Мессенджер WhatsApp прервал очередную попытку распространения программы-шпиона Pegasus, связанную с израильской компанией NSO Group. Этот разработчик коммерческого шпионского программного обеспечения давно находится под пристальным вниманием регуляторов и правозащитников. Вслед за блокировкой атаки WhatsApp обратился в суд с требованием признать NSO Group виновной в неуважении к суду - компания проигнорировала постоянный запрет, наложенный американским правосудием ещё в 2025 году. Тот исторический вердикт навсегда запретил NSO Group получать доступ к платформе WhatsApp и её пользователям.
Описание
Новый инцидент подтверждает, что, несмотря на судебные ограничения и включение в список организаций, угрожающих национальной безопасности США (Entity List), NSO Group не прекращает попыток атаковать пользователей. Как пояснили представители WhatsApp, злоумышленники применяли метод spear-phishing (целевые фишинговые атаки), чтобы доставить шпионскую программу Pegasus. Вектор атаки требовал от жертвы всего одного клика по вредоносной ссылке. Потенциальных целей заманивали на внешние домены, где происходило заражение устройства.
Кампанию обнаружили после жалоб пользователей. В WhatsApp провели внутреннее расследование, в ходе которого выявили и заблокировали инфраструктуру, управляемую атакующими. В неё входили тестовые учётные записи и вредоносные группы, созданные непосредственно в мессенджере. Компания подчеркнула, что эти действия напрямую нарушают судебный запрет, выданный после того, как суды признали NSO Group виновной в нарушении федеральных законов США и законов отдельных штатов, запрещающих взлом.
WhatsApp уже подал ходатайство о признании NSO Group находящейся в неуважении к суду. Это шаг к эскалации правового давления на разработчика шпионских инструментов. Меры принудительного исполнения становятся жёстче, поскольку компания, несмотря на все ограничения, продолжает искать способы атаковать устройства.
Технический анализ показал, что WhatsApp остаётся для NSO Group привлекательным вектором для атак, но злоумышленники не ограничиваются одной платформой. В судебных показаниях руководители NSO Group ранее признали , что компания активно изучает множество способов проникновения на устройства: через мобильные операционные системы, веб-браузеры и сторонние приложения. Такая многоканальная стратегия объясняет эволюцию самого Pegasus - от эксплойтов, не требующих действий пользователя (zero-click), к более изощрённым методам социальной инженерии, когда прямой взлом становится сложнее из-за обновлений безопасности.
Whatsapp также опубликовал индикаторы компрометации, связанные с этой кампанией. Специалисты по защите информации могут использовать их для выявления угроз независимо от платформы. Среди выявленных вредоносных доменов значатся hxxps://ikhwancast[.]com, hxxps://ghazacast[.]com и hxxps://fr24cast[.]com. Эти адреса применялись в фишинговых приманках, чтобы инициировать заражение уже за пределами мессенджера. Поэтому защитникам необходимо отслеживать активность не только на уровне приложений, но и на сетевом уровне.
Более широкие последствия этой кампании вновь обнажают проблему индустрии коммерческого шпионского ПО. В WhatsApp подчеркнули, что компании, предоставляющие услуги слежки по найму, продолжают нацеливаться на самых разных людей: журналистов, государственных служащих, участников гражданского общества. Такие инструменты представляют прямую угрозу национальной безопасности, особенно когда их применяют в обход правовых норм.
Параллельно с судебными исками WhatsApp объявил о финансовой поддержке инициативы Spyware Accountability Initiative (коалиция по борьбе со шпионским ПО, занимающаяся криминалистическими исследованиями, помощью жертвам и пропагандой против незаконного наблюдения). Этот шаг продолжает сотрудничество с такими организациями, как Citizen Lab, которые сыграли ключевую роль в обнаружении уязвимостей нулевого дня и атрибуции кампаний Pegasus.
Важно отметить, что, несмотря на активность угрозы, сквозное шифрование WhatsApp остаётся неповреждённым. Содержимое сообщений перехватить напрямую невозможно. Однако компания предупредила: если шпионское ПО вроде Pegasus уже установлено на конечном устройстве, шифрование не поможет - вредоносная программа получает доступ ко всем данным на смартфоне, минуя защиту канала связи. Именно поэтому бдительность пользователей и своевременное обновление операционной системы остаются критически важными.
Этот случай демонстрирует устойчивую реальность современного ландшафта угроз: даже когда правовые и технические барьеры становятся выше, опытные разработчики шпионского ПО адаптируют свою тактику. Они всё активнее переходят на социальную инженерию и многоплатформенные атаки, чтобы сохранять доступ к целям высокой ценности. Юридическое давление, безусловно, создаёт препятствия, но не останавливает полностью. Поэтому комбинация правовых мер, технической защиты и поддержки независимых исследователей остаётся единственным способом сдерживать эту индустрию.
Для рядовых пользователей рекомендации просты: всегда обновляйте приложения и операционную систему, не переходите по подозрительным ссылкам, даже если они приходят от знакомых контактов (учётные записи могут быть взломаны), и включайте строгие настройки безопасности в аккаунте WhatsApp. Специалистам же по информационной безопасности стоит обратить внимание на опубликованные индикаторы компрометации и усилить мониторинг сетевого трафика на предмет обращений к указанным доменам.
Индикаторы компрометации
URLs
- https://fr24cast.com
- https://ghazacast.com
- https://ikhwancast.com
