Em outubro de 2019, o WhatsApp/Facebook ingressou com uma ação judicial em uma corte da Califórnia/EUA contra a empresa Israelense NSO Group.
A acusação foi o desenvolvimento de malware para acessar mensagens de WhatsApp depois de descriptografadas no aparelho dos usuários do serviço de mensageria.
Between in and around April 2019 and May 2019, Defendants used WhatsApp servers, located in the United States and elsewhere, to send malware to approximately 1,400 mobile phones and devices (“Target Devices”). Defendants’ malware was designed to infect the Target Devices for the purpose of conducting surveillance of specific WhatsApp users (“Target Users”). Unable to break WhatsApp’s end-to-end encryption, Defendants developed their malware in order to access messages and other communications after they were decrypted on Target Devices. Defendants’ actions were not authorized by Plaintiffs and were in violation of WhatsApp’s Terms of Service. In May 2019, Plaintiffs detected and stopped Defendants’ unauthorized access and abuse of the WhatsApp Service and computers.
A defesa formulada pela NSO Group alega que a responsabilidade pelo uso do seu software é dos clientes, nesse caso, Estados-Nacionais. Isso tornaria nula sua posição como réu.
Defendants contend that they cannot be held responsible for designing and marketing spyware and then deploying it using WhatsApp’s U.S.-based servers, including in California, to hack into WhatsApp users’ devices. Instead, Defendants pin blame on unidentified foreign sovereigns.
Esse processo é bem inusitado, pois envolve empresas privadas que já foram acusadas por violação de privacidade em escala global. No caso específico, o WhatsApp reclama pela violação de sigilo de comunicações de mais 1.400 usuários. O NSO Group, por sua vez, alega que as ações foram realizadas por Estados-Nacionais, protegidos pela soberania em suas condutas ofensivas na dimensão cibernética.
Os fatos narrados na ação judicial se referem a abril/maio de 2019. No dia 23/04/2020, o WhatsApp anexou ao processo uma declaração Claudiu Gheorghe, funcionário do app de mensageria, e de Joseph D. Mornin advogado especializado em direito digital, que indicam os seguintes endereços de IP e domínios vinculados aos ataques que teriam sido realizados pelo NSO Group contra usuários do WhatsApp:
-
104.223.76.220 – Los Angeles, California (QuadraNet Enterprises LLC) – 720 instances of the attack
-
54.93.81.200 – Frankfurt Am Main, Germany (Amazon) – 3 instances of the attack
-
sip.nsogroup.com, sip.qtechnologies.com, and sip.2access.xyz – 54.93.81.200
-
sip.q.co, access.2access.co, and access.nsogroup.com
Essa informação fornecida no processo judicial permite que novas vítimas do Pegasus sejam identificadas, pois, considerando que os indicadores de comprometimento foram associados ao NSO Group pela WhatsApp, é possível utilizar os mesmos como forma de identificar ataques pelo referido malware.
Se você sempre esteve curioso para saber se já foi vítima de um ataque APT de um ator estatal, esse pode ser seu dia de sorte (!?).
Outros arquivos do processo (petição inicial e manifestações do WhatsApp) foram anexadas em nosso repositório.