Sosem látott részletek derültek ki a Pegasus kémprogramról, miután pert vesztett a fejlesztője
Fontos döntést hozott meg kedden egy szövetségi esküdtszék Kaliforniában: úgy határoztak, hogy az izraeli NSO Groupnak közel 168 millió dolláros (60,3 milliárd forintos) kártérítést kell fizetnie a Meta tulajdonában álló WhatsAppnak, amiért egy sérülékenységet kihasználva az alkalmazásukon keresztül terjesztette a Pegasus nevű kémszoftverét. A komoly pénzbüntetés önmagában is érdekes, de
a bíróságon az NSO kénytelen volt lerántani a leplet a saját működéséről, a WhatsAppot célzó támadásokon túl is.
Így kiderült, hogy 2018 és 2020 között több ezer sikeres támadást hajtottak végre a cég szoftverével; hogy a Pegasus képes volt bekapcsolni és használni a megfertőzött telefonok mikrofonját, sőt, kameráját is; és hogy az NSO szakértői aktívan kutatták például a WhatsApp sérülékenységeit is, hogy garantálják az ügyfeleiknek az észrevétlen hozzáférést a célpontjaik telefonjához.
Mi volt ez a per?
A WhatsApp 2019-ben indított pert az NSO ellen, amely a vád szerint újságírók, emberi jogi aktivisták és disszidensek megfigyelését tette lehetővé a Pegasusszal. Tavaly decemberben egy bíró már a WhatsApp javára döntött az ügyben, a mostani döntéssel már csak a büntetés mértékét állapították meg az esküdtek. Idén áprilisban egyébként több bírósági dokumentumot is közzétettek, melyek szerint 2019-ben két hónap alatt 1223 WhatsApp-felhasználó telefonját fertőzte meg a cég a WhatsApp hívásos funkciójának egy akkori sérülékenységét kihasználva. A célpontok főleg mexikóiak voltak, de nyolc magyart is célba vettek, és bírósági dokumentumok alapján a Pegasus infrastruktúrájának egy része Magyarországon működhetett.
Az már korábban kiderült, hogy a Pegasus kémprogramot magyar célszemélyek ellen is használták 2018 óta, de áprilisban az is felmerült, hogy ez a nyolc ember a korábban már ismert áldozatokhoz képest újdonság lehet. Ekkorra már a kormány is elismerte, hogy Magyarország is a megrendelők között volt, igaz, szerintük minden megfigyelés jogszerű volt. Az érintett politikai vezetők 2023-ban különböző okokból már nem voltak a helyükön.
Az NSO-t képviselő ügyvéd az idén tavasszal közzétett dokumentumok szerint Üzbegisztánt, Mexikót és Szaúd-Arábiát konkrétan meg is nevezte a cég ügyfeleiként, de ennél több országot nem volt hajlandó nevesíteni. Persze ez is több volt annál, amit addig közölt a cég, ez volt az első alkalom, hogy megnevezték az ügyfeleiket, a most nyilvánosságra hozott leiratok viszont még ennél is fontosabbak lehetnek. Ezekből ugyanis az derült ki, hogy hogyan készült fel és hajtott végre támadásokat az NSO a WhatsAppon keresztül, és egyáltalán hogyan működik maga a cég.
Az új dokumentumokat a Meta tette közzé kedden, kiemelve azt is, hogy az NSO nemcsak az ő rendszereiket támadta, hanem számos más cég rendszerein keresztül is sikeresen férkőzött be a célpontok telefonjába. Hozzátették, az NSO-nak be kellett ismernie, hogy évente több tízmillió dollárt költ arra, hogy a kártevők célba juttatásához használt módszereket dolgozzon ki, a kémszoftverei pedig így a mai napig képesek iOS-es és androidos rendszerek megfertőzésére is.
„A kémszoftvereket gyártó NSO elleni perünk már akkor történelmet írt, amikor a bíróság decemberben kimondta, hogy szövetségi és állami törvényeket sértettek az Egyesült Államokban. Az esküdtszék mai, az NSO megbüntetéséről szóló ítélete kulcsfontosságú lehet abban, hogy elrettentse a kémszoftverek gyártóit az amerikai cégek és a felhasználóik elleni, illegális cselekedetektől” – írta a döntés után Will Cathcart, a WhatsApp vezetője. A WhatsApp egyébként keddi közleményében azt írta, tudják, hogy nehéz lesz behajtani a megítélt kártérítést az NSO-n, de meg fogják tenni, és olyan szervezeteket akarnak támogatni belőle, amelyek a kémszoftveres támadások ellen küzdenek szerte a világon.
Eddig nem ismert részletek derültek ki
A Meta összesen négy leiratot hozott nyilvánosságra, köztük az NSO-vezérigazgató Jaron Sohat meghallgatását is. Ő azt mondta, 2019-ben csak nekik volt olyan, minden androidos eszközön működő megoldásuk, ahol az áldozatnak rá sem kellett kattintania semmire, hogy megfertőzzék a telefonját. A korábban kiberbiztonsági szakértőként dolgozó Sohat elismerte, hogy az olyan rendszerhibákat, mint amilyeneket a WhatsAppnál kihasználtak, nyilván mindenki ki akarja javítani. Azzal is egyetértett, hogy ha az NSO-nak el kéne árulnia, hogy a kémszoftverük telepítéséhez használt módszer melyik cég technológiáját használja ki, akkor a cég rögtön kijavítaná a sérülékenységet.
Arra a kérdésre viszont, hogy ennek tudatában miért nem kértek engedélyt a WhatsApptól, Sohat annyit válaszolt, hogy „nem tudtam, hogy engedélyt kell kérni ahhoz, hogy valaki üzenetet küldjön a WhatsAppon”.
Az igazi csemege viszont nem ez volt, hanem a kutatás-fejlesztésért felelős alelnök, Tamir Gazneli meghallgatása, őt ugyanis több mint egy órán át faggatták az NSO működéséről. A Gazneli által vezetett kutatócsoport androidos alkalmazásokat vizsgált, hogy ezeken keresztül hozzáférhessenek a célpontok telefonján tárolt adatokhoz. Gazneli csapata három megoldáson dolgozott, amelyekkel a WhatsAppon keresztül is képesek voltak észrevétlenül hozzáférést biztosítani egy telefonhoz – ezek a Heaven, az Eden és az ERISED vagy összefoglaló nevükön Hummingbird-vektorok.
Gazneli azt mondta, hogy az NSO lényegében házon belül létrehozta a WhatsApp szervereinek hiteles mását, melynek segítségével aztán legális, bárki által elérhető szoftverekkel vizsgálták a kliens sérülékenységeit, ez tette lehetővé az alkalmazásba beférkőző szoftver megalkotását. Ez, mint mondta, minden kibercégnél bevett folyamat, függetlenül attól, hogy támadásokkal vagy védelemmel foglalkoznak. A megoldásokat élesben valamikor 2018 tavaszán kezdték el tesztelni, ekkor már természetesen többtucatnyi valódi fiókkal, és Gazneli szerint 2018 áprilisa és 2020 májusa között több ezerszer használhatták a Hummingbirdöt a Pegasus részeként.
A gyakorlatban maga a folyamat úgy nézett ki, hogy küldtek egy hamis kérést (requestet) a célpont WhatsApp-kliensébe, ami ugyan az NSO belső szerveréről indult, de bekerült a WhatsApp ökoszisztémájába. Azaz gyakorlatilag már az egész folyamat kezdetén is lehetetlen megállapítani, hogy éppen kémprogramot telepítenek a telefonra, hiába az NSO saját szervere a kiindulópont, mert mire a kérés elér a klienshez, pontosan olyan lesz, mintha a WhatsApp szerveréről indult volna. Ugyanakkor persze ezek eltértek a hivatalos üzenetektől, és Gazneli szerint előfordulhatott, hogy nem mindig értek célt.
Az is kiderült, hogy a Hummingbird-vektorok működését számtalanszor akadályozták a WhatsApp különböző frissítései, de mivel a vektorokat is rendszeresen frissítették, sokáig sikerült újra működőképessé tenni őket. Ennek részeként cserélték le a Heavent az Edenre 2018 decemberében, majd így jött be a képbe az ERISED is valamikor 2019 végén. Ez utóbbit még 2020 májusában is használták, és az NSO később is talált újabb sérülékenységeket, amelyeket újabb módszerekkel ki tudott használni.
Egy ponton Gaznelivel konkrétan kimondatták, hogy igen, a WhatsApp 2019 októberében benyújtott keresete után is aktívan dolgozott újabb megoldásokon, amelyek a WhatsApp szerverein keresztül (is) küldtek fertőzésre képes üzeneteket.
A munkájukhoz, ahogy korábban, úgy ekkor is aktívan használták a WhatsAppot.
Az alelnökkel azon is végigmentek, hogy mire képes a Pegasus: teljes megfigyelés, korlátlan hozzáférés az adatokhoz, sőt, magához a készülékhez is. A Pegasus már 2019-ben is képes volt arra, hogy bármikor bekapcsolja a mikrofont, vagy képeket készítsen a telefon kamerájával. A kémszoftver képességei attól is függtek, hogy milyen módszerrel került rá az áldozat telefonjára, de 2018 és 2020 között, a WhatsApp sérülékenységét kihasználva, minden megoldással észrevétlenül tudták telepíteni a Pegasust.
Az NSO minden esetben külön infrastruktúrát épített ki a vásárlóinak, amellyel azt garantálták, hogy a Pegasus használatát sem az ügyfélhez, sem az NSO-hoz ne lehessen visszavezetni – erre a cégnek külön csapata van.
