передавать сообщения, включая настройки вызовов, чего официальный клиент делать не мог, — говорится в документах. — NSO начала тестировать Heaven на серверах WhatsApp примерно в апреле 2018 года и вскоре после этого стала предоставлять его своим клиентам».
После того как разработчики WhatsApp обнаружили проблему и заблокировали NSO Group доступ к зараженным устройствам и серверам с помощью патчей, выпущенных в сентябре и декабре 2018 года, эксплоит Heaven перестал работать.
Затем, в феврале 2019 года, NSO Group создала новый эксплоит — Eden, чтобы обойти новые защитные меры WhatsApp. В мае 2019 года представители WhatsApp выяснили, что Eden использовался клиентами NSO Group для атак примерно на 1400 пользовательских устройств.
При этом судебные документы гласят, что NSO Group признает, что разработала и продавала описанное шпионское ПО. А zero-click вектор его установки, называвшийся Eden (который был частью набора векторов, нацеленных на WhatsApp, известных под общим названием Hummingbird) действительно применялся в атаках.
В частности, руководитель R&D отдела NSO Group Тамир Газнели (Tamir Gazneli) и другие обвиняемые «признали, что разработали эти эксплоиты путем извлечения и декомпиляции кода WhatsApp и обратного инжиниринга». Все это было применено для создания WIS-клиента, который мог использоваться для «отправки через серверы WhatsApp вредоносных сообщений (которые легитимный клиент WhatsApp не мог отправлять) и тем самым заставить целевые устройства установить шпионский агент Pegasus».
Обнаружив упомянутые атаки, разработчики WhatsApp исправили уязвимости, на которые полагался Eden и отключили учетные записи NSO Group в WhatsApp.
Однако даже когда тайное стало явным, то есть после блокировки Eden в мае 2019 года и после обращения представителей WhatsApp в суд, NSO Group создала еще один вектор установки своей спайвари (получивший имя Erised), который использовал ретрансляционные серверы WhatsApp для развертывания Pegasus.
Согласно судебным документам, работа Erised была заблокирована только в мае 2020 года, когда судебное разбирательство между WhatsApp и NSO Group уже шло полным ходом. При этом ответчики из NSO Group отказались отвечать в суде, разрабатывала ли компания какие-либо еще векторы для доставке своей малвари через WhatsApp.
Зато в суде производитель шпионского ПО признал, что Pegasus злоупотреблял сервисом WhatsApp для установки спайвари на целевые устройства в количестве «от сотен до десятков тысяч».
Также в компании признали, что провели реверс-инжиниринг WhatsApp для разработки упомянутых методов атак и предоставляли своим клиентам как саму эту технологию, так и учетные записи WhatsApp, которые те должны были использовать.
Фактически процесс установки спайвари начинался с того, что оператор Pegasus вводил номер мобильного телефона жертвы в нужное поле программы, запущенной на его ноутбуке, и это запускало удаленное и полностью автоматическое развертывание Pegasus на целевом устройстве.
То есть, вопреки всем прошлым заявлениям NSO Group, участие клиентов в атаках была весьма ограниченным. Им нужно было только ввести номер телефона жертвы и нажать кнопку «Установить». А развертывание спайвари и извлечение данных выполнялись самим Pegasus и NSO автоматически, не требуя от клиентов каких-либо технических знаний или дополнительных действий.
Однако NSO Group продолжает утверждать, что не несет ответственности за действия своих клиентов и не имеет доступа к данным, полученным в результате работы Pegasus, что якобы сводит к минимуму роль компании в шпионских операциях.
«NSO по-прежнему придерживается своих предыдущих заявлений, в которых мы неоднократно говорили о том, что система управляется исключительно нашими клиентами, и ни NSO, ни ее сотрудники не имеют доступа к собранной информации, — заявил СМИ Гил Лейнер (Gil Lainer), вице-президент NSO Group по глобальным коммуникациям. — Мы уверены, что отстоим в суде эти и многие другие утверждения, сделанные в прошлом, и с нетерпением ждем этой возможности».