پیروزی واتس‌اپ در پرونده قضایی علیه NSO Group: دستور پرداخت بیش از ۱۶۷ میلیون دلار غرامت

شرکت واتس‌اپ روز سه‌شنبه پیروزی بزرگی در پرونده قضایی خود علیه شرکت NSO Group کسب کرد، زمانی که هیئت منصفه به این سازنده بدنام نرم‌افزارهای جاسوسی دستور داد بیش از ۱۶۷ میلیون دلار غرامت به شرکت تحت مالکیت متا پرداخت کند.

این حکم به نبردی قانونی که بیش از پنج سال به طول انجامید و در اکتبر ۲۰۱۹ آغاز شد، پایان داد. در آن زمان، واتس‌اپ، NSO Group را متهم کرد که با سوءاستفاده از آسیب‌پذیری در قابلیت تماس صوتی اپلیکیشن چت، بیش از ۱,۴۰۰ نفر از کاربران آن را هک کرده است.

این حکم پس از یک هفته محاکمه توسط هیئت منصفه صادر شد که شامل چندین شهادت بود، از جمله شهادت یاران شوهات (Yaron Shohat)، مدیرعامل NSO Group و کارمندان واتس‌اپ که به این حادثه واکنش نشان داده و آن را بررسی کردند.

حتی پیش از آغاز محاکمه، این پرونده چندین مورد افشاگری را در پی داشت، از جمله اینکه NSO Group با قطع ارتباط ۱۰ مشتری دولتی خود به دلیل سوءاستفاده از نرم‌افزار جاسوسی پگاسوس (Pegasus)، مکان‌های ۱,۲۲۳ نفر از قربانیان کمپین جاسوسی و نام سه نفر از مشتریان این شرکت سازنده نرم‌افزار جاسوسی: مکزیک، عربستان سعودی و ازبکستان را مشخص کرده بود.

حمله مورد استفاده، یک حمله بدون کلیک (zero-click attack) بود، به این معنی که نرم‌افزار جاسوسی نیازی به تعامل از سوی هدف نداشت. آنتونیو پرز (Antonio Perez)، وکیل واتس‌اپ، در طول محاکمه گفت که این حمله «با برقراری یک تماس تلفنی جعلی واتس‌اپ با هدف» انجام می‌شد. وکیل توضیح داد که NSO Group چیزی به نام «سرور نصب واتس‌اپ» (WhatsApp Installation Server) ساخته بود، یک ماشین ویژه طراحی شده برای ارسال پیام‌های مخرب از طریق زیرساخت واتس‌اپ که پیام‌های واقعی را شبیه‌سازی می‌کرد.

پرز افزود: «پس از دریافت، آن پیام‌ها گوشی کاربر را تحریک می‌کردند تا به سرور شخص ثالثی متصل شده و نرم‌افزار جاسوسی پگاسوس را دانلود کند. تنها چیزی که برای این کار نیاز داشتند، شماره تلفن بود.»

تامیر گازنلی (Tamir Gazneli)، معاون تحقیق و توسعه NSO Group، شهادت داد که «هرگونه راهکار بدون کلیک، نقطه عطفی مهم برای پگاسوس محسوب می‌شود.»

برای سال‌ها، NSO Group ادعا کرده است که نرم‌افزار جاسوسی آن نمی‌تواند علیه شماره تلفن‌های آمریکایی (هر شماره موبایلی که با کد کشور ۱+ آغاز می‌شود) استفاده شود. در سال ۲۰۲۲، نیویورک تایمز اولین بار گزارش داد که این شرکت «حمله»ای را به یک شماره تلفن آمریکایی انجام داده است، اما این بخشی از آزمایشی برای اف‌بی‌آی (FBI) بود.

جو آکروتیریاناکیس (Joe Akrotirianakis)، وکیل NSO Group، این موضوع را تأیید کرد و گفت «تنها استثناء» برای عدم توانایی پگاسوس در هدف قرار دادن شماره‌های ۱+، «نسخه‌ای ویژه از پگاسوس بود که برای نمایش به مشتریان احتمالی دولتی در آمریکا تنظیم شده بود.» گزارش‌ها حاکی از آن است که اف‌بی‌آی پس از این آزمایش، تصمیم به استقرار پگاسوس نگرفت.

یاران شوهات، مدیرعامل NSO، توضیح داد که رابط کاربری پگاسوس برای مشتریان دولتی آن، گزینه‌ای برای انتخاب روش یا تکنیک هک مورد استفاده علیه اهداف مورد نظرشان ارائه نمی‌دهد، «زیرا برای مشتریان مهم نیست از کدام روش استفاده می‌شود، تا زمانی که اطلاعات مورد نیاز خود را به دست آورند.» به عبارت دیگر، این سیستم پگاسوس در بخش پشتیبان (backend) است که در هر بار که نرم‌افزار جاسوسی فردی را هدف قرار می‌دهد، تکنولوژی هک (معروف به اکسپلویت - exploit) را انتخاب می‌کند.

در یک تصادف جالب توجه، دفتر مرکزی NSO Group در هرتزلیا (Herzliya)، حومه تل آویو در اسرائیل، در همان ساختمانی قرار دارد که دفتر شرکت اپل واقع شده است. مشتریان آیفون اپل نیز اغلب توسط نرم‌افزار جاسوسی پگاسوس NSO هدف قرار می‌گیرند. شوهات گفت که NSO پنج طبقه بالای ساختمان ۱۴ طبقه را اشغال کرده و اپل باقی طبقات را در اختیار دارد.

شوهات در طول شهادت خود گفت: «وقتی بالا می‌رویم، از یک آسانسور مشترک استفاده می‌کنیم.»

این واقعیت که دفتر مرکزی NSO Group به صورت عمومی تبلیغ می‌شود، به خودی خود جالب است. شرکت‌های دیگری که نرم‌افزارهای جاسوسی یا اکسپلویت‌های روز صفر (zero-days) را توسعه می‌دهند، مانند واریستون (Variston) در بارسلونا که در فوریه تعطیل شد، در فضای کار مشترک قرار داشتند در حالی که در وب‌سایت رسمی خود ادعا می‌کردند در جای دیگری مستقر هستند.

به گفته تامیر گازنلی، معاون تحقیق و توسعه NSO Group، پس از حمله جاسوسی، واتس‌اپ در نوامبر ۲۰۱۹ دادخواست خود را علیه NSO Group ثبت کرد. با وجود چالش حقوقی فعال، این شرکت سازنده نرم‌افزار جاسوسی به هدف قرار دادن کاربران اپلیکیشن چت ادامه داد.

گازنلی گفت که «اریسد» (Erised)، نام رمز یکی از نسخه‌های حمله بدون کلیک واتس‌اپ، از اواخر سال ۲۰۱۹ تا می ۲۰۲۰ در حال استفاده بوده است. نسخه‌های دیگر «عدن» (Eden) و «بهشت» (Heaven) نام داشتند و این سه به طور کلی به عنوان «هامینگ‌برد» (Hummingbird) شناخته می‌شدند.

یاران شوهات، مدیرعامل NSO Group، جزئیات کوچکی اما قابل توجهی را فاش کرد: NSO Group و شرکت مادر آن، Q Cyber، مجموعاً بین ۳۵۰ تا ۳۸۰ کارمند دارند. حدود ۵۰ نفر از این کارمندان برای Q Cyber کار می‌کنند.

در طول محاکمه، شوهات به سوالاتی درباره وضعیت مالی شرکت پاسخ داد که برخی از آن‌ها در اظهارنامه‌های پیش از محاکمه فاش شده بودند. این جزئیات در ارتباط با میزان غرامتی که این شرکت سازنده نرم‌افزار جاسوسی باید به واتس‌اپ بپردازد، مطرح شدند.

بر اساس گفته‌های شوهات و اسناد ارائه شده توسط NSO Group، این شرکت سازنده نرم‌افزار جاسوسی در سال ۲۰۲۳ متحمل ۹ میلیون دلار و در سال ۲۰۲۴ متحمل ۱۲ میلیون دلار ضرر شده است. این شرکت همچنین فاش کرد که در سال ۲۰۲۳ مبلغ ۸.۸ میلیون دلار و در سال ۲۰۲۴ مبلغ ۵.۱ میلیون دلار در حساب بانکی خود داشته است. در حال حاضر، این شرکت ماهانه حدود ۱۰ میلیون دلار هزینه می‌کند که بیشتر آن برای پوشش حقوق کارمندان است.

همچنین فاش شد که Q Cyber هم در سال ۲۰۲۳ و هم در سال ۲۰۲۴ حدود ۳.۲ میلیون دلار در بانک داشته است.

در طول محاکمه، NSO فاش کرد که واحد تحقیق و توسعه آن – مسئول یافتن آسیب‌پذیری‌ها در نرم‌افزار و کشف نحوه سوءاستفاده از آن‌ها – در سال ۲۰۲۳ حدود ۵۲ میلیون دلار و در سال ۲۰۲۴ حدود ۵۹ میلیون دلار هزینه کرده است. شوهات همچنین گفت که مشتریان NSO Group برای دسترسی به نرم‌افزار جاسوسی پگاسوس «جایی در محدوده» بین ۳ میلیون دلار تا «ده برابر آن» پرداخت می‌کنند.

با در نظر گرفتن این اعداد، این شرکت سازنده نرم‌افزار جاسوسی امیدوار بود با پرداخت غرامت کم یا بدون پرداخت غرامت از این ماجرا خارج شود.

شوهات در طول شهادت خود گفت: «راستش را بخواهید، فکر نمی‌کنم بتوانیم چیزی پرداخت کنیم. ما در تلاشیم تا سرپا بمانیم.» او افزود: «ما به مدیر مالی خود متعهد شده‌ایم که فقط هزینه‌ها را اولویت‌بندی کند و اطمینان حاصل کند که پول کافی برای انجام تعهدات خود داریم، و البته این کار به صورت هفتگی انجام می‌شود.»