Η ισραηλινή εταιρεία παρακολούθησης NSO Group φέρεται να χρησιμοποίησε πολλαπλά exploits zero-day, συμπεριλαμβανομένου ενός άγνωστου με το όνομα “Erised“, που αξιοποίησε τα τρωτά σημεία του WhatsApp για να αναπτύξει το spyware Pegasus σε επιθέσεις μηδενικού κλικ, ακόμη και μετά από τη μήνυση που δέχτηκε.
Δείτε επίσης: Η Palo Alto Networks προειδοποιεί για κρίσιμη ευπάθεια zero-day
Το Pegasus είναι η πλατφόρμα spyware του Ομίλου NSO (που διατίθεται στην αγορά ως λογισμικό παρακολούθησης για κυβερνήσεις σε όλο τον κόσμο), με πολλαπλά στοιχεία λογισμικού που παρέχουν στους πελάτες εκτεταμένες δυνατότητες επιτήρησης των παραβιασμένων συσκευών των θυμάτων. Για παράδειγμα, οι πελάτες NSO θα μπορούσαν να παρακολουθούν τη δραστηριότητα των θυμάτων και να εξάγουν πληροφορίες χρησιμοποιώντας τον πράκτορα Pegasus που είναι εγκατεστημένος στα κινητά τηλέφωνα των θυμάτων τους.
Σύμφωνα με δικαστικά έγγραφα που κατατέθηκαν την Πέμπτη ως μέρος της νομικής μάχης του WhatsApp με την NSO Group, ο κατασκευαστής spyware ανέπτυξε ένα exploit με το όνομα «Heaven» πριν από τον Απρίλιο του 2018 που χρησιμοποιούσε έναν προσαρμοσμένο πελάτη WhatsApp γνωστό ως «Διακομιστή εγκατάστασης WhatsApp» (ή «WIS»), ικανό να υποδύεται τον επίσημο πελάτη για να αναπτύξει το Pegasus spyware σε συσκευές στόχων από διακομιστή τρίτου μέρους υπό τον έλεγχο της NSO.
Νέα εικόνα: Πώς ο Κρόνος κρύφτηκε πίσω από το φεγγάρι!
Βόρεια Κορέα: Κλάπηκαν crypto αξίας $ 659 εκατ. το 2024
Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;
Ωστόσο, το WhatsApp απέκλεισε την πρόσβαση της NSO σε μολυσμένες συσκευές και τους διακομιστές της με ενημερώσεις ασφαλείας που εκδόθηκαν τον Σεπτέμβριο και τον Δεκέμβριο του 2018, εμποδίζοντας τη λειτουργία του Heaven exploit.
Δείτε ακόμα: Η Google βρήκε ευπάθεια Zero-Day στο SQLite Database Engine
Μέχρι τον Φεβρουάριο του 2019, ο κατασκευαστής spyware φέρεται να ανέπτυξε ένα άλλο exploit γνωστό ως «Eden» για να παρακάμψει τις προστασίες του WhatsApp που εφαρμόστηκαν το 2018. Όπως διαπίστωσε το WhatsApp τον Μάιο του 2019, το Eden χρησιμοποιήθηκε από πελάτες NSO σε επιθέσεις κατά περίπου 1.400 συσκευών.
Ο Tamir Gazneli, επικεφαλής έρευνας και ανάπτυξης της NSO, και οι «κατηγορούμενοι παραδέχθηκαν ότι ανέπτυξαν αυτά τα exploits zero-day εξάγοντας και απομεταγλωττίζοντας τον κώδικα του WhatsApp, αναστρέφοντας το WhatsApp» για να δημιουργήσουν το πρόγραμμα-πελάτη WIS που θα μπορούσε να χρησιμοποιηθεί για “να στείλει λανθασμένα μηνύματα μέσω διακομιστών WhatsApp και ως εκ τούτου να αναγκάσει τις συσκευές-στόχους να εγκαταστήσουν τον πράκτορα λογισμικού κατασκοπείας Pegasus—όλα κατά παράβαση του ομοσπονδιακού και κρατικού νόμου και των Όρων Παροχής Υπηρεσιών του WhatsApp.“
Αφού εντόπισε τις επιθέσεις, το WhatsApp διόρθωσε τα τρωτά σημεία του Eden και απενεργοποίησε τους λογαριασμούς WhatsApp της NSO. Ωστόσο, ακόμη και μετά τον αποκλεισμό του Eden exploit τον Μάιο του 2019, τα δικαστικά έγγραφα αναφέρουν ότι η NSO παραδέχτηκε ότι ανέπτυξε έναν ακόμη φορέα εγκατάστασης (με το όνομα «Erised») που χρησιμοποίησε τους διακομιστές αναμετάδοσης του WhatsApp για την εγκατάσταση του spyware Pegasus.
Δείτε επίσης: Ενημερώσεις κώδικα για zero-day στα νέα Windows Themes
Στον κόσμο της κυβερνοασφάλειας, το zero-day αναφέρεται σε μια προηγουμένως άγνωστη ευπάθεια σε λογισμικό ή υλικό που μπορούν να εκμεταλλευτούν οι χάκερ προτού οι προγραμματιστές έχουν την ευκαιρία να το αντιμετωπίσουν με μια ενημέρωση κώδικα ή ενημέρωση, όπως στην ερίπτωση του WhatsApp. Αυτά τα τρωτά σημεία είναι ιδιαίτερα επικίνδυνα επειδή δεν παρέχουν καμία προειδοποίηση πριν από την επίθεση, αφήνοντας τα συστήματα εκτεθειμένα μέχρι να αναγνωριστεί και να επιλυθεί το πρόβλημα. Τα exploits Zero-day συχνά ανταλλάσσονται στο dark web, υπογραμμίζοντας τη σημασία των ισχυρών μέτρων ασφαλείας και των γρήγορων απαντήσεων σε πιθανές απειλές. Οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση και προληπτική παρακολούθηση για ασυνήθιστη δραστηριότητα, διασφαλίζοντας ότι μπορούν να μετριάσουν αποτελεσματικά τους κινδύνους που σχετίζονται με τις επιθέσεις zero-day.
Πηγή: bleepingcomputer