Un giudice statunitense ha ordinato al gruppo hacker noto come NSO Group di consegnare il codice sorgente di Pegasus e di altri prodotti a Meta, come parte della continua contesa legale del gigante dei social media contro il fornitore israeliano di spyware.
Il destino del NSO Group e del codice sorgente rubato a META
La decisione rappresenta una vittoria legale significativa per Meta, che ha intentato la causa legale nell’ottobre 2019 accusando l’NSO Group di utilizzare la sua infrastruttura per distribuire lo spyware su circa 1.400 dispositivi mobili tra aprile e maggio; tra i bersagli vi erano anche due dozzine di attivisti e giornalisti indiani.
Questi attacchi hanno sfruttato una vulnerabilità zero-day nell’app di messaggistica istantanea (CVE-2019-3568, punteggio CVSS: 9.8), una grave falla di overflow del buffer nella funzionalità di chiamata vocale, per consegnare Pegasus con la semplice azione di effettuare una chiamata, anche in scenari in cui le chiamate venivano lasciate senza risposta.
Inoltre, la catena di attacchi includeva passaggi per cancellare le informazioni sulla chiamata in arrivo dai registri nel tentativo di eludere la rilevazione.
I documenti giudiziari rilasciati il mese scorso mostrano che la NSO Group è stata richiesta di “fornire informazioni sulla piena funzionalità dello spyware in questione“, nello specifico per un periodo di un anno prima del presunto attacco fino a un anno dopo il presunto attacco (ovvero, dal 29 aprile 2018 al 10 maggio 2020).
Detto questo, l’azienda non è tenuta a “fornire informazioni specifiche sulla struttura del server in questo momento” perché WhatsApp “sarebbe in grado di ottenere le stesse informazioni dalla piena funzionalità del presunto spyware“; forse in modo più significativo, è stata risparmiata dal condividere le identità dei suoi clienti.
“Sebbene la decisione del tribunale sia uno sviluppo positivo, è deludente [sapere] che l’NSO Group sarà consentito continuare a mantenere segreta l’identità dei suoi clienti, responsabili di questo mirato illegale“, ha dichiarato Donncha Ó Cearbhaill, responsabile del Security Lab di Amnesty International.
NSO Group è stato sanzionato dagli Stati Uniti nel 2021 per lo sviluppo e la fornitura di armi informatiche a governi stranieri che “hanno utilizzato questi strumenti per mirare maliziosamente a funzionari governativi, giornalisti, uomini d’affari, attivisti, accademici e lavoratori delle ambasciate“.
Tuttavia, Meta sta affrontando una crescente attenzione da parte di gruppi per la privacy e dei consumatori dell’Unione Europea a causa del suo modello di abbonamento “paga o acconsenti” (alias paga o acconsenti), che definiscono come una scelta tra pagare una “tassa sulla privacy” e acconsentire al tracciamento da parte dell’azienda.
“Questo impone un modello di business in cui la privacy diventa un lusso piuttosto che un diritto fondamentale, rafforzando direttamente l’esclusione discriminatoria esistente dall’accesso al mondo digitale e al controllo dei dati personali“, hanno dichiarato, aggiungendo che questa pratica minerebbe le normative GDPR.
Questa situazione si presenta mentre Recorded Future ha rivelato una nuova infrastruttura di consegna multinota associata a Predator, uno spyware mobile mercenario gestito dall’Intellexa Alliance.
La rete di infrastrutture è molto probabilmente associata ai clienti di Predator, inclusi paesi come Angola, Armenia, Botswana, Egitto, Indonesia, Kazakistan, Mongolia, Oman, Filippine, Arabia Saudita e Trinidad e Tobago; è importante notare che non erano stati identificati clienti di Predator in Botswana e nelle Filippine fino a questo momento.
“Sebbene gli operatori di Predator rispondano alle segnalazioni pubbliche modificando alcuni aspetti della loro infrastruttura, sembrano persistere con modifiche minime alle loro modalità operative; queste includono temi di spoofing coerenti e il focus su tipi di organizzazioni, come agenzie di stampa, mantenendo le configurazioni di infrastruttura stabilite“, ha dichiarato l’azienda.
Sekoia, nel suo rapporto sull’ecosistema dello spyware Predator, ha dichiarato di aver trovato tre domini correlati a clienti in Botswana, Mongolia e Sudan, affermando di aver rilevato un “aumento significativo del numero di domini maliziosi generici che non forniscono indicazioni sulle entità e sui possibili clienti [che potrebbero essere] bersagli“.