Na última terça-feira, o WhatsApp conquistou uma grande vitória contra a NSO Group quando um júri ordenou que a infame fabricante de spyware pagasse mais de $167 milhões em danos à empresa Meta, dona do WhatsApp.
A decisão encerrou uma batalha legal que durou mais de cinco anos, iniciada em outubro de 2019, quando o WhatsApp acusou a NSO Group de hackear mais de 1.400 de seus usuários, aproveitando uma vulnerabilidade na funcionalidade de chamadas de áudio do aplicativo.
O veredicto veio após um julgamento de uma semana que contou com várias testemunhas, incluindo o CEO da NSO Group, Yaron Shohat, e funcionários do WhatsApp que responderam e investigaram o incidente.
Antes mesmo do início do julgamento, o caso já havia revelado várias informações, incluindo que a NSO Group havia cortado relações com 10 de seus clientes governamentais por abusarem do seu spyware Pegasus, as localizações de 1.223 vítimas da campanha de spyware e os nomes de três clientes da fabricante de spyware: México, Arábia Saudita e Uzbequistão.
A TechCrunch leu as transcrições das audiências do julgamento e está destacando os fatos e revelações mais interessantes que surgiram. Atualizaremos este post conforme aprendemos mais do volume de mais de 1.000 páginas.
Testemunho descreveu como o ataque ao WhatsApp funcionou
O ataque zero-click, que significa que o spyware não exigia qualquer interação do alvo, “funcionava enviando uma chamada falsa do WhatsApp para o alvo,” como disse o advogado do WhatsApp, Antonio Perez, durante o julgamento. O advogado explicou que a NSO Group construiu o que chamou de “Servidor de Instalação do WhatsApp”, uma máquina especial projetada para enviar mensagens maliciosas através da infraestrutura do WhatsApp imitando mensagens reais.
“Assim que recebidas, essas mensagens acionariam o telefone do usuário para entrar em contato com um terceiro servidor e baixar o spyware Pegasus. A única coisa necessária para isso acontecer era o número de telefone,” disse Perez.
O vice-presidente de pesquisa e desenvolvimento da NSO Group, Tamir Gazneli, testemunhou que “qualquer solução zero-click é um marco significativo para o Pegasus”.
A NSO Group confirmou que visou um número de telefone americano como teste para o FBI
Por anos, a NSO Group afirmou que seu spyware não podia ser usado contra números de telefone americanos, ou seja, qualquer número de celular que comece com o código do país +1. Em 2022, o The New York Times primeiro reportou que a empresa “atacou” um telefone dos EUA, mas foi parte de um teste para o FBI.
O advogado da NSO Group, Joe Akrotirianakis, confirmou isso, dizendo que a “única exceção” para o Pegasus não conseguir visar números +1 “foi uma versão especialmente configurada do Pegasus para ser usada em demonstrações para potenciais clientes do governo dos EUA”. O FBI escolheu não implantar o Pegasus após o teste.
Como os clientes governamentais da NSO Group usam o Pegasus
O CEO da NSO, Shohat, explicou que a interface do usuário do Pegasus para os clientes do governo não fornece opção de escolher qual método ou técnica de hacking usar contra os alvos que estão interessados, “porque os clientes não se importam com qual vetor eles usam, contanto que obtenham a inteligência que precisam”.
Em outras palavras, é o sistema do Pegasus nos bastidores que escolhe qual tecnologia de hacking, conhecida como exploit, usar cada vez que o spyware visa um indivíduo.
A sede da NSO Group compartilha o mesmo prédio que a Apple
Em uma coincidência engraçada, a sede da NSO Group em Herzliya, um subúrbio de Tel Aviv em Israel, é no mesmo prédio que a Apple, cujos clientes do iPhone também são frequentemente visados pelo spyware Pegasus da NSO. Shohat disse que a NSO ocupa os cinco andares superiores e a Apple ocupa o restante dos 14 andares do prédio.
“Nós compartilhamos o mesmo elevador quando subimos,” disse Shohat durante o testemunho.
O fato de que a sede da NSO Group é publicamente divulgada é interessante por si só. Outras empresas que desenvolvem spyware ou zero-days como a Variston, sediada em Barcelona, que fechou suas portas em fevereiro, estava localizada em um espaço de coworking enquanto afirmava em seu site oficial estar localizada em outro lugar.
A NSO Group admitiu que continuou visando usuários do WhatsApp após o processo ser aberto
Após o ataque de spyware, o WhatsApp abriu seu processo contra a NSO Group em novembro de 2019. Apesar do desafio legal ativo, a fabricante de spyware continuou visando os usuários do aplicativo de mensagens, de acordo com o vice-presidente de pesquisa e desenvolvimento da NSO Group, Tamir Gazneli.
Gazneli disse que o “Erised”, o codinome para uma das versões do vetor zero-click do WhatsApp, estava em uso de late-2019 até maio de 2020. As outras versões se chamavam “Eden” e “Heaven”, e as três eram conhecidas coletivamente como “Hummingbird”.
A NSO diz empregar centenas de pessoas
O CEO da NSO Group, Yaron Shohat, revelou um detalhe pequeno, mas notável: a NSO Group e sua empresa-mãe, Q Cyber, têm um número total de funcionários entre 350 e 380. Cerca de 50 desses funcionários trabalham para a Q Cyber.
A NSO Group descreve finanças difíceis
Durante o julgamento, Shohat respondeu perguntas sobre as finanças da empresa, algumas das quais foram divulgadas em depoimentos antes do julgamento. Esses detalhes foram mencionados em conexão com o quanto a fabricante de spyware deveria pagar ao WhatsApp em danos.
Segundo Shohat e documentos fornecidos pela NSO Group, a fabricante de spyware teve prejuízos de $9 milhões em 2023 e $12 milhões em 2024. A empresa também revelou que tinha $8.8 milhões em sua conta bancária em 2023 e $5.1 milhões em 2024. Atualmente, a empresa gasta cerca de $10 milhões por mês, principalmente para cobrir os salários de seus funcionários.
Além disso, foi revelado que a Q Cyber tinha cerca de $3.2 milhões na conta bancária tanto em 2023 quanto em 2024.
Durante o julgamento, a NSO revelou que sua unidade de pesquisa e desenvolvimento – responsável por encontrar vulnerabilidades em software e descobrir como explorá-las – teve despesas de cerca de $52 milhões em 2023 e $59 milhões em 2024. Shohat também disse que os clientes da NSO Group pagam “em algum lugar entre” $3 milhões e “dez vezes isso” pelo acesso ao seu spyware Pegasus.
Considerando esses números, a fabricante de spyware esperava escapar de pagar pouco ou nenhum dano.
“Para ser honesto, eu não acho que somos capazes de pagar nada. Estamos lutando para manter a cabeça acima da água,” disse Shohat durante seu testemunho. “Estamos comprometidos com meu [diretor financeiro] apenas para priorizar despesas e garantir que temos dinheiro suficiente para cumprir nossos compromissos, e obviamente em uma base semanal.”
Publicado pela primeira vez em 10 de maio de 2025 e atualizado com detalhes adicionais.
English
Leave a Reply