Portal Motherboard concluiu que o NSO Group, empresa israelense, utilizou um IP baseado nos EUA para publicar páginas falsas do Facebook e da FedEx

O NSO Group esteve usando usando uma página de login falsificada do Facebook, criada para parecer um portal interno da equipe de segurança da rede social, capaz de para atrair vítimas para a instalação de spyware. Usou também uma falsificada de rastreamento da FedEx. A descoberta foi anunciada por repórteres do portal Motherboard, praticamente ao mesmo tempo em que o Facebook alega que o NSO Group está usando recursos de infraestrutura baseados nos EUA para lançar ataques de espionagem.

As duas possibilidades são relevantes no processo em que o Facebook busca responsabilizar o grupo por uma série de violações de privacidade por meio do WhatsApp descobertas no ano passado, diz a publicação.

O spyware mais conhecido desenvolvido pelo NSO Group é o Pegasus, em versões para smartphones Android e Apple. Após identificar o dispositivo, ele instala os módulos necessários para ler mensagens e e-mails, monitorar chamadas, capturar telas, registrar teclas pressionadas, copiar o histórico do navegador e executar outras tarefas de vigilância. Acredita-se que ele tenha sido usado na espionagem do dissidente saudita Jamal Khashoggi, de jornalistas que investigam atividades de cartéis no México e muito mais, diz a Motherboard.

“Um ex-funcionário da NSO forneceu à Motherboard o endereço IP de um servidor para infectar telefones com a ferramenta de invasão Pegasus da NSO”, informou a reportagem da Motherboard. “No endereço IP fornecido havia um esquema para instalação do Pegasus com um clique”, disse o ex-funcionário. A investigação da Motherboard foi feita em parceria com os portais DomainTools e o RiskIQ, e envolveu uma revisão dos registros do servidor DNS.

“Ao longo de 2015 e 2016, esse endereço IP foi resolvido para 10 domínios”, diz o texto, um dos quais era da equipe de segurança do Facebook. Os outros foram selecionados para aparecerem como inócuos links de cancelamento de inscrição, e outros foram criados para se parecer com links de rastreamento de pacotes da FedEx.

O processo do WhatsApp alega que o NSO Group usou servidores vulneráveis para enviar malware a aproximadamente 1.400 dispositivos móveis. O CitizenLab, entidade que ajudou na investigação do Facebook sobre o assunto, disse que identificou mais de 100 casos de alvos abusivos em pelo menos 20 países, decorrentes do spyware do NSO Group.

O Facebook também alega ter evidências de que o NSO Group lançou alguns de seus hacks do WhatsApp no ano passado a partir da infraestrutura de nuvem hospedada nos EUA: documentos judiciais juntados ao processo pelo Facebook em abril detalham supostos endereços IP específicos dos EUA usados pelo NSO Group, hospedados pela QuadraNet, na Califórnia, assim como pela Amazon.

Fonte: CISO Advisor