Ein US-Richter hat angeordnet, dass die NSO Group ihren Quellcode für Pegasus und andere Produkte an Meta übergeben muss, als Teil eines laufenden Rechtsstreits gegen den israelischen Spionagesoftware-Anbieter.
Die Entscheidung ist ein großer rechtlicher Sieg für Meta, das die Klage im Oktober 2019 eingereicht hatte, weil die Infrastruktur des Unternehmens genutzt wurde, um die Spionagesoftware zwischen April und Mai an ungefähr 1.400 Mobilgeräte zu verteilen. Darunter waren auch etwa zwei Dutzend indische Aktivisten und Journalisten.
Die Angriffe nutzten damals eine Zero-Day-Schwachstelle in der Instant-Messaging-App (CVE-2019-3568, CVSS-Score: 9,8), einen kritischen Pufferüberlauffehler in der Sprachanruffunktionalität, um Pegasus allein durch einen Anruf zu platzieren, selbst wenn die Anrufe unbeantwortet blieben.
Zusätzlich dazu enthielt die Angriffskette Schritte, um die eingehenden Anrufinformationen aus den Logs zu löschen, um eine Erkennung zu umgehen.
Gerichtsdokumente, die Ende letzten Monats veröffentlicht wurden, zeigen, dass die NSO Group aufgefordert wurde, „Informationen zur vollen Funktionalität der relevanten Spyware“ vorzulegen, speziell für einen Zeitraum von einem Jahr vor dem angeblichen Angriff bis ein Jahr nach dem angeblichen Angriff (also von April 2018 bis Mai 2020).
Die Firma muss jedoch „zum aktuellen Zeitpunkt keine spezifischen Informationen zur Serverarchitektur bereitstellen“, da WhatsApp „die gleichen Informationen aus der vollen Funktionalität der angeblichen Spyware ableiten könnte.“ Die Identitäten ihrer Kunden müssen ebenfalls nicht offenbart werden.
Die NSO Group wurde 2021 von den USA sanktioniert, weil sie Cyberwaffen an ausländische Regierungen entwickelte und bereitstellte, die diese Tools verwendeten, um „Regierungsbeamte, Journalisten, Geschäftsleute, Aktivisten, Wissenschaftler und Botschaftsmitarbeiter“ böswillig anzugreifen.
Die neuesten Enthüllungen von Recorded Future zeigen eine neue mehrstufige Lieferinfrastruktur, die mit Predator, einer von der Intellexa Alliance betriebenen mobilen Spionagesoftware verbunden ist.
Das Netzwerk der Infrastruktur ist höchstwahrscheinlich mit Predator-Kunden in Ländern wie Angola, Armenien, Botswana, Ägypten, Indonesien, Kasachstan, Mongolei, Oman, den Philippinen, Saudi-Arabien und Trinidad und Tobago verbunden. Es ist erwähnenswert, dass bisher keine Predator-Kunden in Botswana und den Philippinen identifiziert wurden.
„Obwohl Predator-Betreiber auf öffentliche Berichte reagieren, indem sie bestimmte Aspekte ihrer Infrastruktur ändern, scheinen sie mit minimalen Änderungen an ihren Betriebsweisen weiterzumachen; dazu gehören konsistente Tarnungsthemen und Fokussierung auf bestimmte Organisationstypen wie Nachrichtenagenturen, während sie an etablierten Infrastruktursetups festhalten“, so das Unternehmen.