پیروزی واتس‌اپ در دادگاه علیه NSO Group: شرکت سازنده بدافزار محکوم به پرداخت بیش از ۱۶۷ میلیون دلار شد

در یک پیروزی مهم برای واتس‌اپ (WhatsApp)، هیئت منصفه روز سه‌شنبه شرکت بدنام سازنده بدافزار NSO Group را به پرداخت بیش از ۱۶۷ میلیون دلار غرامت به این شرکت متعلق به متا (Meta) محکوم کرد.

این حکم به نبرد حقوقی بیش از پنج ساله‌ای که در اکتبر ۲۰۱۹ آغاز شده بود، پایان داد. در آن زمان، واتس‌اپ، NSO Group را متهم کرده بود که با استفاده از یک آسیب‌پذیری در قابلیت تماس صوتی این اپلیکیشن چت، بیش از ۱,۴۰۰ کاربر آن را هک کرده است.

این حکم پس از یک محاکمه یک هفته‌ای توسط هیئت منصفه صادر شد که شامل شهادت‌های متعددی از جمله شهادت یارون شوهات (Yaron Shohat)، مدیرعامل NSO Group، و همچنین کارمندان واتس‌اپ که به این حادثه واکنش نشان داده و آن را بررسی کرده بودند، می‌شد.

حتی پیش از آغاز محاکمه، این پرونده چندین مورد افشاگری را به همراه داشت؛ از جمله اینکه NSO Group قرارداد خود را با ۱۰ مشتری دولتی خود به دلیل سوءاستفاده از بدافزار پگاسوس (Pegasus) قطع کرده بود، مکان‌های ۱,۲۲۳ نفر از قربانیان این کمپین بدافزاری مشخص شده بود و اسامی سه نفر از مشتریان این شرکت سازنده بدافزار فاش شده بود: مکزیک (Mexico)، عربستان سعودی (Saudi Arabia) و ازبکستان (Uzbekistan).

حمله مذکور به عنوان حمله بدون نیاز به اقدام کاربر (zero-click attack) توصیف شده است، به این معنی که بدافزار برای نصب نیازی به تعامل هدف نداشت. آنتونیو پرز (Antonio Perez)، وکیل واتس‌اپ، در طول محاکمه گفت که این حمله "با برقراری یک تماس تلفنی واتس‌اپ جعلی با هدف" عمل می‌کرد. وکیل توضیح داد که NSO Group چیزی به نام "WhatsApp Installation Server" (سرور نصب واتس‌اپ) ساخته بود، یک ماشین ویژه که برای ارسال پیام‌های مخرب در زیرساخت واتس‌اپ طراحی شده بود و پیام‌های واقعی را شبیه‌سازی می‌کرد.

پرز افزود: "پس از دریافت، این پیام‌ها باعث می‌شدند تلفن کاربر با یک سرور سوم ارتباط برقرار کرده و بدافزار پگاسوس را دانلود کند. تنها چیزی که آن‌ها برای انجام این کار نیاز داشتند، شماره تلفن بود."

تامیر گنزلی (Tamir Gazneli)، معاون تحقیق و توسعه NSO Group، شهادت داد که "هرگونه راه‌حل بدون نیاز به اقدام کاربر، یک نقطه عطف مهم برای پگاسوس است."

برای سال‌ها، NSO Group ادعا می‌کرد که بدافزار آن قابل استفاده علیه شماره تلفن‌های آمریکایی نیست، یعنی هر شماره تلفن همراهی که با کد کشور +1 شروع می‌شود.

در سال ۲۰۲۲، نیویورک تایمز (The New York Times) برای اولین بار گزارش داد که این شرکت یک شماره آمریکایی را "حمله" کرده است، اما این بخشی از یک آزمایش برای اف‌بی‌آی (FBI) بوده است.

جو آکروتیریاناکیس (Joe Akrotirianakis)، وکیل NSO Group، این موضوع را تأیید کرد و گفت که "تنها استثنا" برای عدم توانایی پگاسوس در هدف قرار دادن شماره‌های +1، "یک نسخه ویژه پیکربندی شده از پگاسوس بود که برای نمایش به مشتریان بالقوه دولتی ایالات متحده استفاده می‌شد."

بنابر گزارش‌ها، اف‌بی‌آی پس از آزمایش، تصمیم به استقرار پگاسوس نگرفت.

شوهات، مدیرعامل NSO، توضیح داد که رابط کاربری پگاسوس برای مشتریان دولتی خود گزینه‌ای برای انتخاب روش یا تکنیک هک مورد استفاده علیه اهداف مورد نظرشان ارائه نمی‌دهد، "زیرا مشتریان اهمیتی نمی‌دهند از کدام وکتور (vector) استفاده می‌شود، تا زمانی که اطلاعات مورد نیاز خود را به دست آورند."

به عبارت دیگر، این سیستم پگاسوس در بخش پشتی (backend) است که هر بار که بدافزار فردی را هدف قرار می‌دهد، فناوری هک، که به عنوان اکسپلویت (exploit) شناخته می‌شود، را انتخاب می‌کند.

دفتر مرکزی NSO Group در هرتزلیا (Herzliya)، حومه تل‌آویو در اسرائیل، در همان ساختمانی قرار دارد که شرکت اپل (Apple) نیز در آن حضور دارد؛ مشتریان آیفون (iPhone) اپل نیز اغلب توسط بدافزار پگاسوس NSO هدف قرار می‌گیرند. شوهات گفت که NSO پنج طبقه بالای ساختمان و اپل بقیه ۱۴ طبقه را اشغال کرده‌اند.

واقعیت اینکه دفتر مرکزی NSO Group به طور آشکارا تبلیغ می‌شود، خود تا حدی جالب توجه است. شرکت‌های دیگری که بدافزار یا حفره‌های امنیتی صفرروزه (zero-days) توسعه می‌دهند، مانند واریستون (Variston) مستقر در بارسلون که در فوریه تعطیل شد، در فضاهای کاری مشترک قرار داشتند در حالی که در وب‌سایت رسمی خود ادعا می‌کردند در جای دیگری مستقر هستند.

پس از حمله بدافزاری، واتس‌اپ در نوامبر ۲۰۱۹ شکایت خود را علیه NSO Group تنظیم کرد. با وجود چالش حقوقی فعال، بنا بر گفته تامیر گنزلی، معاون تحقیق و توسعه NSO Group، شرکت سازنده بدافزار به هدف قرار دادن کاربران اپلیکیشن چت ادامه داد.

گنزلی گفت که "ارایزد" (Erised)، نام رمز یکی از نسخه‌های وکتور بدون نیاز به اقدام کاربر واتس‌اپ، از اواخر سال ۲۰۱۹ تا مه ۲۰۲۰ مورد استفاده قرار گرفته است. نسخه‌های دیگر "ادن" (Eden) و "هون" (Heaven) نام داشتند و این سه به طور جمعی به عنوان "هامینگ‌برد" (Hummingbird) شناخته می‌شدند.