在 8 月 10 日的早晨,來自阿聯酋的 46 歲人權活動家 Ahmed Mansoor 在自己的 iPhone 上,看到了一條來自陌生電話號碼的奇怪短信。
這條短信的內容很唬人,寫着“阿聯酋國家監獄裏的虐囚新消息”,還配上了一條鏈接。
在之前的鬥爭中,阿聯酋政府就使用 FinFisher 和 Hacking Team 等公司的商業間諜軟件對 Ahmed Mansoor 實施過黑客行動。因此,Ahmed Mansoor 對這條短信產生了懷疑,沒有點擊鏈接,而是把短信轉發給了在多倫多大學蒙克全球事務學院公民實驗室(Citizen Lab)工作的 Bill Marczak。
結果顯示,這條短信的確有問題,其附帶的鏈接指向的是一個成熟的惡意軟件。這個惡意軟件利用了蘋果 iOS 操作系統三個不為人知的漏洞,從而可以讓黑客完全控制 Ahmed Mansoor 的 iPhone。這就是公民實驗室和移動安全公司 Lookout 於本週四發佈的聯合報告的結論。
這是首次有人公開披露這類攻擊。在這之前,還從未有人見過同時利用三個未知漏洞(又稱零日漏洞)來試圖控制 iPhone。用於此次攻擊的工具和技術差不多算得上是給 iPhone 進行遠程越獄,價值更是高達百萬美元。在這些研究人員們警告蘋果後,蘋果很快在週四發佈了更新來修復這些漏洞。
問題是:誰策劃了這次攻擊,他們用了哪些技術來實現?
研究人員們發現,提供此次攻擊用到的間諜軟件和零日漏洞的是一家不知名的以色列監控公司 NSO Group。在 Lookout 負責研究的副總裁 Mike Murray 看來,NSO Group “基本上就是網絡攻擊軍火商”。
公民實驗室和 Lookout 的研究人員們對這一前所未見的惡意軟件感到震驚。
Mike Murray 表示:“之前從未有人發現過這種惡意軟件,基本上只需在 iPhone 上點擊一下鏈接就能越獄。它是我們從業以來見過的最成熟的網絡間諜軟件。”
自 2010 年創辦以來,NSO 就逐漸樹立了為政府提供監控手機的成熟惡意軟件的名聲。但在此之前,對 NSO 工具的使用從未出現在任何政府文件上。NSO 宣稱,其產品極其隱蔽,就像“幽靈”一樣。NSO 本身也像“幽靈”一樣,沒有官網,也幾乎不接受採訪或對報道置評。但還是有一些 NSO 的信息泄露了出來,包括其在 2014 年獲得了一家美國風險投資公司 1.2 億美元的投資,以及估值達到了 10 億美元。
NSO 的惡意軟件 Pegasus 旨在悄無聲息地感染 iPhone,並能竊取、竊聽被感染 iPhone 中的所有數據和通訊。
Mike Murray 解釋道:“Pegasus 會竊取 iPhone 中的所有信息,竊聽所有通話,竊取所有短信、電子郵件、聯繫人。它還會給 iPhone 上的所有通訊機制添加後門。它能竊取 Gmail、Facebook、Skype、Whatsapp、Viber、微信、 Telegram 等應用中的所有信息。”
在 Mike Murray 和 Lookout 員工的幫助下,公民實驗室的 Bill Marczak 和 John Scott-Railton 先在一台測試 iPhone 上點擊了鏈接,讓它感染 Pegasus,以研究 Pegasus 的具體用途。
此次針對 Ahmed Mansoor 的攻擊,以及公民實驗室追蹤到的另一次攻擊顯示,著名的 Hacking Team 和 FinFisher 並不是個例,還有其他公司加入到了向政府提供黑客服務這一日益壯大的市場中來。
NSO 是如何被抓住現形的
在今年 5 月,公民實驗室發現了一個代號 Stealth Falcon 的成熟黑客團體。雖然無法證實,但他們懷疑 Stealth Falcon 和阿聯酋政府有關聯,主要針對阿聯酋國內外的異見人士。
通過對 Stealth Falcon 的研究,公民實驗室理出了這一團體的大部分基礎設施,包括用來竊取數據的服務器和域名。但公民實驗室無法找到這些黑客所使用的惡意軟件樣本。從 8 月 10 日 Ahmed Mansoor 給 Bill Marczak 轉發短信的那一刻起,這一切都改變了。
在 Bill Marczak 和 John Scott-Railton 研究了 Pegasus 後,他們追蹤到了與 Pegasus 通訊的服務器及 IP 地址,並匹配到 Stealth Falcon 的基礎設施中也包含這一服務器和 IP 地址。隨後,他們發現一位 NSO 員工註冊的域名也指向同一 IP 地址。
更重要的是,Pegasus 的開發者在 Pegasus 中留下了一個暴露了很多信息的字符串“PegasusProtocol”(Pegasus 協議),這明顯指出了這一 NSO 間諜軟件的代號。研究人員們還發現了更多和 NSO 及其客户基礎設施有關聯的域名,其中一些顯然是被設計用來作為釣魚網站,對象是紅十字會等人權組織和新聞媒體組織的工作人員。
Pegasus 的發現讓研究人員們第一次能夠真正了解 NSO 出品的惡意軟件的功能。自 2010 年創辦以來,NSO 已然成為業內傳奇,而公眾對其基本一無所知。NSO 的高管們極少接受媒體採訪,有關 NSO 的報道中也充斥着模糊的描述和未經證實的謠言。
NSO 聯合創始人 Omri Lavie 在 2013 年對《防務新聞》表示:“我們完全就是幽靈。”
《華爾街日報》在 2014 年的一篇簡短報道中稱,墨西哥政府已經採購了 NSO 的產品,甚至連美國中央情報局都表達了購買意向。報道還稱,NSO 的間諜軟件行銷全球。
現在 NSO 的間諜軟件遭到了曝光,使用的零日漏洞也得到了修補,它應該再也不能宣稱自己是“幽靈”了吧,雖然 NSO 可能還有其他零日漏洞和工具在手上。這也是研究人員們不指望自己的報告和蘋果的補丁能阻止 NSO 很長時間的原因。
Mike Murray 表示道:“單是給這些漏洞打補丁不可能讓 NSO 破產。”
更嚴重的是,Pegasus 的設定可以一路往下感染到 iOS 7,也就是説 NSO 很可能在 iPhone 5 時就能入侵 iPhone 了。
NSO 的發言人 Zamir Dahbash 在一份聲明中表示:“NSO 的使命是為獲得授權的政府提供幫助他們打擊恐怖活動和犯罪的技術,以便讓世界變得更美好。”
“NSO 只對獲得授權的政府機構銷售,完全符合嚴格的出口管制法律和法規。另外,NSO 並不負責運營售出的系統。我們是一家嚴格意義上的技術公司。購買我們產品的客户必須保證合法地使用我們的工具。我們還在合同中專門列出,我們的產品只能用於預防和調查犯罪。”
蘋果的反應
公民實驗室和 Lookout 的研究人員們在發現這些零日漏洞(代號 Trident)後,立刻聯繫了蘋果公司。蘋果公司用了 10 天時間來開發和發佈補丁。現在這一補丁已經加入到 iOS 9.3.5 的更新包中,所有 iPhone 用户都應該儘快下載和安裝這一更新。
蘋果發言人在一份聲明中表示:“我們在知道這些漏洞後立刻進行了修復,並在 iOS 9.3.5 更新中加入了這些補丁。”但這位發言人拒絕透露更多細節。
網絡安全公司 Trail Of Bits 首席執行官 Dan Guido 擁有豐富的 iOS 安全經驗,他表示這些極少出現在公眾視野中的攻擊並不出人意料。不過他表示,儘管現在又發現了三個零日漏洞,但 iPhone 還是要比Android手機安全得多。
Guido 説道:“和其他廠商相比,蘋果極大地提高了入侵蘋果設備的成本。但這一事件也顯示了需要有更好地針對 iOS 的入侵檢測手段。iOS 仍然是市面上最安全的消費設備。問題是,只有當你擁有懷疑精神以及在公民實驗室有朋友,才有可能知道自己的 iPhone 中是否安裝了惡意軟件。”
其他受害者
研究人員們還沒能找到其他 Pegasus 間諜軟件的樣本。但通過搜索類似鏈接和與此次攻擊以及 Stealth Falcon 有關的域名,他們發現了一條疑似針對肯尼亞不知名受害者的推文,還有一次針對墨西哥調查記者 Rafael Cabrera 的攻擊。
Rafael Cabrera 去年第一次受到了 NSO 惡意軟件的針對性攻擊,在今年 5 月又受到了第二次攻擊。在第二次攻擊中,黑客們試圖引誘他點擊一系列消息中的鏈接,如提供政府腐敗線索、話費消費 500 美元的警告短信乃至號稱是他妻子出軌的視頻鏈接。Rafael Cabrera 表示,他沒有點擊上述任何鏈接。
他表示道:“很明顯,他們想要我點擊鏈接,有點喪心病狂的感覺。”
Rafael Cabrera 並不想猜測誰是幕後黑手,政府或其他人都有可能。墨西哥政府可能是 NSO 的客户,但不清楚是否真的有警察或情報部門使用 NSO 的惡意軟件。墨西哥也是 Hacking Team 的最大客户,一些墨西哥政府部門被指控使用這些間諜軟件來針對記者和異見人士,而非犯罪分子。
最終,Rafael Cabrera 和 Ahmed Mansoor 的 iPhone 都沒有被黑,因為他們識破了黑客們的伎倆。當然,也可以説他們幸運。因為此前有過被政府黑客入侵的經歷,他們比一般人要更警覺。
但公民實驗室的 Bill Marczak 表示,他倆的遭遇可能預示着未來的風險。如果政府想要黑客工具而且願意支付高價錢,那麼 Hacking Team 和 NSO 這些公司仍然會繼續提供它們。公民實驗室在過去還記錄了數起政府利用間諜軟件對異見人士、記者和人權工作者發起的黑客攻擊,工具和 NSO 製造的類似。儘管公民實驗室公開了這些攻擊併發出警告,但還是不斷有類似的新攻擊出現。有時候攻擊是由同一政府發起的,甚至針對的是同一目標。
他表示道:“根本沒有什麼激勵,能讓 NSO 這些公司不向阿聯酋這種慣犯出售黑客工具。”
這也預示着間諜軟件行業一個新巨頭的崛起,在 FinFisher 和 Hacking Team 遭到嚴重黑客攻擊後,NSO 有着很大的增長空間。
而如果 Ahmed Mansoor 在 8 月 10 日點擊了那個鏈接,這些事情可能永遠也不會被人發現。
Via Vice
資料來源:雷鋒網
作者/編輯:管策
這條短信的內容很唬人,寫着“阿聯酋國家監獄裏的虐囚新消息”,還配上了一條鏈接。
在之前的鬥爭中,阿聯酋政府就使用 FinFisher 和 Hacking Team 等公司的商業間諜軟件對 Ahmed Mansoor 實施過黑客行動。因此,Ahmed Mansoor 對這條短信產生了懷疑,沒有點擊鏈接,而是把短信轉發給了在多倫多大學蒙克全球事務學院公民實驗室(Citizen Lab)工作的 Bill Marczak。
結果顯示,這條短信的確有問題,其附帶的鏈接指向的是一個成熟的惡意軟件。這個惡意軟件利用了蘋果 iOS 操作系統三個不為人知的漏洞,從而可以讓黑客完全控制 Ahmed Mansoor 的 iPhone。這就是公民實驗室和移動安全公司 Lookout 於本週四發佈的聯合報告的結論。
這是首次有人公開披露這類攻擊。在這之前,還從未有人見過同時利用三個未知漏洞(又稱零日漏洞)來試圖控制 iPhone。用於此次攻擊的工具和技術差不多算得上是給 iPhone 進行遠程越獄,價值更是高達百萬美元。在這些研究人員們警告蘋果後,蘋果很快在週四發佈了更新來修復這些漏洞。
問題是:誰策劃了這次攻擊,他們用了哪些技術來實現?
研究人員們發現,提供此次攻擊用到的間諜軟件和零日漏洞的是一家不知名的以色列監控公司 NSO Group。在 Lookout 負責研究的副總裁 Mike Murray 看來,NSO Group “基本上就是網絡攻擊軍火商”。
公民實驗室和 Lookout 的研究人員們對這一前所未見的惡意軟件感到震驚。
Mike Murray 表示:“之前從未有人發現過這種惡意軟件,基本上只需在 iPhone 上點擊一下鏈接就能越獄。它是我們從業以來見過的最成熟的網絡間諜軟件。”
自 2010 年創辦以來,NSO 就逐漸樹立了為政府提供監控手機的成熟惡意軟件的名聲。但在此之前,對 NSO 工具的使用從未出現在任何政府文件上。NSO 宣稱,其產品極其隱蔽,就像“幽靈”一樣。NSO 本身也像“幽靈”一樣,沒有官網,也幾乎不接受採訪或對報道置評。但還是有一些 NSO 的信息泄露了出來,包括其在 2014 年獲得了一家美國風險投資公司 1.2 億美元的投資,以及估值達到了 10 億美元。
NSO 的惡意軟件 Pegasus 旨在悄無聲息地感染 iPhone,並能竊取、竊聽被感染 iPhone 中的所有數據和通訊。
Mike Murray 解釋道:“Pegasus 會竊取 iPhone 中的所有信息,竊聽所有通話,竊取所有短信、電子郵件、聯繫人。它還會給 iPhone 上的所有通訊機制添加後門。它能竊取 Gmail、Facebook、Skype、Whatsapp、Viber、微信、 Telegram 等應用中的所有信息。”
在 Mike Murray 和 Lookout 員工的幫助下,公民實驗室的 Bill Marczak 和 John Scott-Railton 先在一台測試 iPhone 上點擊了鏈接,讓它感染 Pegasus,以研究 Pegasus 的具體用途。
此次針對 Ahmed Mansoor 的攻擊,以及公民實驗室追蹤到的另一次攻擊顯示,著名的 Hacking Team 和 FinFisher 並不是個例,還有其他公司加入到了向政府提供黑客服務這一日益壯大的市場中來。
NSO 是如何被抓住現形的
在今年 5 月,公民實驗室發現了一個代號 Stealth Falcon 的成熟黑客團體。雖然無法證實,但他們懷疑 Stealth Falcon 和阿聯酋政府有關聯,主要針對阿聯酋國內外的異見人士。
通過對 Stealth Falcon 的研究,公民實驗室理出了這一團體的大部分基礎設施,包括用來竊取數據的服務器和域名。但公民實驗室無法找到這些黑客所使用的惡意軟件樣本。從 8 月 10 日 Ahmed Mansoor 給 Bill Marczak 轉發短信的那一刻起,這一切都改變了。
在 Bill Marczak 和 John Scott-Railton 研究了 Pegasus 後,他們追蹤到了與 Pegasus 通訊的服務器及 IP 地址,並匹配到 Stealth Falcon 的基礎設施中也包含這一服務器和 IP 地址。隨後,他們發現一位 NSO 員工註冊的域名也指向同一 IP 地址。
更重要的是,Pegasus 的開發者在 Pegasus 中留下了一個暴露了很多信息的字符串“PegasusProtocol”(Pegasus 協議),這明顯指出了這一 NSO 間諜軟件的代號。研究人員們還發現了更多和 NSO 及其客户基礎設施有關聯的域名,其中一些顯然是被設計用來作為釣魚網站,對象是紅十字會等人權組織和新聞媒體組織的工作人員。
Pegasus 的發現讓研究人員們第一次能夠真正了解 NSO 出品的惡意軟件的功能。自 2010 年創辦以來,NSO 已然成為業內傳奇,而公眾對其基本一無所知。NSO 的高管們極少接受媒體採訪,有關 NSO 的報道中也充斥着模糊的描述和未經證實的謠言。
NSO 聯合創始人 Omri Lavie 在 2013 年對《防務新聞》表示:“我們完全就是幽靈。”
《華爾街日報》在 2014 年的一篇簡短報道中稱,墨西哥政府已經採購了 NSO 的產品,甚至連美國中央情報局都表達了購買意向。報道還稱,NSO 的間諜軟件行銷全球。
現在 NSO 的間諜軟件遭到了曝光,使用的零日漏洞也得到了修補,它應該再也不能宣稱自己是“幽靈”了吧,雖然 NSO 可能還有其他零日漏洞和工具在手上。這也是研究人員們不指望自己的報告和蘋果的補丁能阻止 NSO 很長時間的原因。
Mike Murray 表示道:“單是給這些漏洞打補丁不可能讓 NSO 破產。”
更嚴重的是,Pegasus 的設定可以一路往下感染到 iOS 7,也就是説 NSO 很可能在 iPhone 5 時就能入侵 iPhone 了。
NSO 的發言人 Zamir Dahbash 在一份聲明中表示:“NSO 的使命是為獲得授權的政府提供幫助他們打擊恐怖活動和犯罪的技術,以便讓世界變得更美好。”
“NSO 只對獲得授權的政府機構銷售,完全符合嚴格的出口管制法律和法規。另外,NSO 並不負責運營售出的系統。我們是一家嚴格意義上的技術公司。購買我們產品的客户必須保證合法地使用我們的工具。我們還在合同中專門列出,我們的產品只能用於預防和調查犯罪。”
蘋果的反應
公民實驗室和 Lookout 的研究人員們在發現這些零日漏洞(代號 Trident)後,立刻聯繫了蘋果公司。蘋果公司用了 10 天時間來開發和發佈補丁。現在這一補丁已經加入到 iOS 9.3.5 的更新包中,所有 iPhone 用户都應該儘快下載和安裝這一更新。
蘋果發言人在一份聲明中表示:“我們在知道這些漏洞後立刻進行了修復,並在 iOS 9.3.5 更新中加入了這些補丁。”但這位發言人拒絕透露更多細節。
網絡安全公司 Trail Of Bits 首席執行官 Dan Guido 擁有豐富的 iOS 安全經驗,他表示這些極少出現在公眾視野中的攻擊並不出人意料。不過他表示,儘管現在又發現了三個零日漏洞,但 iPhone 還是要比Android手機安全得多。
Guido 説道:“和其他廠商相比,蘋果極大地提高了入侵蘋果設備的成本。但這一事件也顯示了需要有更好地針對 iOS 的入侵檢測手段。iOS 仍然是市面上最安全的消費設備。問題是,只有當你擁有懷疑精神以及在公民實驗室有朋友,才有可能知道自己的 iPhone 中是否安裝了惡意軟件。”
其他受害者
研究人員們還沒能找到其他 Pegasus 間諜軟件的樣本。但通過搜索類似鏈接和與此次攻擊以及 Stealth Falcon 有關的域名,他們發現了一條疑似針對肯尼亞不知名受害者的推文,還有一次針對墨西哥調查記者 Rafael Cabrera 的攻擊。
Rafael Cabrera 去年第一次受到了 NSO 惡意軟件的針對性攻擊,在今年 5 月又受到了第二次攻擊。在第二次攻擊中,黑客們試圖引誘他點擊一系列消息中的鏈接,如提供政府腐敗線索、話費消費 500 美元的警告短信乃至號稱是他妻子出軌的視頻鏈接。Rafael Cabrera 表示,他沒有點擊上述任何鏈接。
他表示道:“很明顯,他們想要我點擊鏈接,有點喪心病狂的感覺。”
Rafael Cabrera 並不想猜測誰是幕後黑手,政府或其他人都有可能。墨西哥政府可能是 NSO 的客户,但不清楚是否真的有警察或情報部門使用 NSO 的惡意軟件。墨西哥也是 Hacking Team 的最大客户,一些墨西哥政府部門被指控使用這些間諜軟件來針對記者和異見人士,而非犯罪分子。
最終,Rafael Cabrera 和 Ahmed Mansoor 的 iPhone 都沒有被黑,因為他們識破了黑客們的伎倆。當然,也可以説他們幸運。因為此前有過被政府黑客入侵的經歷,他們比一般人要更警覺。
但公民實驗室的 Bill Marczak 表示,他倆的遭遇可能預示着未來的風險。如果政府想要黑客工具而且願意支付高價錢,那麼 Hacking Team 和 NSO 這些公司仍然會繼續提供它們。公民實驗室在過去還記錄了數起政府利用間諜軟件對異見人士、記者和人權工作者發起的黑客攻擊,工具和 NSO 製造的類似。儘管公民實驗室公開了這些攻擊併發出警告,但還是不斷有類似的新攻擊出現。有時候攻擊是由同一政府發起的,甚至針對的是同一目標。
他表示道:“根本沒有什麼激勵,能讓 NSO 這些公司不向阿聯酋這種慣犯出售黑客工具。”
這也預示着間諜軟件行業一個新巨頭的崛起,在 FinFisher 和 Hacking Team 遭到嚴重黑客攻擊後,NSO 有着很大的增長空間。
而如果 Ahmed Mansoor 在 8 月 10 日點擊了那個鏈接,這些事情可能永遠也不會被人發現。
Via Vice
資料來源:雷鋒網
作者/編輯:管策
請按此登錄後留言。未成為會員? 立即註冊