Как Meta ликвидировала новейшую фишинговую инфраструктуру NSO Group

Доверяете ли вы своему мессенджеру защиту от самых искушенных наемников в мире? Я спрашиваю об этом, потому что даже при наличии сквозного шифрования настоящая битва происходит на «краях» программного обеспечения. Недавно компания Meta снова поймала NSO Group на попытке взлома. Это не просто очередная игра в кошки-мышки между технологическим гигантом и поставщиком ПО. Это прямое нарушение постановления федерального суда. С точки зрения рисков, этот инцидент показывает, что устойчивые киберпреступники не останавливаются после проигрыша в суде. Они просто меняют свою инфраструктуру и пытаются войти в другую дверь.

В понедельник Meta объявила, что обнаружила и заблокировала серию попыток целевого фишинга (spear-phishing), связанных с израильским поставщиком шпионского ПО. Теперь компания подает ходатайство о признании NSO Group виновной в неуважении к суду. Этот шаг вызван тем, что NSO Group нарушила бессрочный судебный запрет, который запрещал ей атаковать WhatsApp и его пользователей. За кулисами команды безопасности Meta отслеживали вредоносные домены и неавторизованные учетные записи, которые шпионская фирма использовала для содействия этим атакам.

Архитектура атаки в один клик

Фишинг остается цифровым «троянским конем» даже для самых защищенных систем. В этой последней кампании NSO Group использовала вредоносные ссылки для перевода целей на внешние веб-сайты. Это фишинговые кампании «в один клик» (1-click). Они требуют от пользователя взаимодействия со ссылкой всего один раз, чтобы скомпрометировать устройство. Как только пользователь нажимает на ссылку, браузер обычно переходит на сайт, который доставляет вредоносную нагрузку или собирает учетные данные. Meta идентифицировала три конкретных домена в этой кампании: fr24cast[.]com, ghazacast[.]com и ikhwancast[.]com.

Сегодня утром я потратил час на анализ конвенций именования этих доменов. Они имитируют новостные или погодные службы. Это распространенная тактика, позволяющая усыпить бдительность цели. С точки зрения конечного пользователя, ссылка, которая выглядит как обновление местных новостей, гораздо менее подозрительна, чем строка случайных символов. NSO Group известна таким вниманием к деталям. Они не просто отправляют ссылку; они создают легенду. На архитектурном уровне эти домены служат плацдармом для шпионского ПО Pegasus. Эта программа известна своей способностью извлекать сообщения, фотографии и данные о местоположении как с устройств Android, так и с iOS.

Нарушение бессрочного судебного запрета

Правовые рамки сильны лишь настолько, насколько сильно их соблюдение. Meta добивается этого соблюдения прямо сейчас. В 2023 году суд США признал NSO Group ответственной за нарушение федеральных законов после того, как она использовала серверы WhatsApp для внедрения шпионского ПО 1400 лицам. Это решение привело к штрафу в размере около 168 миллионов долларов. Что еще более важно, оно включало бессрочный судебный запрет. Этот юридический барьер запретил NSO Group когда-либо снова получать доступ к системам WhatsApp.

Создавая новые тестовые учетные записи и группы, NSO Group нарушила и дух, и букву этого запрета. Meta поймала компанию на создании этих аккаунтов для проверки того, как их фишинговые ссылки отображаются в приложении. Я видел подобное поведение в своих собственных лабораторных средах. Злоумышленнику нужно видеть то, что видит цель. Им нужно убедиться, что предварительный просмотр ссылки выглядит легитимно, а сообщение не активирует автоматический спам-фильтр. Meta немедленно удалила эти учетные записи и группы. Такая упреждающая защита необходима, поскольку NSO Group имеет историю системных усилий по обходу механизмов безопасности.

Пределы сквозного шифрования

Я часто слышу, как люди говорят, что WhatsApp безопасен, потому что он зашифрован. Это опасное упрощение. Шифрование защищает данные в процессе передачи. Это неразрушимый цифровой сейф для вашего сообщения, пока оно идет от вашего телефона к телефону друга. Однако шифрование бесполезно, если злоумышленник скомпрометировал конечную точку. Если хакер получил контроль над вашим телефоном через Pegasus, он может прочитать ваши сообщения до того, как они будут зашифрованы, или после того, как они будут расшифрованы.

Фишинг — это мост, который позволяет злоумышленникам пересечь ров шифрования. NSO Group не пытается взломать протокол Signal, который использует WhatsApp. Они знают, что он математически надежен. Вместо этого они нацеливаются на человека, использующего приложение. Вот почему Meta подталкивает пользователей к строгим настройкам учетной записи. Эти настройки уменьшают поверхность атаки. Они превращают приложение в более приватную среду, где с вами могут взаимодействовать только известные контакты.

Укрепление «человеческого брандмауэра»

Безопасность — это процесс, а не продукт. Meta сейчас поощряет лиц из группы высокого риска использовать дополнительную функцию безопасности, которая работает как режим блокировки. Это предназначено для журналистов, активистов и правительственных чиновников, которые могут стать мишенями для NSO Group. Когда вы включаете эти строгие настройки, приложение ограничивает функциональность для повышения безопасности. Например, оно отключает предварительный просмотр ссылок. Хотя предпросмотр удобен, он требует, чтобы приложение обратилось к веб-сайту для получения изображения и описания. Злоумышленник может использовать этот процесс для сбора информации об IP-адресе цели или типе устройства.

В случае взлома эти настройки обеспечивают уровень устойчивости. Строгий режим также блокирует фото профиля, сведения «о себе» и статус «в сети», делая их доступными только для контактов. Это предотвращает добавление вас в группы неизвестными аккаунтами. Это шаг к модели «нулевого доверия» (zero-trust) на уровне пользователя. Она предполагает, что любое сообщение из неизвестного источника является потенциальной угрозой. Следовательно, пользователь находится в большей безопасности, потому что приложение больше не доверяет внешним данным по умолчанию.

Геополитический вес частного шпионского ПО

Этот конфликт происходит не только между двумя компаниями. Это вопрос международной безопасности. В 2021 году Министерство торговли США добавило NSO Group в черный список. Это было сделано потому, что инструменты компании позволяли иностранным правительствам осуществлять транснациональные репрессии. Правительство США решило, что деятельность NSO противоречит интересам национальной безопасности. Это последнее обнаружение со стороны Meta доказывает, что черный список и предыдущие штрафы не остановили операции NSO.

С точки зрения форензики, обнаружение этих трех доменов дает след для других исследователей безопасности. Когда Meta публикует эти индикаторы компрометации (IoC), это позволяет аналитикам SOC по всему миру проверять свои логи. Я видел, как одна маленькая крупица данных от такой компании, как Meta, может разоблачить гораздо более масштабную кампанию, спонсируемую государством. Эти домены теперь являются токсичными активами для NSO. Сколько бы раз они ни меняли свои названия, структура их инфраструктуры остается узнаваемой для тех, кто знает, куда смотреть.

Внедрение проактивной защиты

Если вы работаете в сфере, где ваши данные являются целью, вы не можете полагаться на настройки по умолчанию. Обновление программного обеспечения — это первый шаг, но это похоже на заделывание пробоин в корпусе корабля. Вы также должны изменить то, как вы взаимодействуете с ПО. Говоря проактивно, вам следует проверять свои настройки конфиденциальности не реже одного раза в квартал. Это особенно актуально сейчас, когда фишинг на базе ИИ делает вредоносные сообщения еще более трудными для распознавания.

Meta поступает правильно, возвращая это дело в зал суда. Штраф в 168 миллионов долларов явно не стал достаточным сдерживающим фактором для компании, которая продает дорогостоящие эксплойты целым государствам. Приказ о неуважении к суду влечет за собой более серьезные последствия. Это может привести к дальнейшему раскрытию внутренних механизмов работы NSO или даже к более значительным финансовым санкциям. Для всех остальных это напоминание о том, что периметр нашей цифровой жизни постоянно находится под давлением.

Практические шаги для пользователей из группы риска

Если вы считаете, что подвергаетесь риску сложных кибератак, немедленно предпримите следующие шаги для защиты своего аккаунта.

1. Включите двухшаговую проверку. Это добавит PIN-код, который потребуется для повторной регистрации вашего номера телефона в WhatsApp.
2. Выключите предварительный просмотр ссылок. Это предотвратит автоматическое подключение приложения к веб-сайтам, которые вы не посещали.
3. Ограничьте приглашения в группы. Установите значение «Мои контакты», чтобы незнакомцы не могли добавлять вас в вредоносные группы.
4. Обновите операционную систему. Pegasus часто полагается на уязвимости нулевого дня в iOS или Android.
5. Ограничьте видимость профиля. Убедитесь, что ваше фото профиля и статус «Был(а) в...» видны только людям, которых вы знаете.

Эти шаги не сделают вас невидимым. Они сделают вас трудной целью. Коммерческие шпионские фирмы ищут путь наименьшего сопротивления. Если вы закроете легкие двери, они могут переключиться на кого-то другого.

Источники

• NIST Special Publication 800-207: Zero Trust Architecture
• MITRE ATT&CK Framework: Software Techniques for NSO Group Pegasus
• U.S. Department of Commerce: Entity List Additions for Malicious Cyber Activities
• WhatsApp Security Whitepaper: End-to-End Encryption Protocols

Данная статья предназначена исключительно для информационных и образовательных целей. Она не заменяет профессиональный аудит кибербезопасности или услуги по реагированию на инциденты.