Loujain al-Hathloul, nhà hoạt động nữ quyền Arab Saudi, đã thay đổi hoàn toàn quan điểm của công chúng về NSO Group, khiến công ty Israel này đối mặt với hàng loạt hành động pháp lý và soi xét từ chính quyền Mỹ.
Tất cả bắt đầu từ một lỗi phần mềm trên iPhone của al-Hathloul. Theo Reuters, một file ảnh giả do phần mềm gián điệp bỏ sót đã giúp cô và giới nghiên cứu phát hiện hàng loạt bằng chứng cho thấy sản phẩm của NSO được dùng để đột nhập iPhone của cô.
Al-Hathloul là một trong những nhà hoạt động nổi bật tại Arab Saudi với chiến dịch đòi quyền được lái xe cho phụ nữ nước này và từng bị bắt giam. Sau khi rời nhà tù vào tháng 2/2021, cô nhận được cảnh báo từ Google rằng các hacker đang tìm cách xâm nhập tài khoản Gmail của cô. Lo ngại chiếc iPhone của mình cũng bị tấn công, cô đã liên lạc nhóm chuyên về quyền riêng tư Citizen Lab ở Canada và đề nghị họ kiểm tra smartphone.
Sau sáu tháng tìm kiếm, nhà nghiên cứu Bill Marczak của Citizen Lab công bố thứ mà ông gọi là phát hiện chưa từng có tiền lệ. Đó là phần mềm gián điệp cài trên máy của al-Hathloul, được gọi là Pegasus, đã gặp lỗi và để lại bản sao độc hại, thay vì tự xóa sau khi đánh cắp dữ liệu của mục tiêu.
Phát hiện này cùng đoạn mã phần mềm để lại đã cung cấp bằng chứng trực tiếp rằng NSO Group đứng sau công cụ do thám Pegasus. "Nó thay đổi mọi thứ. Chúng tôi phát hiện điều mà công ty đó nghĩ rằng không bao giờ có thể bị phát hiện", Marczak nói.
Phát hiện của al-Hathloul và Citizen Lab gây chấn động sau khi giới chức Mỹ phát hiện công cụ của NSO còn được dùng để theo dõi nhiều nhà ngoại giao nước này. Các nhà nghiên cứu cho biết sự việc của al-Hathloul giúp họ lần đầu tiếp cận được hình thức do thám không gian mạng kiểu mới, trong đó công cụ hack có thể xâm nhập thiết bị mà không cần sự tương tác nào từ người dùng.
Phát ngôn viên NSO khẳng định công ty chỉ phát triển phần mềm chứ không vận hành, mà nó được khách hàng là "các chính phủ, các cơ quan hành pháp và tình báo" sử dụng cho những mục đích khác nhau của họ. Người này từ chối bình luận về việc phần mềm của NSO đứng sau hoạt động do thám nhằm vào al-Hathloul và nhiều nhà hoạt động khác.
Phát hiện dấu vết
Phần mềm gián điệp Pegasus xuất hiện trong điện thoại của al-Hathloul được gọi là "zero click", có nghĩa thiết bị bị nhiễm mã độc ngay cả khi người dùng không bấm vào đường link độc hại. Loại phần mềm này thường tự xóa sau khi lây nhiễm, khiến giới nghiên cứu không có bản mẫu để nghiên cứu. Điều đó khiến quá trình thu thập bằng chứng về các vụ đột nhập iPhone gần như bất khả thi.
Tuy nhiên, sự việc lần này khác biệt hoàn toàn. Lỗi phần mềm khiến nó để lại một bản sao ẩn trong điện thoại của al-Hathloul, cho phép Marczak và Citizen Lab thu thập bản mẫu ảo từ cuộc tấn công và dấu vết về tác giả đã phát triển nó.
"Giống như tìm thấy vỏ đạn của hung thủ tại hiện trường án mạng", Marczak nói.
Nhóm của ông phát hiện rằng phần mềm hoạt động bằng cách gửi file ảnh đến al-Hathloul thông qua tin nhắn văn bản ẩn. File ảnh đánh lừa iPhone để giành quyền tiếp cận bộ nhớ, vượt qua các biện pháp bảo mật và cho phép cài đặt spyware đánh cắp tin nhắn của người dùng.
Spyware trên điện thoại của al-Hathloul chứa đoạn mã cho thấy nó kết nối với máy chủ do NSO kiểm soát. Citizen Lab gọi biện pháp hack iPhone này là "ForcedEntry" và cung cấp đoạn mã cho Apple cuối năm ngoái. Bản mẫu giúp Apple khắc phục lỗ hổng nguy hiểm và gửi cảnh báo tới hàng nghìn người đang là mục tiêu của spyware này. Đây là lần đầu Apple thực hiện bước đi như vậy.
Apple sau đó kiện NSO ra tòa án liên bang Mỹ, cáo buộc công ty Israel vi phạm luật pháp Mỹ bằng cách phát triển sản phẩm "nhắm mục tiêu, tấn công và gây hại cho người dùng, sản phẩm Apple và bản thân Apple". Hãng cho biết Citizen Lab đã cung cấp "thông tin kỹ thuật" làm bằng chứng cho vụ kiện, nhưng không tiết lộ các dữ liệu này được lấy từ iPhone của al-Hathloul.
Trong khi đó, NSO khẳng định bộ công cụ đã hỗ trợ các cơ quan hành pháp và cứu sống hàng nghìn người. Họ cho rằng nhiều cáo buộc nhằm vào phần mềm của họ không có cơ sở, nhưng từ chối làm rõ nội dung kiện cáo cụ thể với lý do "thỏa thuận bảo mật với khách hàng".
Trong số những người được Apple gửi cảnh báo có ít nhất 9 nhân viên Bộ Ngoại giao Mỹ làm việc ở Uganda. Bộ Thương mại Mỹ hồi tháng 11/2021 đưa NSO vào danh sách đen, hạn chế các công ty Mỹ bán sản phẩm phần mềm của doanh nghiệp này và đe dọa chuỗi cung ứng của hãng. Một tháng sau, thượng nghị sĩ Ron Wyden và 17 nhà lập pháp khác kêu gọi Bộ Thương mại cấm vận NSO và ba công ty giám sát nước ngoài.
Lina al-Hathloul, em gái của Loujain, cho rằng đòn kinh tế nhằm vào NSO có thể là cách duy nhất để răn đe ngành công nghiệp phần mềm gián điệp. "Nó đánh vào chỗ yếu nhất của họ", cô nói.
Điệp Anh (theo Reuters)