NSOグループは訴訟後もWhatsAppをゼロデイで悪用したと裁判所文書が明らかに

NSO Group Technologies Ltd.は、インスタントメッセージング会社が連邦および州のハッキング防止法違反でイスラエルの監視会社を訴えた後も、複数のゼロデイWhatsAppエクスプロイトを使用するスパイウェアの開発を続けた。裁判所への提出書類を明らかにした木曜日に公開されたメッセージングアプリとその親会社Metaによって提出された。

裁判所への提出文書によると、2019 年 5 月にメッセージング プラットフォームがエクスプロイトを検出してブロックした後も、NSO が WhatsApp サーバーを使用して、標的のデバイスに電話をかけ、携帯電話に Pegasus スパイウェアをインストールし続けていたことが明らかになりました。

この疑惑は、ジャーナリスト、反体制派、人権活動家を含むWhatsAppユーザーに対する一連のサイバー攻撃に端を発している。

「まず重要なこととして、NSO は、告訴状に記載されているスパイウェアを開発および販売したこと、および NSO のスパイウェア、特に「Eden」と呼ばれるゼロクリック インストール ベクトルは、総称して WhatsApp ベースのベクトルとして知られるファミリーの一部であることを認めています。 「ハミングバード」(総称して「マルウェアベクター」)として、訴状に記載されている攻撃の原因となっていました。 NSO の研究開発責任者は、これらの媒介物が原告の主張どおりに機能したことを確認しました。」裁判所の提出文書を読む。

NSO は、NSO の顧客が約 1,400 台のデバイスに対する攻撃に自社の Eden テクノロジーを使用したことを認めています。攻撃の検出を受けて、WhatsApp は Eden の脆弱性にパッチを適用し、NSO の WhatsApp アカウントを非アクティブ化しました。ただし、Eden エクスプロイトは 2019 年 5 月にブロックされるまでアクティブなままでした。

これにもかかわらずこの監視会社は、WhatsApp サーバーを使用してゼロクリック攻撃で Pegasus スパイウェアをインストールする、「Erised」として知られるさらに別のインストール ベクトルを開発したと NSO は認めました。伝えられるところによると、このエクスプロイトは、2019 年 10 月に WhatsApp が同社を告訴した後も、2020 年 5 月以降にメッセージング プラットフォームへのさらなるセキュリティ変更によりアクセスがブロックされるまで、引き続きアクティブであり、NSO 顧客が利用できる状態にありました。

NSO の証人は、スパイウェア メーカーがその後も WhatsApp ベースのマルウェア ベクターの開発を継続したかどうかについて確認を拒否したと伝えられています。

同社は、従業員が自分自身とその顧客のためにマルウェアを開発するために WhatsApp アカウントを作成および使用していたことを認めました。これは、プラットフォームのリバースエンジニアリング、悪意のあるコードの送信、不正なデータ収集、サービスへの違法なアクセスなど、いくつかの点で WhatsApp の利用規約に違反しました。

Metaは、これらの行為はコンピュータ詐欺および悪用法(CFAA)およびカリフォルニア州包括的コンピュータデータアクセスおよび詐欺法(CDAFA)にも違反し、WhatsAppに損害を与えたと主張した。

NSOは顧客の業務を把握しておらず、顧客によるスパイウェアの使用については最小限の制御しかないと長年主張し、標的型サイバー攻撃の実行への関与を否定してきた。

しかし、新たに公開された法廷文書では、スパイウェア ベンダーが顧客がターゲット番号を提供するだけでペガサス スパイウェアを運用していたことが明らかになりました。

法廷文書の1つでWhatsAppは、政府の顧客はターゲットのデバイスの電話番号を入力することだけを求められており、NSO従業員の言葉を引用して「インストールを押すと、ペガサスは何も関与せずにリモートでエージェントをデバイスにインストールします。」

「言い換えれば、顧客はターゲットデバイスのデータを注文するだけで、NSOはPegasusの設計を通じてデータの取得と配信プロセスのあらゆる側面を制御します」とWhatsAppは付け加えた。

裁判所への提出文書には、NSO 従業員が、同社が顧客に提供したエクスプロイトの 1 つについて「WhatsApp メッセージを使用して(エクスプロイトを)トリガーするか否かは私たちの決定だった」と述べたと引用されています。

イスラエル企業のグローバルコミュニケーション担当副社長、ギル・ラニアー氏は自社を擁護する声明でこう述べた。テッククランチ: 「NSO は、システムは当社のクライアントによってのみ運営されており、NSO もその従業員もシステムによって収集された情報にアクセスできないと繰り返し詳述してきた以前の声明を支持します。」

「私たちは、これまでの他の多くの主張と同様、これらの主張が法廷で誤りであると証明されると確信しており、その機会を楽しみにしている」と同氏は付け加えた。