NSO зобов'язали виплатити $611 мільйонів за злом WhatsApp

Головна — News — NSO зобов’язали виплатити $611 мільйонів за злом WhatsApp

Передумови позову

У травні 2025 року федеральне журі в Північному окрузі Каліфорнії присудило компанії WhatsApp, що належить Meta, 611 мільйонів доларів — 444 мільйони доларів компенсаційних збитків і 167 мільйонів доларів штрафних збитків — після того, як визнало ізраїльську компанію NSO Group відповідальною за використання шпигунського програмного забезпечення Pegasus проти майже 1,400 користувачів WhatsApp. Позов WhatsApp, поданий у 2019 році, став одним із перших великих юридичних викликів, спрямованих проти комерційних продавців експлойтів з нульовим кліком.

Проект curl стикається з фейковими звітами про вразливості, створеними ШІ

2025-05-07

Експлойт без кліка: Технічний аналіз

Основою справи WhatsApp стала вразливість CVE-2019-3568, пов’язана з переповненням буфера в VoIP-стеку WhatsApp. Інженери NSO розробили “безкліковий” експлойт, який ініціював спеціально сформований коректний протокол SDP під час дзвінка WhatsApp. Цілі ніколи не повинні були відповідати; спотворені метадані аудіо викликали переповнення купи, що дозволяло реалізувати ланцюг програмування, орієнтованого на повернення (ROP), який безпосередньо вносив завантаження Pegasus у пам’ять пристрою.

Підтримувані платформи: iOS 12-13 та Android 8-9

Вектор експлойту: пакет SDP через RTP-канал WhatsApp

Комунікація після експлойту: зашифрована C2 через TLS 1.3, сертифікат прив’язаний до інфраструктури NSO

Потрапивши в пам’ять, Pegasus збирав журнали дзвінків, контакти, живий аудіо, натискання клавіш, GPS-дані та повідомлення протоколу Signal. Судово-медична експертиза Citizen Lab підтвердила ін’єкцію через транспорт XMTP WhatsApp та картографування шкідливих доменів, які вели до серверів, що належать NSO в Європі та на Близькому Сході.

Вирок журі та юридичні наслідки

Компенсаційні збитки: 444 мільйони доларів

Штрафні збитки: 167 мільйонів доларів

Загальна сума: 611 мільйонів доларів

Суддя Філліс Дж. Гамільтон вела справу і відхилила аргумент NSO про державний імунітет, вказавши, що контракти компанії чітко дозволяли націлюватися на журналістів, дисидентів та адвокатів. NSO стверджувала, що її інструменти обмежені ліцензованим урядовим використанням у розслідуваннях тероризму та дитячої експлуатації, але внутрішні журнали, які були розкриті під час розслідування, суперечили цим запевненням.

Kubernetes v1.33: політика supplementalGroups перейшла в бета-версію

2025-05-06

Вплив на індустрію кібербезпеки

Експерти з безпеки та захисники приватності визнали цей вирок знаковим моментом. “Це надсилає чіткий сигнал: жодна компанія не стоїть вище закону, коли використовує експлойти нульового дня проти цивільних осіб,” зазначив Джон Скотт-Рейлтон з Citizen Lab. Це рішення підкреслює зростаючі юридичні ризики для постачальників шпигунського програмного забезпечення, доповнюючи санкції Міністерства торгівлі США 2024 року проти NSO та подібних компаній.

Політичні та регуляторні міркування

Зростає заклик до створення міжнародної рамки для регулювання наступальних кіберінструментів. Черговий проект Закону про кіберстійкість ЄС та запропонований Міжнародний кодекс поведінки ООН в галузі інформаційної безпеки отримують імпульс завдяки цій справі. “Регулювання брокерів експлойтів більше не є варіантом — це життєво важливо для глобальних прав людини,” зазначила Єва Гальперін, директор з кібербезпеки Фонду електронного фронту.

Трамп і Мін’юст виступають за звільнення Тіни Пітерс на фоні виборчих суперечок

2025-05-06

Майбутні напрямки та контрзаходи

У відповідь на експлойт WhatsApp прискорив реалізацію свого плану безпеки: впровадження безпечних для пам’яті модулів на Rust для свого VoIP-стеку, розширення тестування на вразливість з AFL++ та LibFuzzer, а також використання апаратних середовищ (Secure Enclave на iOS, TrustZone на Android). Meta також планує впровадження виявлення аномалій у реальному часі з використанням моделей машинного навчання в своїй телеметрії на основі протоколу Signal.

З точки зору оборони, команди безпеки зміцнюють VoIP-сервіси, запроваджують обов’язкову багатофакторну аутентифікацію для адміністраторських консолей і впроваджують мережеві захисти, такі як фільтри eBPF, для виявлення спотворених пакетів SDP до того, як вони досягнуть кінцевих точок.

Думки експертів та наступні кроки

Брюс Шнайєр, експерт з безпеки: “Цей вирок може стати каталізатором для зміцнення реалізацій з відкритим кодом та аудиту спільноти.”

Шеррі Девідофф, фахівець з реагування на інциденти: “Організації повинні впроваджувати управління ризиками в ланцюгах постачання для всіх сторонніх інструментів безпеки.”

З огляду на ослаблення оборони NSO та часткове розкриття її вихідного коду, інші постачальники шпигунського програмного забезпечення стикаються з зростаючим тиском. У той час як індустрія оцінює юридичні та репутаційні наслідки, вирок у справі WhatsApp-NSO стає прецедентом як для жертв, так і для захисників у цифрову епоху.