شیطنت‌های مجدد گروه NSO برای نصب جاسوس افزار پگاسوس روی واتساپ

اسناد حقوقی منتشر شده به عنوان بخشی از کشمکش حقوقی در حال انجام بین گروه واتساپ و NSO نشان می‌دهد که این فروشنده جاسوس ‌افزار اسرائیلی از چندین اکسپلویت برای نفوذ به اپلیکیشن پیام‌رسان واتساپ به منظور ارائه جاسوس ‌افزار Pegasus (پگاسوس) طی سال‌های متوالی استفاده کرده است.

واتساپ چهاردهم نوامبر ۲۰۲۴ با متقاعد کردن یک قاضی فدرال ایالات متحده برای انتشار عمومی سه سند حقوقی که شامل افشاگری‌های جدید در مورد عملکرد درونی پگاسوس، نرم‌افزار جاسوسی ساخته‌ شده توسط گروه NSO اسرائیل بود، به پیروزی حقوقی دست یافت.

واتساپ در سال 2019 نیز NSO را به نقض قانون ضد هک، قانون کلاهبرداری و سوء استفاده رایانه‌ای و نقض شرایط خدمات واتساپ از طریق دسترسی به سرورهای این شرکت و نفوذ به کاربران با نرم افزارهای جاسوسی ارسال شده از طریق برنامه چت متهم کرد. این اتهامات بر اساس یک سری حملات سایبری علیه کاربران واتساپ از جمله روزنامه نگاران، فعالان حقوق بشر، ناراضیان سیاسی، دیپلمات‌ها و مقامات ارشد دولت خارجی است.

طبق اسناد دادگاه، NSO مجموعه‌ای از ابزارهای هک را برای استفاده علیه اهداف خود با استفاده از واتساپ توسعه داده است که قادر به دسترسی به داده‌های خصوصی روی تلفن قربانی هستند. این مجموعه هک، “Hummingbird یا مُرغ مگس‌خوار” نام دارد و دو مورد از اکسپلویت‌های این مجموعه ” Eden ” و ” Heaven ” نامگذاری شده‌اند.

NSO به لطف این ابزارهای هک، توانسته است تاکنون پگاسوس را بر روی ده‌ها هزار دستگاه نصب کند!

بررسی سه اکسپلویت NSO که کاربران واتساپ را مورد هدف قرار میدهند

یکی از تکنیک‌هایی که NSO به مشتریانش اجازه می‌دهد تا کاربران واتساپ را هدف قرار دهند، راه‌اندازی چیزی بود که این شرکت آن را ” WhatsApp Installation Server یا سرور نصب واتساپ یا WIS” نامید و واتساپ آن را «کلاینت جعلی یا fake client می‌نامد.

این در اصل یک نسخه اصلاح شده از برنامه واتساپ بود که NSO آن را توسعه داده و برای ارسال پیام از جمله اکسپلویت‌های مخرب به کاربران معمولی واتساپ استفاده می‌کرد.

بر اساس یک ارتباط داخلی NSO، واتساپ توانست هر دو اکسپلویت Eden و Heaven را با ارائه پچ‌ها و به‌روزرسانی‌های امنیتی شکست دهد.

اسناد دادگاه نشان می‌دهد که اکسپلویت Heaven قبل از سال ۲۰۱۸ فعال بوده و برای هدایت دستگاه‌های واتساپ به سمت برقراری ارتباط با سرور مخرب واتساپ که توسط NSO کنترل می‌شده است، طراحی شده بود.

پس از اینکه واتساپ سیستم‌های خود را در برابر اکسپلویت Heaven اصلاح کرد، NSO یک اکسپلویت جدید دیگر به نام Eden ارائه کرد. اکسپلویت Eden منجر به شکایت واتساپ علیه NSO شد.Eden با CVE-2019-3568 دنبال می‌شود.

CVE-2019-3568، یک آسیب ‌پذیری سرریز بافر در پشته VOIP واتساپ است که امکان اجرای کد از راه دور را از طریق مجموعه‌ای از پکت‌های RTCP ساخته ‌شده به شماره تلفن مورد نظر ارائه می‌دهد و حدود 1400 دستگاه اندروید قربانی آن شده‌اند.

سومین اکسپلویت توسعه یافته توسط NSO که در اسناد فاش شده است، “Erised” نام دارد، یک اکسپلویت به اصطلاح zero-click (بدون کلیک)، که می‌تواند تلفن قربانی را بدون هیچ گونه تعاملی از جانب قربانی مورد نفوذ و جاسوسی قرار دهد. واتساپ استفاده از اکسپلویت Erised را در می 2020، چندین ماه پس از طرح شکایت خود مسدود کرد.

پیامد نصب جاسوس افزار پگاسوس و ادعای NSO

ظاهراً فرآیند نصب جاسوس‌ افزار پگاسوس زمانی آغاز شده است که یکی از مشتریان پگاسوس شماره تلفن همراه قربانی مورد نظر را در فیلدی از برنامه‌ای که روی لپ‌تاپ خود اجرا می‌شد وارد کرده است، که این باعث استقرار پگاسوس از راه دور بر روی دستگاه‌ هدف شده است.

نصب نرم افزارهای جاسوسی و استخراج داده ها به طور کامل توسط سیستم پگاسوس انجام شده است و نیازی به دانش فنی یا اقدام بیشتر از سوی مشتریان ندارد.

با این حال، NSO بیان می‌کند که مسئولیتی در قبال اقدامات مشتریان خود ندارند و به داده‌های بازیابی شده در طول نصب نرم‌افزار جاسوسی پگاسوس دسترسی ندارند و نقش آنها را در عملیات‌های نظارتی محدود می‌باشد.

گروه NSO بارها تاکید کرده است که نرم افزار پگاسوس این شرکت برای مبارزه با جرایم سایبری و تروریسم استفاده می‌شود.

پگاسوس، پلتفرم جاسوس‌افزار گروه NSO است که به‌ عنوان نرم‌افزار نظارتی برای دولت‌ها در سراسر جهان به بازار عرضه می‌شود. این جاسوس افزار با اجزای نرم‌افزاری متعددی که دارد، قابلیت‌های نظارتی گسترده‌ای را بر روی دستگاه‌های قربانیان به مشتریان خود ارائه می‌دهد.

به عنوان مثال، مشتریان NSO می‌توانند فعالیت قربانیان را زیر نظر بگیرند و با استفاده از Agent پگاسوس که روی تلفن‌های همراه قربانیان نصب شده است، اطلاعات را استخراج کنند.