Відомий месенджер WhatsApp здобув значущу юридичну перемогу над ізраїльською компанією NSO Group. Журі зобов’язало виробника шпигунського програмного забезпечення виплатити понад 167 мільйонів доларів збитків. Це рішення стало кульмінацією п’ятирічного судового протистояння, що розпочалося у жовтні 2019 року після звинувачення NSO Group у зламі понад 1 400 користувачів WhatsApp через уразливість у функції аудіовикликів додатка.
Про це розповідає ProIT
Як працювала атака Pegasus через WhatsApp
Під час судових слухань пролунали нові подробиці про механізм кібератаки. Як пояснив адвокат WhatsApp Антоніо Перес, зловмисники використовували так звану «нуль-клікову» атаку — для зараження пристрою жертві навіть не потрібно було нічого натискати. Атака запускалася через фейковий дзвінок у месенджері, після чого інфікований пристрій самостійно завантажував шпигунське ПЗ Pegasus. Для здійснення атаки зловмисникам було достатньо лише номера телефону користувача.
Віце-президент NSO Group з досліджень і розробок Таміра Газнелі зауважив, що
“будь-яке рішення з нуль-кліковою атакою — це значне досягнення для Pegasus”.
Подальші атаки та зв’язки з урядами
Попри судовий позов, NSO Group продовжувала цілеспрямовано атакувати користувачів WhatsApp. За словами Газнелі, одна з версій експлойту під назвою «Erised» використовувалася з кінця 2019 до травня 2020 року. Інші версії — «Eden» та «Heaven» — разом із «Erised» утворювали комплексну атаку «Hummingbird».
NSO Group офіційно підтвердила, що тестувала Pegasus навіть на американському номері телефону для демонстрації можливостей ФБР. Проте спецслужба США так і не впровадила це рішення у роботу.
Серед урядових клієнтів NSO Group фігурують Мексика, Саудівська Аравія та Узбекистан. Представники компанії пояснили, що інтерфейс Pegasus для замовників не дає змоги самостійно обирати спосіб злому — це визначає система автоматично, залежно від цілі.
Фінансовий стан NSO Group і вартість Pegasus
Судові матеріали пролили світло на фінансові труднощі NSO Group. За словами генерального директора Ярона Шохата, компанія у 2023 році зазнала збитків на 9 мільйонів доларів, а у 2024 — на 12 мільйонів. На рахунках NSO Group залишалося лише 5,1 мільйона доларів, а щомісячні витрати сягали 10 мільйонів, в основному на зарплати співробітникам (загалом від 350 до 380 працівників, з яких 50 — у материнській компанії Q Cyber).
Розмір витрат на дослідження і розробки сягав 52 мільйонів доларів у 2023 році та 59 мільйонів у 2024. Вартість ліцензії на шпигунське ПЗ для європейських замовників складала 7 мільйонів доларів, ще близько 1 мільйона коштували «приховані вектори», тобто невидимі для користувача методи впровадження Pegasus. Для деяких країн ціна могла зростати в рази: Саудівська Аравія за кілька років заплатила близько 55 мільйонів доларів, а Мексика — 61 мільйон.
Цікаві деталі про NSO Group
Офіс NSO Group розташований у Герцлії, передмісті Тель-Авіва, в тому ж 14-поверховому бізнес-центрі, що й компанія Apple. NSO займає верхні п’ять поверхів, а Apple — інші приміщення. Примітно, що клієнтами Pegasus часто ставали власники iPhone.
У ході процесу з’ясувалося, що на відміну від багатьох інших виробників шпигунського ПЗ, NSO Group не приховує адресу свого головного офісу.
Розслідування також підтвердило, що NSO Group припинила співпрацю з десятьма урядовими замовниками через зловживання Pegasus та розкрила місцезнаходження понад 1 200 жертв шпигунської компанії.