Facebook подал суд на NSO Group за создание эксплойта для WhatsApp

Facebook подал суд на NSO Group за создание эксплойта для WhatsApp

Facebook подал суд на NSO Group за создание эксплойта для WhatsApp

Представители Facebook подали в суд на израильскую компанию NSO Group, занимающуюся продажей шпионских программ. Интернет-гигант считает, что NSO Group напрямую участвовала в эксплуатации 0-day уязвимости в WhatsApp, которая впоследствии использовалась в атаках на 1400 пользователей.

Об опасной проблеме безопасности мессенджера стало известно в мае этого года. Мелькала информация, что якобы сотрудники NSO Group разработали специальный эксплойт, который можно использовать для атаки на функцию VoIP-звонков в WhatsApp.

В ходе подобной атаки жертва получается обычный звонок по WhatsApp, однако специально созданные RTCP-пакеты позволяют атакующему параллельно запустить вредоносный код.

Этот код устанавливает на устройство пользователя набор шпионских программ Pegasus, который разработали специалисты NSO Group. Для данного вида атаки совершенно неважно, какой смартфон предпочитает жертва — Android или iPhone.

На тот момент Facebook быстро выпустил патч, устраняющий вышеописанную уязвимость, однако корпорация удивила всех отсутствием какого-либо официального заявление.

Тем не менее спустя пять месяцев интернет-гигант обозначил свою позицию, которую передало издание Washington Post:

«После нескольких месяцев расследования этого инцидента мы можем наконец сказать, кто стоял за атакой на пользователей WhatsApp. Сегодня мы обратились в федеральный суд с иском в отношении технологической компании NSO Group».

«Мы выяснили, что атакующие использовали серверы и хостинги, ранее замеченные в связи с NSO. Можем отметить, что замести следы у израильской компании вышло не так хорошо, как организовать сложные атаки».

С судебными документами можно ознакомиться по этой ссылке.

19-летнего хакера вычислили по идентификатору Windows

В деле киберпреступной группировки Scattered Spider появился новый поворот: 19-летнего Питера Стоукса, гражданина США и Эстонии, задержали в аэропорту Хельсинки, когда он пытался улететь в Японию. По версии Минюста США, он связан с одной из самых шумных групп последних лет. А помогли выйти на него не только следователи, но и данные Microsoft.

Scattered Spider, также известная как Octo Tempest, UNC3944 и Oktapus, специализируется на социальной инженерии и вымогательстве.

По данным американских властей, группировка получила более $100 млн выкупов. Стоукса обвиняют в сговоре, кибервторжении и мошенничестве.

Ключевой эпизод дела — атака на американского продавца люксовых украшений в мае 2025 года. Злоумышленники якобы позвонили в ИТ-поддержку компании через Google Voice, представились сотрудниками и уговорили сбросить им учётные данные.

После этого они проникли в три аккаунта, два из которых имели права администратора, украли данные и потребовали $8 млн в криптовалюте. Компания выкуп не заплатила и вернула контроль над инфраструктурой, но простой, по утверждению следствия, обошелся примерно в $2 млн.

Дальше началась охота по цифровым следам. В материалах дела говорится, что Microsoft передала ФБР данные GDID — Global Device Identifier. Это уникальный идентификатор установки Windows, связанный с телеметрией устройства. С его помощью следователи смогли связать конкретное железо, интернет-активность, IP-адреса, использование инструментов вроде Ngrok, данные Azure и другие события с временными метками.

И тут история становится особенно щекотливой. С одной стороны, телеметрия помогла поймать предполагаемого участника крупной кибербанды. С другой — снова всплыл старый вопрос: сколько именно Windows знает о пользователях и кто ещё теоретически может добраться до таких данных?

При задержании у Стоукса также нашли два жёстких диска с уликами. Сейчас он экстрадирован в США, уже предстал перед федеральным судом в Чикаго и остаётся под стражей. Судя по делу, улететь в Японию было проще, чем улететь от телеметрии Windows.

RSS: Новости на портале Anti-Malware.ru