Come Meta ha smantellato l'ultima infrastruttura di phishing di NSO Group

Ti fidi della tua app di messaggistica per proteggerti dai mercenari più sofisticati al mondo? Lo chiedo perché, anche con la crittografia end-to-end, la vera battaglia avviene ai margini del software. Meta ha recentemente sorpreso NSO Group mentre cercava di forzare nuovamente la serratura. Questo non è solo l'ennesimo gioco del gatto e del topo tra un colosso tecnologico e un fornitore di software. Si tratta di una violazione diretta di un ordine di un tribunale federale. Dal punto di vista del rischio, questo incidente rivela che gli attori di minacce persistenti non si fermano quando perdono una battaglia legale. Semplicemente cambiano la loro infrastruttura e provano da un'altra porta.

Meta ha annunciato lunedì di aver rilevato e bloccato una serie di tentativi di spear-phishing collegati al fornitore israeliano di spyware. L'azienda sta ora presentando un'istanza di oltraggio alla corte federale contro NSO Group. Questa mossa arriva perché NSO Group ha violato un'ingiunzione permanente che le vietava di colpire WhatsApp e i suoi utenti. Dietro le quinte, i team di sicurezza di Meta hanno tracciato domini malevoli e account non autorizzati che l'azienda di spyware utilizzava per facilitare questi attacchi.

L'architettura di un attacco one-click

Il phishing rimane un cavallo di Troia digitale anche per i sistemi più protetti. In questa ultima campagna, NSO Group ha utilizzato link malevoli per indirizzare i bersagli verso siti web esterni. Si tratta di campagne di phishing "1-click". Richiedono che l'utente interagisca con un link una sola volta per compromettere un dispositivo. Una volta che l'utente clicca, il browser solitamente naviga verso un sito che distribuisce un payload o raccoglie credenziali. Meta ha identificato tre domini specifici in questa campagna: fr24cast[.]com, ghazacast[.]com e ikhwancast[.]com.

Ho trascorso un'ora stamattina analizzando le convenzioni di denominazione di questi domini. Imitano servizi di notizie o meteo. Questa è una tattica comune per abbassare la guardia di un bersaglio. Dal punto di vista dell'utente finale, un link che sembra un aggiornamento di notizie locali è molto meno sospetto di una stringa di caratteri casuali. NSO Group è nota per questo livello di dettaglio. Non inviano solo un link; costruiscono una narrazione. A livello architettonico, questi domini fungono da base operativa per lo spyware Pegasus. Questo software è famoso per la sua capacità di estrarre messaggi, foto e dati sulla posizione sia da dispositivi Android che iOS.

Violazione dell'ingiunzione permanente

I quadri legali sono forti tanto quanto l'esecuzione che ne deriva. Meta sta spingendo per quell'esecuzione ora. Nel 2023, un tribunale statunitense ha ritenuto NSO Group responsabile di aver violato le leggi federali dopo aver sfruttato i server di WhatsApp per distribuire spyware a 1.400 individui. Quella sentenza ha comportato una multa di circa 168 milioni di dollari. Cosa più importante, includeva un'ingiunzione permanente. Questo ostacolo legale proibiva a NSO Group di accedere nuovamente ai sistemi di WhatsApp.

Creando nuovi account di test e gruppi, NSO Group ha aggirato lo spirito e la lettera di quell'ingiunzione. Meta ha sorpreso l'azienda a creare questi account per verificare come apparissero i loro link di phishing all'interno dell'app. Ho visto questo comportamento nei miei ambienti di laboratorio. Un attaccante ha bisogno di vedere ciò che vede il bersaglio. Devono assicurarsi che l'anteprima del link sembri legittima e che il messaggio non attivi un filtro antispam automatico. Meta ha rimosso immediatamente questi account e gruppi. Questa difesa proattiva è necessaria perché NSO Group ha una storia di sforzi sistemici per eludere i controlli di sicurezza.

I limiti della crittografia end-to-end

Sento spesso dire che WhatsApp è sicuro perché è crittografato. Questa è una semplificazione pericolosa. La crittografia protegge i dati in transito. È una cassaforte digitale infrangibile per il tuo messaggio mentre viaggia dal tuo telefono a quello di un amico. Tuttavia, la crittografia non serve a nulla se l'attaccante compromette l'endpoint. Se un hacker ha il controllo del tuo telefono tramite Pegasus, può leggere i tuoi messaggi prima che vengano crittografati o dopo che sono stati decifrati.

Il phishing è il ponte che permette agli attaccanti di attraversare il fossato della crittografia. NSO Group non cerca di rompere il protocollo Signal utilizzato da WhatsApp. Sanno che è matematicamente solido. Invece, colpiscono l'essere umano che usa l'app. Ecco perché Meta sta spingendo gli utenti verso impostazioni dell'account rigorose. Queste impostazioni riducono la superficie di attacco. Trasformano l'app in un ambiente più privato dove solo i contatti conosciuti possono interagire con te.

Rafforzare il firewall umano

La sicurezza è un processo, non un prodotto. Meta sta ora incoraggiando le persone ad alto rischio a utilizzare una funzione di sicurezza opzionale che funziona come una modalità di blocco. Questa è destinata a giornalisti, attivisti e funzionari governativi che sono probabili bersagli di NSO Group. Quando si attivano queste impostazioni rigorose, l'app limita le funzionalità per aumentare la sicurezza. Ad esempio, disattiva le anteprime dei link. Sebbene le anteprime dei link siano comode, richiedono che l'app contatti un sito web per recuperare un'immagine e una descrizione. Un attaccante può usare questo processo per raccogliere informazioni sull'indirizzo IP del bersaglio o sul tipo di dispositivo.

In caso di violazione, queste impostazioni forniscono uno strato di resilienza. La modalità rigorosa blocca anche le foto del profilo, i dettagli delle informazioni e lo stato online solo ai contatti. Impedisce ad account sconosciuti di aggiungerti ai gruppi. Si tratta di un passaggio verso un modello zero-trust a livello utente. Presuppone che qualsiasi comunicazione da una fonte sconosciuta sia una potenziale minaccia. Di conseguenza, l'utente è più sicuro perché l'app non si fida più degli input esterni per impostazione predefinita.

Il peso geopolitico dello spyware privato

Questo conflitto non è solo tra due aziende. È una questione di sicurezza internazionale. Nel 2021, il Dipartimento del Commercio degli Stati Uniti ha aggiunto NSO Group a una lista di blocco. Questo perché gli strumenti dell'azienda permettevano ai governi stranieri di condurre repressioni transnazionali. Il governo degli Stati Uniti ha deciso che le attività di NSO erano contrarie agli interessi di sicurezza nazionale. Quest'ultimo rilevamento da parte di Meta dimostra che la lista di blocco e le multe precedenti non hanno fermato le operazioni di NSO.

Da un punto di vista forense, la scoperta di questi tre domini fornisce una traccia per altri ricercatori di sicurezza. Quando Meta pubblica questi indicatori di compromissione, permette agli analisti SOC di tutto il mondo di controllare i propri log. Ho visto come un piccolo dato proveniente da un'azienda come Meta possa scoperchiare una campagna sponsorizzata da uno stato molto più ampia. Questi domini sono ora asset tossici per NSO. Non importa quante volte cambino i loro nomi, il modello della loro infrastruttura rimane riconoscibile per chi sa dove guardare.

Implementare una difesa proattiva

Se lavori in un campo in cui i tuoi dati sono un bersaglio, non puoi fare affidamento sulle impostazioni predefinite. Aggiornare il software è il primo passo, ma è come tappare i buchi nello scafo di una nave. Devi anche cambiare il modo in cui interagisci con il software. Parlando in modo proattivo, dovresti controllare le tue impostazioni sulla privacy almeno una volta al trimestre. Questo è particolarmente vero poiché il phishing guidato dall'intelligenza artificiale rende i messaggi malevoli ancora più difficili da individuare.

Meta sta facendo la cosa giusta riportando la questione in tribunale. Una multa di 168 milioni di dollari non è stata chiaramente un deterrente sufficiente per un'azienda che vende exploit di alto valore agli stati-nazione. Un ordine di oltraggio comporta conseguenze più gravi. Potrebbe portare a ulteriori scoperte sul funzionamento interno di NSO o a sanzioni finanziarie ancora più significative. Per tutti gli altri, è un promemoria che il perimetro delle nostre vite digitali è costantemente sotto pressione.

Passaggi pratici per utenti ad alto rischio

Se ritieni di essere a rischio di attacchi informatici sofisticati, segui immediatamente questi passaggi per blindare il tuo account.

1. Abilita la verifica in due passaggi. Questo aggiunge un PIN richiesto per registrare nuovamente il tuo numero di telefono con WhatsApp.
2. Disattiva le anteprime dei link. Questo impedisce all'app di connettersi automaticamente a siti web che non hai visitato.
3. Limita gli inviti ai gruppi. Imposta su "I miei contatti" per impedire a sconosciuti di aggiungerti a gruppi malevoli.
4. Aggiorna il tuo sistema operativo. Pegasus spesso si affida a vulnerabilità zero-day in iOS o Android.
5. Limita la visibilità del profilo. Assicurati che la tua foto del profilo e lo stato "Ultimo accesso" siano visibili solo alle persone che conosci.

Questi passaggi non ti rendono invisibile. Ti rendono un bersaglio difficile. Le aziende di spyware mercenario cercano la via di minor resistenza. Se chiudi le porte facili, potrebbero passare a qualcun altro.

Fonti

• NIST Special Publication 800-207: Zero Trust Architecture
• MITRE ATT&CK Framework: Software Techniques for NSO Group Pegasus
• U.S. Department of Commerce: Entity List Additions for Malicious Cyber Activities
• WhatsApp Security Whitepaper: End-to-End Encryption Protocols

Questo articolo è solo a scopo informativo ed educativo. Non sostituisce un audit di sicurezza informatica professionale o un servizio di risposta agli incidenti.