Zero-day w WhatsApp - NSO: "potrzymaj mi piwo"

W świecie cyberbezpieczeństwa rzadko spotyka się tak bezczelne ignorowanie postanowień sądowych, jak w przypadku NSO Group. Firma nie tylko zignorowała pozew ze strony Meta (wtedy jeszcze Facebooka), ale w trakcie postępowania sądowego opracowała kolejne metody wykorzystania WhatsAppa do dystrybucji Pegasusa.

CVE-2019-3568: Anatomia włamania

W maju 2019 roku WhatsApp odkrył krytyczną lukę w implementacji VOIP (CVE-2019-3568, CVSS 9.8). Podatność typu buffer overflow w stosie VOIP pozwalała na zdalne wykonanie kodu poprzez specjalnie spreparowane pakiety SRTCP. Co istotne, exploit nie wymagał żadnej interakcji ze strony użytkownika - wystarczyło zainicjować połączenie WhatsApp.

Techniczne szczegóły ataku:

• Wektor: Manipulacja pakietami SRTCP podczas inicjacji połączenia VOIP
• Payload: Dostarczany poprzez zmodyfikowane pakiety sygnalizacyjne
• Persystencja: Automatyczne usuwanie logów połączeń po udanej infekcji
• Zasięg: Podatne były wszystkie wersje WhatsApp przed:
  • Android: v2.19.134
  • iOS: v2.19.51
  • Windows Phone: v2.18.348 (wszystkie 3 telefony z tym systemem 😃 )
  • Tizen: v2.18.15

Skuteczność exploita była imponująca - NSO Group wykorzystało go do zainfekowania około 1400 urządzeń, w tym telefonów indyjskich aktywistów, dziennikarzy i brytyjskiego prawnika specjalizującego się w prawach człowieka.

Chronologia prawnej przepychanki

Październik 2019: Początek

Meta składa pozew przeciwko NSO Group, oskarżając firmę o naruszenie CFAA (Computer Fraud and Abuse Act) poprzez nadużycie infrastruktury WhatsApp.

Lipiec 2020: Izraelski plot twist

Rząd Izraela przeprowadza bezprecedensową akcję - konfiskatę dokumentów z biur NSO Group. Oficjalny powód: ochrona tajemnic państwowych przed możliwym ujawnieniem w procesie discovery (a jakże!). Na całą operację nałożono nakaz milczenia (gag order), efektywnie blokując izraelskie media przed relacjonowaniem sprawy.

Marzec 2024: Przełom w sprawie

Sąd USA nakazuje NSO Group przekazanie WhatsAppowi kodu źródłowego Pegasusa i innych trojanów. Co ciekawe, firma zostaje zwolniona z obowiązku ujawnienia architektury serwerowej - sąd uznał, że WhatsApp "będzie w stanie wywnioskować te same informacje z pełnej funkcjonalności domniemanego spyware'u."

Izraelska interwencja: Więcej niż się wydaje

Dokumenty które wyciekły z izraelskiego Ministerstwa Sprawiedliwości ujawniają znacznie głębsze zaangażowanie państwa w sprawę:

1. Aktywna edycja dokumentów sądowych:
   • Usuwanie wzmianek sugerujących, że Izrael jest klientem NSO
   • Modyfikacje wniosków prawnych przed złożeniem w sądzie
   • Zatrudnienie amerykańskiej kancelarii Arnold & Porter (stawka: do $913/h)
2. Zakres zabezpieczonych materiałów:
   • Pełna lista klientów, włącznie z "klientami z USA"
   • Kontrakty i dokumentacja techniczna
   • Materiały dotyczące "włamania na telefon Jeffa Bezosa" i "sprawy Khashoggi'ego"

Apple wycofuje się z gry

We wrześniu 2024 Apple niespodziewanie wycofuje pozew przeciwko NSO Group. Oficjalne uzasadnienie wskazuje na:

• Zmieniający się krajobraz zagrożeń w branży spyware
• Ryzyko ujawnienia krytycznych informacji wywiadowczych
• Potencjalne narażenie mechanizmów obronnych iOS

Techniczny rozwój Pegasusa

Na przestrzeni lat NSO Group opracowało trzy główne wektory instalacji malware'u przez WhatsApp:

1. Heaven (do końca 2018):
   • Wykorzystanie zmanipulowanych pakietów sygnalizacyjnych
   • Przekierowanie na kontrolowane przez NSO serwery relay
2. Eden (CVE-2019-3568):
   • Exploit buffer overflow w stosie VOIP
   • W dokumentach sądowych z listopada 2024 opisano wykorzystanie serwerów WhatsApp jako relay
3. Erised (2019-2020):

Najbardziej bezczelna części historii - po otrzymaniu pozwu od Meta w październiku 2019, NSO zamiast zaprzestać ataków, opracowało nowy wektor zero-click o nazwie "Erised". Jak wykazały dokumenty sądowe, wektor ten był aktywnie używany przynajmniej do maja 2020 roku. Co więcej, gdy zapytano przedstawiciela NSO czy firma nadal używa WhatsApp do instalacji swojego spyware po tej dacie, odmówił odpowiedzi.

"Naciśnij Install" - czyli jak proste może być szpiegowanie

Nowe dokumenty sądowe z listopada 2024 ujawniły szokująco prosty proces instalacji Pegasusa:

1. Klient (agencja rządowa) wprowadzał tylko numer telefonu celu
2. Naciskał przycisk "Install"
3. System robił resztę automatycznie, bez żadnej interakcji z ofiarą

Co ciekawe, NSO Group nie kontrolowało nawet, które serwery WhatsApp były wykorzystywane w ataku. Dokumenty techniczne pokazują, że to algorytmy WhatsAppa automatycznie wybierały serwery przekaźnikowe na podstawie ich wydajności. Warto też zauważyć, że agent Pegasusa miał wbudowane ograniczenie - nie mógł działać na urządzeniach zlokalizowanych w USA lub posiadających amerykańskie numery telefonów.

FBI: "Potrzymaj mi odznakę"

W listopadowych dokumentach pojawiają się informacje, że FBI było klientem NSO Group. W grudniu 2018 roku amerykańska agencja kupiła licencję na system (sprzedawany w USA pod nazwą "Phantom"). Umowa obejmowała nie tylko sam system, ale też ciągłe wsparcie techniczne i aktualizacje. To może tłumaczyć, dlaczego NSO tak uparcie rozwijało swoje narzędzia, nawet po otrzymaniu pozwu - mieli zobowiązania kontraktowe wobec FBI.

Aktualna sytuacja

W listopadowych dokumentach sądowych z 2024 roku pojawiła się fascynująca wymiana zdań dotycząca serwera AWS. NSO Group początkowo twierdziło, że na niemieckim serwerze AWS znajduje się "kod, który stanowi część systemu Pegasus" - co już samo w sobie brzmi jak próba wymigania się od pełnej odpowiedzi.

Sytuacja stała się jeszcze ciekawsza, gdy okazało się, że WhatsApp już wcześniej otrzymał kopię zawartości tego serwera... od amerykańskiego Departamentu Sprawiedliwości.

NSO zostało zobowiązane przez sąd do przekazania kodu źródłowego, ale zamiast tego przesłało go tylko do prawników WhatsAppa w Izraelu, argumentując ograniczeniami eksportowymi.

Co więcej, kod nie może być wywieziony z kraju, nie może być używany podczas zeznań, dzielony z ekspertami technicznymi w USA, ani nawet pokazany sędziemu prowadzącemu sprawę. To trochę jak powiedzieć "Proszę, oto dowody, ale możecie na nie patrzeć tylko przez matową szybę, w rękawiczkach, i nie wolno wam o nich rozmawiać."

Ironicznie, NSO Group sugeruje WhatsAppowi, że powinien zatrudnić izraelskiego eksperta technicznego do analizy kodu - ignorując fakt, że to właśnie WhatsApp jest ofiarą w tej sprawie. To trochę jak powiedzieć okradzionemu, żeby zatrudnił kuzyna złodzieja do policzenia, ile dokładnie mu ukradziono.

Co przyniesie przyszłość?

Historia ta jest jak doskonały przykład współczesnego teatru absurdu. Z jednej strony mamy firmę twierdzącą, że jej narzędzia służą wyłącznie do walki z przestępczością i terroryzmem, ale jednocześnie odmawiającą odpowiedzi na pytanie, czy nadal exploituje systemy WhatsAppa. Z drugiej - rządy państw, które publicznie potępiają cyberszpiegostwo, a po cichu kupują licencje na Pegasusa.

FBI kupuje system, który teoretycznie nie może działać w USA. Apple wycofuje pozew, żeby chronić "krytyczne informacje wywiadowcze". Izrael konfiskuje dowody, żeby nie można ich było użyć w amerykańskim sądzie. A WhatsApp dostaje kod źródłowy, którego nie może wywieźć z Izraela, od firmy, która wcześniej włamała się do jego systemów, używając kodu, którego podobno nie może nikomu pokazać.

Wygląda na to, że w świecie cyberszpiegostwa "legalne" i "nielegalne" to pojęcia równie płynne jak IP adresy serwerów przekaźnikowych WhatsAppa.