WhatsAppによる監視:イスラエルのスパイウェア会社NSOに対する訴訟、および攻撃がどのように発生したか
WhatsAppに従って、NSOはWhatsAppアプリをリバースエンジニアリングし、WhatsAppサーバーを介して悪意のあるコード(検出されない)をターゲットデバイスに送信するために、正当なWhatsAppネットワークトラフィックをエミュレートできるようにするプログラムを開発しました。
WhatsAppは、トロント大学のMunkSchoolに本拠を置く学術研究グループであるCitizenLabのサイバーセキュリティ専門家を招き、攻撃の詳細を調べました。 暗号化されたメッセージング機能を誇るWhatsAppには、 苦情を申し立てた スパイウェア会社NSOGroupとその親会社QCyberTechnologiesが少なくとも標的にしたと非難するカリフォルニアの裁判所で 1,400ユーザー 世界中で。
WhatsAppが主張していること
WhatsAppはそれを主張します 2019年5月に攻撃を検出しました そして、NSOがWhatsAppVOIPスタックのバッファオーバーフローの脆弱性を悪用して送信することを発見しました ペガサス ユーザーが受信した呼び出しに応答しなくても、ターゲットデバイスへのマルウェア。
ワシントンポストの記事で、WhatsAppの責任者であるWill Cathcartは、攻撃者が以前はNSOに関連付けられていたサーバーとインターネットホスティングサービスを使用し、攻撃中に使用された特定のWhatsAppアカウントをNSOに結び付けたため、攻撃をNSOにリンクできると主張しました。彼らの攻撃は非常に洗練されていたが、彼らのトラックをカバーする試みは完全には成功しなかった、と彼は10月30日の意見記事に書いた。
WhatsAppは、トロント大学のMunkSchoolに本拠を置く学術研究グループであるCitizenLabのサイバーセキュリティ専門家を招き、攻撃の詳細を調べました。事件の調査の一環として、シチズンラボは、アフリカ、アジア、ヨーロッパ、中東、北米に至るまで、世界の少なくとも20か国で人権擁護家やジャーナリストを虐待した100件以上の事例を特定しました。 NovalpinaCapitalがNSOGroupを買収し、新しい所有者が虐待を抑制するという物語を促進するために継続的な広報キャンペーンを開始した後に行われた、と彼らのサイトの投稿は述べています。
訴訟の内容
WhatsApp訴訟は、NSOがどのようにシードしたとされるかについての洞察を提供します Pegasusスパイウェア ターゲットデバイスで。
訴訟では、被告(NSO)がWhatsAppアカウントやリモートサーバーなどのさまざまなコンピューターインフラストラクチャをセットアップし、WhatsAppアカウントを使用して、ターゲットデバイスに悪意のあるコードを密かに注入するように設計された原告のサーバーを介して通話を開始したと主張しています。次に、悪意のあるコードが一部のターゲットデバイスで実行され、それらのターゲットデバイスと被告が制御するコンピューター(「リモートサーバー」)との間に接続が作成されました。
訴訟では、2018年1月から2019年5月の間に、NSOはキプロス、イスラエル、ブラジル、インドネシア、スウェーデン、オランダなどのさまざまな郡で登録された電話番号を使用してWhatsAppアカウントを作成したと主張しています。また、マルウェアを配布し、コマンドをターゲットデバイスに中継することを目的としたリモートサーバーのネットワークにターゲットデバイスを接続するために、米国を含むさまざまな国でサーバーとインターネットホスティングサービスをリースしました。
WhatsAppは、これらのサーバーがChoopa、Quadranet、Amazon WebServicesなどによって所有されていると主張しました。悪意のあるサーバーの1つのIPアドレスは、以前は被告が使用したサブドメインに関連付けられていました。
ポッドキャスト:WhatsApp Pegasus攻撃、その影響、および政府の対応
NSOは、通常のネットワークプロトコルの一部に隠された、原告のサーバー(シグナリングサーバーやリレーサーバーなど)を介して悪意のあるコードをルーティングし、ルーティングさせたと主張しました。 WhatsAppのシグナリングサーバーは異なるデバイス間の通話の開始を容易にし、リレーサーバーはサービスを介した特定のデータ送信を支援します。これは、サーバーが米国の法律の下で保護されたコンピューターと見なされたため、許可されておらず違法であるとWhatsAppは主張しています。
WhatsAppに従って、NSOはWhatsAppアプリをリバースエンジニアリングし、WhatsAppサーバーを介して悪意のあるコード(検出されない)をターゲットデバイスに送信するために、正当なWhatsAppネットワークトラフィックをエミュレートできるようにするプログラムを開発しました。 WhatsApp Signaling Serversに組み込まれている技術的な制限を回避するために、訴訟では、被告は、悪意のあるコードを含む通話開始メッセージを正当な通話のようにフォーマットし、通話設定内にコードを隠したと主張しました。被告の呼び出しがターゲットデバイスに配信されると、ターゲットユーザーが呼び出しに応答しなかった場合でも、ターゲットデバイスのメモリに悪意のあるコードが挿入されました。
また読む| 5月の警告に加えて、WhatsAppは9月に121人のインド人が違反したことで別の警告を送信しました
NSOが米国のコンピューター犯罪取締法、カリフォルニアの包括的なコンピューターデータアクセスおよび詐欺法に違反し、WhatsAppとの契約に違反し、不法に不法侵入したと主張し、WhatsAppは、WhatsAppおよびFacebookのサービス、プラットフォーム、およびコンピューターシステム、WhatsAppまたはFacebookアカウントの作成または維持、およびシステムの中断、品質の低下、干渉を引き起こす活動に従事すること。メッセージングプラットフォームも損害賠償を求めています。
2019年5月以降のイベントのタイムライン 説明:スパイウェアPegasusがどのように機能したか
シチズンラボによると、NSO Group / Q Cyber Technologiesの主力スパイウェアには多くの名前があり、Pegasusは一般的に使用されているものの1つにすぎません。 Q Suiteとも呼ばれ、iOSデバイスとAndroidデバイスの両方に侵入できます。ターゲットをスパイするために、オペレーターは複数のベクターを使用してオペレーティングシステムのセキュリティ機能に侵入し、ユーザーの知らないうちに許可なくPegasusをサイレントインストールします。この場合、ベクターは見逃されたWhatsApp Callでしたが、Citizen Labは、ソーシャルエンジニアリングを使用してターゲットをだましてリンクをクリックさせるなど、他のケースを特定したと主張しています。インストールされると、Pegasusはオペレーターのコマンドアンドコントロール(C&C)サーバーへの接続を開始して、コマンドを受信および実行したり、パスワードやテキストメッセージなどの重要な情報を送り返したりすることができます。また、オペレーターがデバイスのカメラまたはマイクをオンにし、リアルタイムで位置を追跡するのにも役立ちます。フットプリントを残さないように設計されており、最小帯域幅も使用します。
Explainedをお見逃しなく: パキスタンのアザディマーチが合図するもの
友達と共有してください:
