Een Amerikaanse rechter heeft NSO Group bevolen de broncode voor Pegasus en andere producten aan Meta te overhandigen als onderdeel van de lopende rechtszaak tegen de Israëlische spywareleverancier.
De beslissing markeert een grote juridische overwinning voor Meta, die in oktober 2019 de rechtszaak heeft aangespannen wegens het gebruik van zijn infrastructuur om de spyware tussen april en mei naar ongeveer 1.400 mobiele apparaten te verspreiden. Daartoe behoorden ook een twintigtal Indiase activisten en journalisten.
Deze aanvallen maakten gebruik van een toenmalige zero-day-fout in de instant messaging-app (CVE-2019-3568, CVSS-score: 9,8), een kritieke bufferoverflow-bug in de spraakoproepfunctionaliteit, om Pegasus te leveren door alleen maar te bellen, zelfs in scenario’s waar de oproepen onbeantwoord bleven.
Bovendien omvatte de aanvalsketen stappen om de informatie over inkomende oproepen uit de logboeken te wissen in een poging detectie te omzeilen.
Uit gerechtelijke documenten die eind vorige maand zijn vrijgegeven blijkt dat NSO Group is gevraagd om “informatie te verstrekken over de volledige functionaliteit van de relevante spyware”, specifiek voor een periode van een jaar vóór de vermeende aanval tot een jaar na de vermeende aanval (dwz vanaf april 29, 2018, tot 10 mei 2020).
Dat gezegd hebbende hoeft het bedrijf op dit moment geen “specifieke informatie te verstrekken over de serverarchitectuur”, omdat WhatsApp “dezelfde informatie zou kunnen halen uit de volledige functionaliteit van de vermeende spyware.” Misschien nog belangrijker is dat het bedrijf gespaard is gebleven van het delen van de identiteit van zijn klantenkring.
“Hoewel de uitspraak van de rechtbank een positieve ontwikkeling is, is het teleurstellend dat NSO Group de identiteit van haar cliënten, die verantwoordelijk zijn voor deze onwettige targeting, geheim mag blijven houden”, zegt Donncha Ó Cearbhaill, hoofd van het Security Lab bij Amnesty International.
NSO Group kreeg in 2021 door de VS sancties opgelegd voor het ontwikkelen en leveren van cyberwapens aan buitenlandse regeringen die “deze instrumenten gebruikten om kwaadwillig regeringsfunctionarissen, journalisten, zakenmensen, activisten, academici en ambassademedewerkers aan te vallen.”
De ontwikkeling komt op het moment dat Recorded Future een nieuwe meerlaagse bezorginfrastructuur onthulde die verband houdt met Predator, een mobiele spyware voor huurlingen die wordt beheerd door de Intellexa Alliance.
Het infrastructuurnetwerk wordt zeer waarschijnlijk geassocieerd met Predator-klanten, onder meer in landen als Angola, Armenië, Botswana, Egypte, Indonesië, Kazachstan, Mongolië, Oman, de Filippijnen, Saoedi-Arabië en Trinidad en Tobago. Het is vermeldenswaard dat er tot nu toe geen Predator-klanten in Botswana en de Filipijnen zijn geïdentificeerd.
“Hoewel Predator-operators op publieke berichtgeving reageren door bepaalde aspecten van hun infrastructuur te veranderen, lijken ze door te gaan met minimale wijzigingen in hun manier van werken; deze omvatten consistente spoofing-thema’s en richten zich op soorten organisaties, zoals nieuwsmedia, terwijl ze zich houden aan gevestigde infrastructuuropstellingen”, aldus het bedrijf.
