Sąd USA zakazuje NSO Group atakowania użytkowników WhatsApp. Obniżono też wysokość odszkodowania - Security Bez Tabu

Sąd USA zakazuje NSO Group atakowania użytkowników WhatsApp. Obniżono też wysokość odszkodowania

Wprowadzenie do problemu / definicja luki

Amerykański sąd federalny (Północny Dystrykt Kalifornii) wydał stały zakaz (permanent injunction) wobec izraelskiego producenta oprogramowania szpiegowskiego NSO Group: spółka nie może już atakować ani w żaden sposób wykorzystywać platformy WhatsApp do infekowania ofiar (m.in. przy użyciu Pegasusa). Jednocześnie sąd znacząco zredukował kwotę zasądzonych wcześniej kar – z ok. 167,3 mln USD do 4,0 mln USD (remittitur). Wyrok podpisała sędzia Phyllis J. Hamilton 17 października 2025 r.

W skrócie

  • Zakaz: NSO ma zakaz wykorzystywania WhatsApp (i jego infrastruktury) do ataków; sąd uznał, że wyrządzono nieodwracalną szkodę i że interes publiczny przemawia za injunkcją.
  • Pieniądze: kara obniżona do 4 002 471 USD; powód (WhatsApp/Meta) ma 14 dni na akceptację remittituru.
  • Kontekst: decyzja domyka wieloletni spór po kampanii z 2019 r., gdy ok. 1400 kont WhatsApp zaatakowano “zero-click” exploitami powiązanymi z Pegasusem.
  • Znaczenie rynkowe: precedens ogranicza swobodę komercyjnych dostawców spyware w wykorzystywaniu masowych platform komunikacyjnych.

Kontekst / historia / powiązania

Pozew WhatsAppa z 2019 r. dotyczył wykorzystania luki umożliwiającej bezklikową instalację Pegasusa przez połączenia VoIP, co pozwalało ominąć interakcję użytkownika i zainfekować urządzenie. Sprawa przeszła przez etap częściowego wyroku podsumowującego (odpowiedzialność NSO m.in. na gruncie CFAA i CDAFA) oraz proces odszkodowawczy. W 2025 r. ława przysięgłych przyznała odszkodowanie kompensacyjne oraz wysokie odszkodowanie karne, które teraz zredukowano. Równocześnie sąd przychylił się do wniosku o permanent injunction.

Decyzję potwierdzają niezależne relacje mediów branżowych i ogólnoinformacyjnych (m.in. Reuters, The Record, CyberScoop, SecurityWeek).

Analiza techniczna / szczegóły luki

Ataki z 2019 r. wykorzystywały łańcuch exploitów “zero-click” w warstwie VoIP/parsowania ramek WhatsApp (związany z później łatanym błędem), który pozwalał na zdalne wykonanie kodu po stronie ofiary bez jej interakcji. Operatorzy mogli inicjować połączenia zawierające spreparowane pakiety, co skutkowało implantacją spyware i stałym dostępem do danych aplikacji, w tym wiadomości. W materiale procesowym sąd podkreślał m.in. odwrotną inżynierię klienta WhatsApp, wielokrotne obchodzenie zabezpieczeń i wykorzystywanie serwerów WhatsApp jako wektora dostarczania ładunku.

W trakcie postępowania sąd odnotował, że NSO wielokrotnie modyfikowało swoje oprogramowanie, by “unikać wykrycia i obchodzić poprawki bezpieczeństwa” wprowadzane przez WhatsApp, co uzasadniało potrzebę trwałego środka ochronnego (injunkcji).

Praktyczne konsekwencje / ryzyko

  • Dla dostawców spyware: wyrok ogranicza możliwość wykorzystywania globalnych platform komunikacyjnych jako nośnika infekcji i wzmacnia argumentację na rzecz compliance-by-design (np. zakazy w kontraktach, geofencing, kontrola R&D).
  • Dla organizacji: nawet przy braku nowej fali exploitów na WhatsApp, ryzyko komercyjnego spyware pozostaje wysokie (inne komunikatory, iMessage/SS7/OTA itp.). Wyrok nie eliminuje zagrożeń “zero-click”, ale utrudnia operacje na najpopularniejszej platformie. (Wniosek syntetyczny na bazie orzeczenia i relacji prasowych.)
  • Dla użytkowników wysokiego ryzyka (dziennikarze, NGO, politycy): spodziewaj się przeniesienia TTP na inne kanały i dalszego rozwoju exploitów bazujących na media parsers/push-notyfikacjach. (Analiza własna; patrz tło medialne.)

Rekomendacje operacyjne / co zrobić teraz

  1. Utwierdzenie MDM/EDR na mobilnych: wdrożenie telemetrycznych EDR/MDM z detekcjami anomalii sieciowych (DNS over HTTPS do bram C2, nietypowe profile APNs/FCM).
  2. Zasada “least privilege” dla komunikatorów: ogranicz uprawnienia aplikacji (mikrofon/kamera/lokalizacja), włącz Lockdown Mode (iOS) dla VIP-ów.
  3. Segmentacja i polityki BYOD: izoluj urządzenia mobilne od kluczowych zasobów; stosuj Virtual Mobile Infrastructure dla dostępu do aplikacji wrażliwych.
  4. Threat Intel & IOC hygiene: subskrybuj feedy IOC związane z komercyjnym spyware; automatyzuj blokady w DNS/HTTP(S) proxy i M365/Google Workspace DLP.
  5. Procedury IR dla “zero-click”: przygotuj playbook na incydenty bez artefaktów użytkownika (zrzuty pamięci, triage sieciowy, konsultacja z wyspecjalizowanymi DFIR/forensic labs).
  6. Aktualizacje i hardening aplikacji komunikacyjnych: wymuś aktualizacje OS i aplikacji, wyłącz połączenia VoIP, jeśli nieużywane; monitoruj nadużycia API.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Na tle innych spraw o spyware (np. spory Apple vs. NSO lub działania regulacyjne USA – wpisanie NSO na listę podmiotów objętych restrykcjami) decyzja kalifornijskiego sądu jest bardziej precyzyjna operacyjnie: nie tylko stwierdza odpowiedzialność, ale wprost zakazuje wykorzystywania określonej platformy (WhatsApp) i wymaga dostosowania zakresu injunkcji (wyłączenie “sovereign customers”, doprecyzowanie stron i obowiązków). To rzadki przypadek, gdy sąd szczegółowo reguluje interakcję dostawcy spyware z konkretną usługą komunikacyjną.

Podsumowanie / kluczowe wnioski

  • Stały zakaz dla NSO wobec WhatsApp to przełom w egzekwowaniu bezpieczeństwa platform komunikacyjnych.
  • Remittitur do ~4 mln USD pokazuje, że sądy ograniczają kary do poziomu proporcjonalnego – ale same pieniądze nie zastąpią środków zapobiegawczych, stąd injunkcja.
  • Organizacje powinny traktować mobilne “zero-click” jako ryzyko systemowe i umacniać detekcje, segmentację oraz procedury IR.

Źródła / bibliografia

  • Order re Motion for Permanent Injunction… (Case No. 19-cv-07123-PJH, 17.10.2025) – dokument sądowy (ND Cal.).
  • Reuters: “US court orders spyware company NSO to stop targeting WhatsApp, reduces damages.” (18.10.2025). (Reuters)
  • The Record / Recorded Future News: “Judge bars NSO from targeting WhatsApp users, lowers damages.” (20.10.2025). (The Record from Recorded Future)
  • CyberScoop: “Judge forbids NSO Group from targeting WhatsApp users; damages reduced.” (20.10.2025). (CyberScoop)
  • SecurityWeek: “NSO Ordered to Stop Hacking WhatsApp, but Damages Cut to $4 Million.” (19.10.2025). (SecurityWeek)