NSO Group ใช้ประโยชน์จาก WhatsApp Zero-Day แม้หลังจากการฟ้องร้อง เอกสารของศาลกล่าว

NSO Group Technologies Ltd. ยังคงพัฒนาสปายแวร์ที่ใช้การหาประโยชน์จาก WhatsApp แบบ Zero-day หลายครั้ง แม้ว่าบริษัทส่งข้อความโต้ตอบแบบทันทีจะฟ้องบริษัทเฝ้าระวังของอิสราเอลเรื่องการละเมิดกฎหมายต่อต้านการแฮ็กของรัฐบาลกลางและของรัฐก็ตามเปิดเผยคำฟ้องของศาลยื่นโดยแอปส่งข้อความและ Meta บริษัทแม่ที่เผยแพร่เมื่อวันพฤหัสบดี

คำฟ้องของศาลเปิดเผยว่า NSO ยังคงใช้เซิร์ฟเวอร์ WhatsApp เพื่อติดตั้งสปายแวร์ Pegasus บนโทรศัพท์โดยการโทรหาอุปกรณ์เป้าหมาย แม้ว่าแพลตฟอร์มการรับส่งข้อความจะตรวจพบและบล็อกการหาประโยชน์ในเดือนพฤษภาคม 2019 แล้วก็ตาม

ข้อกล่าวหาดังกล่าวมีสาเหตุมาจากการโจมตีทางไซเบอร์ต่อผู้ใช้ WhatsApp รวมถึงนักข่าว ผู้เห็นต่าง และผู้สนับสนุนด้านสิทธิมนุษยชน

“ตามเกณฑ์ที่กำหนด NSO ยอมรับว่าได้พัฒนาและขายสปายแวร์ที่อธิบายไว้ในคำร้องเรียน และสปายแวร์ของ NSO โดยเฉพาะเวกเตอร์การติดตั้งแบบคลิกเป็นศูนย์ที่เรียกว่า “Eden” ซึ่งเป็นส่วนหนึ่งของตระกูลเวกเตอร์ที่ใช้ WhatsApp ที่รู้จักกันโดยรวม เนื่องจาก “Hummingbird” (เรียกรวมกันว่า “เวกเตอร์มัลแวร์”)—เป็นผู้รับผิดชอบต่อการโจมตีที่อธิบายไว้ในคำร้องเรียน หัวหน้าฝ่ายวิจัยและพัฒนาของ NSO ยืนยันว่าพาหะเหล่านั้นทำงานได้อย่างแม่นยำตามที่โจทก์กล่าวหา” กำลังอ่านคำฟ้องของศาล

NSO ยอมรับว่าลูกค้าของ NSO ใช้เทคโนโลยี Eden ในการโจมตีอุปกรณ์ประมาณ 1,400 เครื่อง หลังจากตรวจพบการโจมตี WhatsApp ได้แก้ไขช่องโหว่ของ Eden และปิดการใช้งานบัญชี WhatsApp ของ NSO อย่างไรก็ตาม การใช้ประโยชน์จาก Eden ยังคงทำงานอยู่จนกระทั่งถูกบล็อกในเดือนพฤษภาคม 2019

อย่างไรก็ตามเรื่องนี้-บริษัทเฝ้าระวังได้พัฒนาเวกเตอร์การติดตั้งอีกตัวหนึ่งที่เรียกว่า “Erised” ซึ่งใช้เซิร์ฟเวอร์ WhatsApp เพื่อติดตั้งสปายแวร์ Pegasus ในการโจมตีแบบ Zero-Click NSO ยอมรับ มีรายงานว่าการหาประโยชน์นี้ยังคงใช้งานได้และพร้อมใช้งานสำหรับลูกค้า NSO แม้ว่า WhatsApp จะฟ้องบริษัทในเดือนตุลาคม 2019 จนกว่าการเปลี่ยนแปลงด้านความปลอดภัยเพิ่มเติมในแพลตฟอร์มการรับส่งข้อความจะบล็อกการเข้าถึงในช่วงหลังเดือนพฤษภาคม 2020

มีรายงานว่าพยานของ NSO ปฏิเสธที่จะยืนยันว่าผู้ผลิตสปายแวร์รายดังกล่าวยังคงพัฒนาเวกเตอร์มัลแวร์บน WhatsApp ต่อไปหรือไม่

บริษัทรับทราบว่าพนักงานสร้างและใช้บัญชี WhatsApp เพื่อพัฒนามัลแวร์สำหรับตนเองและลูกค้า สิ่งนี้ละเมิดข้อกำหนดในการให้บริการของ WhatsApp หลายประการ รวมถึงการวิศวกรรมย้อนกลับแพลตฟอร์ม การส่งโค้ดที่เป็นอันตราย การรวบรวมข้อมูลโดยไม่ได้รับอนุญาต และการเข้าถึงบริการอย่างผิดกฎหมาย

Meta อ้างว่าการกระทำเหล่านี้เป็นการละเมิดกฎหมาย Computer Fraud and Abuse Act (CFAA) และกฎหมายการเข้าถึงข้อมูลคอมพิวเตอร์และการฉ้อโกงอย่างครอบคลุมของรัฐแคลิฟอร์เนีย (CDAFA) ซึ่งก่อให้เกิดความเสียหายกับ WhatsApp

NSO ยืนยันมานานแล้วว่าตนไม่ทราบถึงการดำเนินงานของลูกค้า และควบคุมการใช้สปายแวร์ของลูกค้าได้เพียงเล็กน้อย โดยปฏิเสธความเกี่ยวข้องใดๆ ในการโจมตีทางไซเบอร์แบบกำหนดเป้าหมาย

อย่างไรก็ตาม เอกสารของศาลที่เพิ่งออกเผยให้เห็นว่าผู้จำหน่ายสปายแวร์รายดังกล่าวดำเนินการสปายแวร์ Pegasus โดยลูกค้าจะต้องระบุหมายเลขเป้าหมายเท่านั้น

ในเอกสารของศาลฉบับหนึ่ง WhatsApp แย้งว่า “บทบาทของลูกค้า NSO นั้นน้อยมาก” เนื่องจากลูกค้าภาครัฐจำเป็นต้องป้อนหมายเลขโทรศัพท์ของอุปกรณ์ของเป้าหมายเท่านั้น และอ้างถึงพนักงาน NSO ว่า “กดติดตั้ง แล้ว Pegasus จะ ติดตั้งตัวแทนบนอุปกรณ์จากระยะไกลโดยไม่ต้องมีส่วนร่วมใดๆ”

“กล่าวอีกนัยหนึ่ง ลูกค้าเพียงแค่สั่งซื้อข้อมูลของอุปกรณ์เป้าหมาย และ NSO จะควบคุมทุกแง่มุมของกระบวนการดึงและจัดส่งข้อมูลผ่านการออกแบบ Pegasus” WhatsApp กล่าวเสริม

คำฟ้องของศาลยังอ้างคำพูดของพนักงาน NSO โดยกล่าวว่า "เป็นการตัดสินใจของเราว่าจะเรียกใช้ [การหาประโยชน์] โดยใช้ข้อความ WhatsApp หรือไม่" ซึ่งหมายถึงหนึ่งในการหาประโยชน์ที่บริษัทเสนอให้กับลูกค้า

ในการป้องกันตัว Gil Lanier รองประธานฝ่ายการสื่อสารระดับโลกของบริษัทอิสราเอลกล่าวในแถลงการณ์ต่อเทคครันช์: “สสช. ยืนหยัดอยู่เบื้องหลังแถลงการณ์ก่อนหน้านี้ ซึ่งเราได้ให้รายละเอียดซ้ำแล้วซ้ำอีกว่าระบบนี้ดำเนินการโดยลูกค้าของเราแต่เพียงผู้เดียว และทั้ง NSO และพนักงานไม่สามารถเข้าถึงข่าวกรองที่รวบรวมโดยระบบ”

“เรามั่นใจว่าข้อเรียกร้องเหล่านี้ เช่นเดียวกับอื่นๆ ในอดีต จะได้รับการพิสูจน์ว่าผิดในศาล และเราหวังว่าจะมีโอกาสทำเช่นนั้น” เขากล่าวเสริม