WhatsApp vs NSO Group: nuovi attacchi dopo l’ingiunzione

La battaglia legale tra WhatsApp e NSO Group non è finita con la sentenza storica dello scorso anno: è appena entrata in una nuova fase, e stavolta si gioca sul campo della violazione di un’ingiunzione permanente. WhatsApp ha annunciato di aver rilevato nuovi tentativi di attacco riconducibili a NSO Group, e ha chiesto al tribunale di dichiarare l’azienda israeliana in contempt of court, ovvero in aperto disprezzo dell’ordine del giudice.

Per chi non ha seguito la storia: l’anno scorso un tribunale federale americano aveva stabilito che NSO aveva violato le leggi federali e statali sull’hacking, emettendo un’ingiunzione permanente che le vietava di prendere di mira WhatsApp e i suoi utenti. NSO Group è già nella lista nera del governo USA per azioni contrarie alla sicurezza nazionale. Evidentemente, tutto questo non è bastato.

Vuoi ascoltare il riassunto dell’articolo?

Indagando su segnalazioni di alcuni utenti, WhatsApp ha bloccato tentativi di social engineering riconducibili a NSO. Il metodo usato era classico: link malevoli per spingere le persone verso siti esterni, simili alle campagne di phishing con un solo clic già documentate in passato e attribuite all’azienda.

Non solo: WhatsApp ha anche individuato e rimosso account e gruppi di test creati da NSO sulla piattaforma. Si tratta di attività che servono a verificare il funzionamento degli exploit prima di usarli contro bersagli reali. Il fatto che NSO stesse ancora testando strumenti su WhatsApp dopo l’ingiunzione è esattamente il tipo di comportamento che WhatsApp porterà in tribunale.

WhatsApp ha inoltre pubblicato indicatori di compromissione (threat indicators) che chiunque può usare per verificare se è stato preso di mira da campagne di social engineering legate a NSO, indipendentemente dalla piattaforma: SMS, email, WhatsApp o altro.

Il CEO di NSO Group ha confermato in tribunale che l’azienda cerca attivamente vettori di accesso ai dispositivi al di là di WhatsApp: browser, sistemi operativi, altre app. Nessuna tecnologia è esclusa dalla lista dei bersagli potenziali di queste aziende, i cui clienti storici includono giornalisti, funzionari governativi, militari e organizzazioni umanitarie.

WhatsApp sottolinea che allentare le restrizioni esistenti su NSO equivarrebbe a mettere a rischio la sicurezza nazionale americana e miliardi di persone nel mondo che dipendono da comunicazioni cifrate.

È una posizione che non fa sconti: un’azienda nella lista nera del governo USA che continua a ignorare le sentenze dei tribunali americani è un problema sistemico, non solo un contenzioso tra due aziende.

Sul fronte del supporto alla causa, 12 organizzazioni per i diritti civili hanno depositato memorie amicus per opporsi all’appello di NSO contro l’ingiunzione permanente. E Citizen Lab, che aveva aiutato WhatsApp a investigare l’attacco originale del 2019, è ancora in prima linea: una sua scoperta di una vulnerabilità zero-day ha portato Apple a rilasciare un aggiornamento di sicurezza per oltre un miliardo di dispositivi.

WhatsApp ha annunciato un contributo significativo alla Spyware Accountability Initiative (SAI), un’organizzazione che supporta decine di gruppi in tutto il mondo impegnati in ricerca forense, assistenza alle vittime e advocacy contro lo spyware. È la traduzione pratica di una promessa fatta in precedenza.

Questo tipo di lavoro, come ricorda WhatsApp stessa, è rischioso, faticoso e cronicamente sottofinanziato rispetto alle risorse dell’industria dello spyware commerciale.

Un esempio concreto di quanto possa valere: in Grecia, un tribunale ha emesso quest’anno la prima condanna penale al mondo nei confronti di dirigenti di un’azienda di spyware, basandosi proprio su prove forensi e giornalismo investigativo della società civile.

Per chi usa WhatsApp e vuole proteggersi al meglio, i consigli restano quelli di sempre: tenere app e dispositivi aggiornati, segnalare attività sospette e, per chi ritiene di poter essere un bersaglio di attacchi sofisticati, attivare le impostazioni di sicurezza avanzate dell’account. Il fatto che NSO continui a operare nonostante ingiunzioni e liste nere ci ricorda che la sicurezza digitale non è mai un problema risolto una volta per tutte.