Meta blokuje nową kampanię phishingową NSO Group wymierzoną w użytkowników WhatsApp - Security Bez Tabu

Meta blokuje nową kampanię phishingową NSO Group wymierzoną w użytkowników WhatsApp

Cybersecurity news

Wprowadzenie do problemu / definicja

Meta poinformowała o wykryciu i zablokowaniu nowej kampanii spear-phishingowej powiązanej z NSO Group, firmą znaną z rozwoju spyware Pegasus. Operacja była wymierzona w użytkowników WhatsApp i miała skłaniać ofiary do kliknięcia złośliwych odnośników prowadzących poza aplikację, do zewnętrznej infrastruktury kontrolowanej przez operatora kampanii.

Sprawa jest szczególnie istotna, ponieważ według Meta działania miały zostać podjęte mimo obowiązującego zakazu sądowego, który zabraniał NSO Group atakowania WhatsApp i jego użytkowników. To pokazuje, że nawet po głośnych rozstrzygnięciach prawnych podmioty rozwijające narzędzia cyberinwigilacji mogą nadal testować nowe ścieżki dotarcia do celów.

W skrócie

  • Meta wykryła nową kampanię phishingową przypisywaną NSO Group.
  • Atak nie polegał na złamaniu szyfrowania WhatsApp, lecz na socjotechnice i przekierowaniu użytkowników poza aplikację.
  • Zaobserwowano także tworzenie kont testowych i grup służących do sprawdzania mechaniki kampanii.
  • Meta zapowiedziała kroki prawne związane z możliwym naruszeniem wcześniejszego zakazu sądowego.
  • Najbardziej narażone pozostają osoby wysokiego ryzyka, takie jak dziennikarze, aktywiści, politycy i kadra kierownicza.

Kontekst / historia

Spór między WhatsApp a NSO Group trwa od 2019 roku, gdy ujawniono wykorzystanie infrastruktury komunikatora do wdrażania spyware Pegasus przeciwko wybranym celom. Od tego momentu sprawa stała się jednym z najważniejszych precedensów dotyczących odpowiedzialności firm działających na rynku komercyjnej cyberinwigilacji.

W 2021 roku amerykański Departament Handlu umieścił NSO Group na liście podmiotów objętych ograniczeniami eksportowymi. Decyzję uzasadniono działaniami uznanymi za sprzeczne z interesem bezpieczeństwa narodowego i polityki zagranicznej Stanów Zjednoczonych.

W 2025 roku sąd w USA wydał trwały zakaz uniemożliwiający NSO Group prowadzenie działań przeciwko WhatsApp i jego użytkownikom, a ława przysięgłych zasądziła wobec spółki wysokie odszkodowanie finansowe. Najnowsze ustalenia Meta sugerują jednak, że mimo tej presji prawnej operator nadal miał podejmować próby działań ofensywnych z użyciem infrastruktury pomocniczej i technik socjotechnicznych.

Analiza techniczna

Z technicznego punktu widzenia kampania nie miała polegać na bezpośrednim przełamaniu szyfrowania end-to-end w WhatsApp. Mechanizm ataku opierał się na spear-phishingu, czyli precyzyjnie przygotowanych wiadomościach kierowanych do wyselekcjonowanych osób. Celem było skłonienie odbiorcy do opuszczenia zaufanego środowiska komunikatora i wejścia na zewnętrzną stronę.

Taki model działania odpowiada szerszemu trendowi obserwowanemu w ostatnich latach: przejściu od kosztownych exploitów typu zero-click do bardziej elastycznych kampanii łączących socjotechnikę, infrastrukturę webową i dokładne profilowanie celu. Z perspektywy obrońców oznacza to, że nawet dobrze zabezpieczona aplikacja może zostać wykorzystana jako kanał dostarczenia przynęty.

  • wykorzystanie domen podszywających się pod wiarygodne serwisy, projekty lub inicjatywy,
  • tworzenie kont testowych i grup w celu weryfikacji dostarczalności wiadomości,
  • przeniesienie właściwego punktu kompromitacji poza komunikator,
  • użycie legalnych funkcji aplikacji do dostarczenia złośliwego linku,
  • dopracowywanie treści przynęty pod kątem konkretnej ofiary.

To ważne rozróżnienie: ochrona kryptograficzna komunikacji może pozostać nienaruszona, a mimo to użytkownik nadal może zostać skutecznie zaatakowany. Jeśli przeciwnik skłoni ofiarę do kliknięcia odnośnika i przejścia na zewnętrzny zasób, zabezpieczenia kanału komunikacyjnego nie eliminują ryzyka infekcji urządzenia, kradzieży danych czy wdrożenia kolejnego etapu operacji.

Tworzenie powiązanych kont i grup testowych sugeruje także metodyczne przygotowanie kampanii. W praktyce takie działania mogą służyć do badania reputacji domen, testowania filtrów antyspamowych, sprawdzania reakcji platformy na konkretne wzorce wiadomości oraz optymalizacji scenariuszy socjotechnicznych przed użyciem ich wobec właściwych celów.

Konsekwencje / ryzyko

Największe ryzyko dotyczy osób wysokiego profilu oraz środowisk szczególnie narażonych na ukierunkowaną inwigilację. Chodzi przede wszystkim o dziennikarzy, aktywistów, polityków, prawników, personel dyplomatyczny, pracowników organizacji pozarządowych oraz kadrę kierowniczą firm i instytucji.

W takich przypadkach nawet pojedyncze kliknięcie może otworzyć drogę do dalszej kompromitacji urządzenia mobilnego. Konsekwencją może być przejęcie danych, śledzenie aktywności, uzyskanie dostępu do kont chmurowych, poczty lub innych zasobów powiązanych z urządzeniem ofiary.

  • szyfrowany komunikator nie gwarantuje pełnej odporności na phishing,
  • socjotechnika pozostaje skuteczna także wobec nowoczesnych platform,
  • legalne funkcje aplikacji mogą zostać wykorzystane jako element łańcucha ataku,
  • naruszenie jednego smartfona może stać się punktem wejścia do szerszego ekosystemu organizacji.

W kampaniach tego typu kluczowa jest nie skala, lecz precyzja. To oznacza, że typowe sygnały masowego phishingu, takie jak duży wolumen wiadomości czy łatwo rozpoznawalne szablony, mogą w ogóle nie występować. Dla zespołów bezpieczeństwa jest to dodatkowe wyzwanie operacyjne.

Rekomendacje

Użytkownicy oraz zespoły bezpieczeństwa powinni traktować każdy nieoczekiwany link otrzymany przez komunikator jako potencjalny wektor ataku. Szczególną ostrożność należy zachować wobec wiadomości wywołujących presję czasu, odwołujących się do wydarzeń bieżących albo zachęcających do otwarcia materiałów poza aplikacją.

  • włączyć dwustopniową weryfikację konta WhatsApp,
  • ograniczyć widoczność danych profilu, statusu i aktywności do zaufanych kontaktów,
  • ograniczyć możliwość dodawania do grup wyłącznie do znanych osób,
  • regularnie aktualizować system operacyjny, aplikację WhatsApp i komponenty bezpieczeństwa,
  • stosować rozwiązania MTD lub EDR w środowiskach korporacyjnych,
  • monitorować domeny i wskaźniki kompromitacji powiązane z kampaniami ukierunkowanymi,
  • szkolić użytkowników wysokiego ryzyka z rozpoznawania spear-phishingu i procedur zgłaszania incydentów.

Dodatkowo organizacje powinny wdrażać model podwyższonej ochrony dla osób o zwiększonym profilu zagrożeń. Ograniczenie ekspozycji metadanych, relacji społecznych i części funkcji komunikatora może realnie zmniejszyć powierzchnię ataku, zwłaszcza w operacjach wymierzonych w konkretne osoby.

Podsumowanie

Nowa kampania przypisywana NSO Group pokazuje, że zaawansowani operatorzy nadal skutecznie wykorzystują phishing jako narzędzie działań szpiegowskich. Nawet jeśli komunikator stosuje silne szyfrowanie i rozbudowane zabezpieczenia, użytkownik pozostaje podatny na manipulację i starannie przygotowane scenariusze socjotechniczne.

Z perspektywy rynku cyberbezpieczeństwa incydent ten potwierdza, że ochrona komunikacji nie kończy się na kryptografii. Równie ważne są ustawienia prywatności, higiena cyfrowa, monitoring infrastruktury pomocniczej przeciwnika oraz szybka reakcja na nietypowe zachowania w kanałach mobilnych.

Źródła

  1. https://about.fb.com/news/2026/06/fighting-spyware-an-update-from-whatsapp/
  2. https://thehackernews.com/2026/06/meta-blocks-nso-groups-new-whatsapp.html
  3. https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list
  4. https://cases.justia.com/federal/district-courts/california/candce/4%3A2019cv07123/350613/802/0.pdf
  5. https://www.axios.com/2025/05/06/nso-group-whatsapp-jury-damages