NSO Group gebruikte onbekende WhatsApp-exploit voor spyware-aanval
NSO Group gebruikte een onbekende WhatsApp-exploit voor het infecteren van gebruikers met spyware nadat het door WhatsApp was aangeklaagd vanwege een andere actief gebruikte kwetsbaarheid. Dat blijkt uit gerechtelijke documenten, zo meldt spyware-onderzoeker John Scott-Railton van Citizen Lab (pdf). WhatsApp besloot NSO Group aan te klagen nadat veertienhonderd WhatsApp-gebruikers met de Pegas-spyware van het bedrijf besmet waren geraakt.
Het ging onder andere om journalisten, mensenrechtenactivisten en overheidsfunctionarissen. Pegasus is spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid.
Volgens de gerechtelijke documenten beschikte NSO Group over drie verschillende exploits, 'Heaven', 'Eden' en 'Erised', om WhatsApp-gebruikers met Pegasus te infecteren. Heaven was een aangepaste client-applicatie genaamd WhatsApp Installation Server. Deze server kon zich voordoen als de officiële client om toegang tot de servers van WhatsApp te krijgen en berichten te versturen, waaronder gespreksinstellingen. Heaven werd in 2018 getest en kort daarna aan klanten aangeboden, aldus de documenten. Via Heaven was het mogelijk om de WhatsApp-servers zover te krijgen dat die doelwit telefoons naar een third-party relay server van NSO Group wezen. In september en december 2018 kwam WhatsApp met updates voor Heaven.
In februari 2019 ontwikkelde NSO Group de Eden-exploit, waarmee veertienhonderd WhatsApp-gebruikers zonder enige interactie met Pegasus werden besmet. WhatsApp ontdekte dit in mei 2019 en blokkeerde de exploit. In oktober 2019 werd NSO Group door WhatsApp aangeklaagd. Het bedrijf had na de ontdekking van de Eden-exploit een nieuwe exploit ontwikkeld genaamd Erised, en bleef die tot zeker mei 2020 aan klanten aanbieden, zelfs na de aanklacht door WhatsApp.
Erised gebruikte ook WhatsApp-servers om de Pegasus-spyware te installeren. Exacte details zijn verder niet gegeven. De exploit werd uiteindelijk door WhatsApp ontdekt. Volgens NSO waren de gebruikte exploits succesvol en kon daardoor Pegasus op tussen de "honderden en tienduizenden" toestellen worden geïnstalleerd. De Volkskrant meldde in 2022 dat de AIVD ook gebruik had gemaakt van de Pegasus-spyware.
Het schijnt daar één grote machocultuur te zijn onder de bazen en hun ondergeschikten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
