Công cụ hack iPhone bị tố giác sau khi một nhà hoạt động nhân quyền Ả-Rập gửi những tin nhắn chứa đường link đáng ngờ cho các chuyên gia bảo mật nhờ điều tra. Rất khó để tìm kiếm thông tin về NSO Group vì công ty này chuyên bán các công cụ tấn công tinh vi cho chính phủ, quân đội và cơ quan tình báo. Họ cố gắng ẩn mình hết mức có thể, thậm chí còn đổi tên thường xuyên.

NSO Group được Omri Lavie và Shalev Hulio thành lập tháng 9/2009, đặt trụ sở tại Herzelia, Israel. Theo hồ sơ LinkedIn, cả hai từng mở một số công ty trước đó. Nhà sáng lập thứ ba, Niv Cari, rời đi sau một thời gian ngắn và Lavie, Hulio trở thành hai cổ đông lớn. Năm 2014, Francisco Partners của Mỹ mua phần lớn cổ phần trong NSO với giá 120 triệu USD nhưng hoạt động của công ty vẫn nằm tại Israel.

Trong hồ sơ LinkedIn, Hulio khai từng làm việc với lực lượng Quốc phòng Israel còn Lavie là một nhân viên chính phủ. Ít nhất 3 nhân viên NSO khẳng định từng là thành viên của Unit 8200, bộ phận giống với Cơ quan An ninh quốc gia Mỹ (NSA).

NSO có ngành nghề kinh doanh là gì không một ai tường tận. Công ty tự mô tả trên LinkedIn là “độc nhất vô nhị trong các giải pháp phần mềm bảo mật Internet và nghiên cứu bảo mật. NSO chịu trách nhiệm đối với nhiều phát triển trên cả môi trường di động và PC”. Dù dòng mô tả khá chung chung, nó phần nào cho chúng ta thấy công ty hướng đến lĩnh vực nào. NSO hiện có hơn 120 nhân viên, tăng gấp đôi so với 2 năm trước.

Một tài liệu quảng cáo được chia sẻ trên mạng cung cấp cái nhìn sâu hơn về các hoạt động của NSO, đó là cung cấp các giải pháp tấn công di động cho nhiều loại điện thoại độc quyền cho chính phủ, nhà hành pháp, cơ quan tình báo. NSO tự tin là “người dẫn đầu trên lĩnh vực chiến tranh mạng” nhờ công cụ giám sát Pegasus, có thể theo dõi và khai thác tất cả dữ liệu từ một mục tiêu thông các các dòng lệnh không thể truy dấu, cho phép điều khiển từ xa và vô hình.

Sản phẩm của NSO đang được chính phủ khắp thế giới mua với giá hàng triệu USD. Theo nguồn tin của Wall Street Journal, trong số khách hàng của NSO có Panama và Mexico. Một tờ báo địa phương cho biết NSO nhận được 8 triệu USD từ chính phủ Panama cho phần mềm Pegasus. Với nghiên cứu mới nhất từ Citizen Lab, dường như chính phủ Các Tiểu vương quốc Ả-rập Thống nhất cũng dùng phần mềm này. Theo Reuters, doanh thu thường niên của công ty vào khoảng 75 triệu USD.

NSO đã trình diễn công cụ tấn công trên BlackBerry, iPhone và Android năm 2013, theo email rò rỉ từ Hacking Team, đối thủ của NSO. Năm 2015, Omri Lavie trả lời Financial Times: “Smartphone ngày nay là bộ đàm mới. Phần lớn giải pháp can thiệp cơ bản đều đã lỗi thời nên một công cụ mới phải được phát triển”.

Pegasus có thể cấy mã độc cho điện thoại của mục tiêu theo hai cách, đều qua tin nhắn SMS. Kỹ thuật “zero-click” cho phép kẻ tấn công gửi tin nhắn văn bản đặc biệt đến đối tượng, khiến điện thoại tự động tải về link nhiễm độc, còn kỹ thuật “one-click” lại yêu cầu người dùng click vào link để gây ảnh hưởng đến thiết bị mà người dùng không hay biết.

Một khi đã bị lây nhiễm, kẻ gián điệp có thể kích hoạt ghi âm bằng microphone hay camera, lấy đi dữ liệu cá nhân như lịch, danh bạ, mật khẩu hoặc tải mọi dữ liệu bao gồm email, ảnh, lịch sử duyệt web. “Chúng tôi hoàn toàn là bóng ma. Chúng tôi vô hình với đối tượng và không để lại dấu vết”, Lavie trả lời Defense News.

Để tấn công iOS bản mới nhất, phần mềm gián điệp của NSO lợi dụng 3 lỗ hổng zero-day chưa được vá mà hãng bảo mật Lookout gọi đây là “cuộc tấn công tinh vi nhất” nhằm vào thiết bị di động từng chứng kiến. Lookout tin rằng Pegasus đã hack iPhone kể từ iOS 7. Phiên bản mới nhất iOS 9.3.5 vừa được Apple tung ra khẩn cấp nhằm ngăn chặn công cụ này.

Điều cuối cùng, NSO không có cả website. Dù hồ sơ LinkedIn ghi nsogroup.com là tên miền nhưng khi truy cập, không thể vào được. Tên miền này được đăng ký từ tháng 4/2008 nhưng dường như không có bất kỳ dữ liệu nào cho người ngoài nhìn thấy.