伯克利研究生是如何發(fā)現(xiàn)蘋果設(shè)備超級(jí)間諜軟件Pegasus的

責(zé)任編輯:editor005

作者:clouds

2016-12-12 14:45:54

摘自:黑客與極客

今年夏天,作為Citizens Lab高級(jí)安全研究員的伯克利碩士Bill Marczak,偶然發(fā)現(xiàn)了蘋果超級(jí)間諜軟件Pegasus。Bazaliy回憶到,“還有一個(gè)問題就是,它看起來是一種加密的越獄方式,但我們當(dāng)時(shí)完全不知道它的解密算法”。

今年夏天,作為Citizens Lab高級(jí)安全研究員的伯克利碩士Bill Marczak,偶然發(fā)現(xiàn)了蘋果超級(jí)間諜軟件Pegasus。美國《名利場(chǎng)》雜志以此為主線,采訪事件相關(guān)人,揭露那些隱藏在人們生活暗處的間諜軟件公司。

事情起因

Bill Marczak,一頭棕色頭發(fā),留有標(biāo)志性的胡須,伯克利大學(xué)計(jì)算機(jī)系碩士剛畢業(yè),即將攻讀博士學(xué)位。不像伯克利大多數(shù)研究生那樣多話和夸夸其談,他話不多,比較安靜。Bill Marczak專注于中東地區(qū)民主人士與專制政權(quán)之間的網(wǎng)絡(luò)攻擊研究,他是這個(gè)新興網(wǎng)絡(luò)戰(zhàn)領(lǐng)域的優(yōu)秀分析師。同時(shí),Marczak還是加拿大多倫多大學(xué)公民實(shí)驗(yàn)室(Citizens Lab)的高級(jí)研究員。

事情發(fā)生8月10日的晚上,BillMarczak和女友在埃爾塞里托簡陋的公寓里熬夜收看著《星際迷航》的電視劇重播。睡覺前,Marczak像平常一樣,習(xí)慣性的看了一眼手機(jī)短信,他突然全身興奮地大叫起來,“哦,天哪!”,女朋友詫異地問道“怎么了?”,Marczak說“我想我發(fā)現(xiàn)大事了!”。隨后,他快速起身來到客廳打開電腦開始研究。

第二天早上,當(dāng)女友起床時(shí),Marczak還在電腦旁。他確實(shí)發(fā)現(xiàn)了件“大事”:阿聯(lián)酋的一位人權(quán)活動(dòng)家朋友給他轉(zhuǎn)發(fā)了一條短信,短信包含了一個(gè)網(wǎng)絡(luò)鏈接,點(diǎn)擊該鏈接后,將會(huì)向iPhone手機(jī)隱秘植入一個(gè)超強(qiáng)的間諜軟件。他正嘗試著從該間諜軟件中逆向出一部分底層代碼,但由于難度太大,所以他決定把短信內(nèi)容轉(zhuǎn)發(fā)給網(wǎng)絡(luò)安全公司Lookout的工程師進(jìn)行協(xié)助分析。Lookout的辦公室坐落于舊金山市區(qū)的摩天大樓內(nèi),從那里,可以看到金門大橋到奧克蘭的全景。

Lookout把任務(wù)交到了移動(dòng)安全專家Andrew Blaich和來自烏克蘭的代碼研究員Max Bazaliy手上,Blaich急迫地問Bazaliy:“你覺得這是什么東西?”,Bazaliy一臉發(fā)懵,用他那厚重的烏克蘭腔調(diào)回答到“還不清楚,但可以肯定的是,這非常嚴(yán)重。”

最終,兩人用了將近一天的時(shí)間把這個(gè)惡意軟件和其相關(guān)技術(shù)細(xì)節(jié)大致研究清楚。傍晚時(shí)分,Blaich和Bazaliy還在盯著代碼分析,“太不可思議了,它能實(shí)現(xiàn)麥克風(fēng)、郵件、短信等所有手機(jī)數(shù)據(jù)監(jiān)聽竊取,這絕對(duì)是有組織有目的的間諜軟件。”,Blaich說道。而Bazaliy認(rèn)為,這是他見過最厲害最完美的攻擊代碼。

Marczak發(fā)現(xiàn)的惡意軟件涉及iOS系統(tǒng)的3個(gè)0-day漏洞,很難發(fā)現(xiàn)且前所未見。iOS用戶點(diǎn)擊短信內(nèi)的鏈接后,攻擊者就會(huì)利用這3個(gè)漏洞,對(duì)用戶實(shí)現(xiàn)“遠(yuǎn)程越獄”,并安裝持久化間諜軟件。

曾幾何時(shí),網(wǎng)絡(luò)戰(zhàn)武器一直被強(qiáng)力國家機(jī)構(gòu)用于復(fù)雜的網(wǎng)絡(luò)戰(zhàn)較量中,如NSA、以色列和俄羅斯等,如2013年斯諾登曝光的大規(guī)模監(jiān)控丑聞,讓人震驚。雖然大部分普通公民認(rèn)為,只要自己不是罪犯或間諜,類似監(jiān)控事件似乎永遠(yuǎn)不可能發(fā)生在自己身上,但這僅只是個(gè)人認(rèn)為而已。自斯諾登事件以來,甚至更早以前,網(wǎng)絡(luò)安全專家就發(fā)現(xiàn),少數(shù)隱秘的安全公司已經(jīng)研發(fā)并向一些特殊機(jī)構(gòu)高價(jià)銷售其“政府級(jí)”間諜軟件。

眾所周知,iOS遠(yuǎn)程越獄不但能實(shí)現(xiàn)遠(yuǎn)程對(duì)蘋果設(shè)備的破解,還能對(duì)目標(biāo)iOS系統(tǒng)進(jìn)行遠(yuǎn)程控制并安裝任意軟件,對(duì)黑客來說,這簡直就是完美夢(mèng)想:能實(shí)時(shí)監(jiān)控用戶通信、監(jiān)聽麥克風(fēng)、記錄通話內(nèi)容等。

在Marczak發(fā)現(xiàn)該惡意軟件之前的兩個(gè)星期,中國的盤古團(tuán)隊(duì)公布了針對(duì)iOS 9.2和9.3.3的非完美越獄,這是最近5個(gè)月內(nèi)的首個(gè)公開的越獄方法。但是對(duì)于那些研究蘋果設(shè)備的黑客來說,“遠(yuǎn)程越獄”才是最完美的破解目標(biāo)。在早期的iOS系統(tǒng)中,jailbreakme工具可以實(shí)現(xiàn)一些版本的遠(yuǎn)程越獄;2015年9月,安全公司Zerodium以100萬美元的懸賞實(shí)現(xiàn)了對(duì)iOS 9.1和iOS 9.2的遠(yuǎn)程越獄。

今年8月,在Marczak和Lookout的研究發(fā)現(xiàn)之后,蘋果公司確認(rèn):在“野生的”網(wǎng)絡(luò)攻擊環(huán)境中存在一種真實(shí)的遠(yuǎn)程越獄方法。然而讓人吃驚的是,這種遠(yuǎn)程越獄方法已經(jīng)存在了多年。

Lookout安全研究副總裁 Mike Murray說,“這簡直就是一個(gè)詹姆斯·邦德的故事,這是真實(shí)世界中網(wǎng)絡(luò)軍火商與個(gè)人異見者的典型案例,在這之前,網(wǎng)絡(luò)武器還未被發(fā)現(xiàn)用來對(duì)付相關(guān)個(gè)體。Lookout研究員Seth Hardy強(qiáng)調(diào),這就像隱形轟炸機(jī),你雖然知道它的存在,但是不知道什么時(shí)候它會(huì)對(duì)你進(jìn)行轟炸。

0-day漏洞

如今,最有價(jià)值的黑客武器就是0-day漏洞,對(duì)于黑客來說,對(duì)于0-day漏洞的保密最為重要,一旦其攻擊代碼被曝光,無論是微軟、蘋果等其它涉及漏洞的公司將會(huì)立即釋放更新補(bǔ)丁,讓攻擊代碼毫無用處。Seth Hardy說,黑客要么對(duì)自己手上的0-day漏洞極為保密,要么把它們用來進(jìn)行黑市交易。

2010年,0-day漏洞交易在黑市極為活躍,這一切還要從法國安全研究公司VUPEN說起,當(dāng)時(shí),VUPEN對(duì)單個(gè)0-day漏洞的賞金和銷售價(jià)格一度達(dá)到了25萬美金,盡管其對(duì)外堅(jiān)稱的目的是為了使軟件行業(yè)更安全,但許多人對(duì)此非常質(zhì)疑,而像HP和微軟都曾出錢向VUPEN購買其受影響產(chǎn)品的漏洞。此后,漏洞交易和漏洞眾測(cè)業(yè)務(wù)的概念迅速在安全市場(chǎng)興起。而對(duì)于許多白帽黑客來說,雖然其挖掘的一些漏洞賞金遠(yuǎn)遠(yuǎn)不及VUPEN那樣高昂,但這也催生了一條即不違法但又能賺錢的途徑,另外,有些黑客還可能因此從事利潤豐厚的安全咨詢工作。

“VUPEN對(duì)0-day漏洞的銷售導(dǎo)致了黑客領(lǐng)域的一個(gè)分水嶺。如果你手頭有0-day漏洞,你會(huì)把它們賣個(gè)高價(jià)錢還是愿意保持沉默?顯而易見,很多黑客會(huì)把它賣掉,只有極少數(shù)真正的黑帽黑客不會(huì)這樣做”,Hardy說。

在如今的黑市中,你不知道誰才是真正的漏洞賣家,但人們會(huì)普遍懷疑政府才會(huì)通過這種高科技手段對(duì)公民進(jìn)行監(jiān)控。美國公民自由聯(lián)盟(ACLU)的技術(shù)專家Chris Soghoian說,“在2011到2012年期間,市面上流行大肆吹噓0-day漏洞的價(jià)格,而一些使用0-day漏洞對(duì)民主人士進(jìn)行監(jiān)控的政府機(jī)構(gòu)卻不愿對(duì)此承認(rèn),這或許是0-day漏洞由明轉(zhuǎn)暗的一個(gè)市場(chǎng)轉(zhuǎn)折點(diǎn)。”

年,《福布斯》報(bào)道了一名身處泰國,在業(yè)內(nèi)化名“The Grugq”的南非籍安全研究員,他在黑客朋友與政府買家間牽線搭橋,從每筆交易總額中收取15%的傭金。他向記者透露,到2012年底的時(shí)候,他已經(jīng)賺到了大約100萬美元的傭金,出價(jià)最高的通常為美國政府部門或歐洲政府部門。媒體還刊登了一張他拍攝于曼谷某酒吧的照片,照片中,他的腳邊放著一個(gè)裝滿現(xiàn)金的小背包,顯然是某個(gè)賣家付給他的傭金。The Grugq 在Twitter上被稱為“網(wǎng)絡(luò)軍火商”。Soghoian說,這或許是一個(gè)里程碑,因?yàn)樵诖酥斑€沒有對(duì)黑客軍火商的相關(guān)公開報(bào)道,這讓這個(gè)行業(yè)備受關(guān)注。同時(shí),也為黑客向政府販賣漏洞工具的社會(huì)認(rèn)可起到了一些宣傳作用。

>

政府間諜

Bill Marczak剛上研究生時(shí)的方向是大數(shù)據(jù)分析,對(duì)網(wǎng)絡(luò)安全行業(yè)了解甚少。Marczak出生于紐約,由于父親從事國際金融行業(yè),全家曾從紐約輾轉(zhuǎn)香港,再到后來的巴林,在那里,Marczak度過了自己的高中時(shí)代。2010年,在阿拉伯之春的浪潮下,巴林成為了一個(gè)暴動(dòng)地區(qū),在伯克利上學(xué)的Marczak通過互聯(lián)網(wǎng)了解到了政府對(duì)民眾的暴力鎮(zhèn)壓,于是,他開始以寫博客的方式來參與了這場(chǎng)民主運(yùn)動(dòng)。2012年,他與另外兩名人權(quán)活動(dòng)家成立了名為“巴林觀察”的網(wǎng)絡(luò)組織。

轉(zhuǎn)變發(fā)生在2012年5月,Marczak在巴林的同事都收到了一封來自不明身份記者的可疑郵件,Marczak和來自Citizen Lab的安全研究者M(jìn)organ Marquis-Boire共同對(duì)這封郵件進(jìn)行了分析。分析發(fā)現(xiàn),郵件附件的word文檔會(huì)向受害者電腦或手機(jī)植入秘密的間諜監(jiān)控程序,經(jīng)過對(duì)可疑程序的深入挖掘研究,他們發(fā)現(xiàn)了一個(gè)在程序代碼中被反復(fù)引用的單詞“FinSpy”。

很快,他們便發(fā)現(xiàn)FinSpy間諜程序的另外一個(gè)名稱“FinFisher”,一款由英國安全監(jiān)控公司Gamma Group開發(fā)銷售的一體化間諜軟件,Gamma Group聲稱FinSpy是合法監(jiān)控工具,主要用于政府犯罪和間諜執(zhí)法工作。而據(jù)去年某些民主人士曝料的文件顯示,埃及政府曾出價(jià)353,000美元采購了FinFisher軟件監(jiān)控異議人士,這些發(fā)現(xiàn)表明,Gamma的軟件產(chǎn)品不只針對(duì)特定的政府執(zhí)法,還被用到針對(duì)異見者的監(jiān)控活動(dòng)中。Marczak和Citizen Lab最終研究發(fā)現(xiàn),全球25個(gè)國家都發(fā)現(xiàn)了FinSpy感染的蹤跡,而Gamma公司卻矢口否認(rèn),聲稱那些軟件只是被竊取的程序副本。

同時(shí),安全公司Rapid7的研究員Claudio Guarnieri通過對(duì)FinFisher的代碼進(jìn)行分析后發(fā)現(xiàn),F(xiàn)inFisher的C&C服務(wù)器IP地址只要被執(zhí)行ping命令之后,都會(huì)附帶一個(gè)奇怪的回應(yīng):Hallo Steffi,于是,Guarnieri便以此為出發(fā)點(diǎn)開發(fā)了一個(gè)程序探測(cè)互聯(lián)網(wǎng)上作此回應(yīng)的服務(wù)器,數(shù)周后,Guarnieri發(fā)現(xiàn)在10多個(gè)國家都存在此類服務(wù)器,其中中東地區(qū)國家尤為廣泛,包括卡塔爾、埃塞俄比亞和阿聯(lián)酋等。

然而,有很多安全公司和Gamma一樣,在我們看不見的陰暗處。2012年7月,就在Citizen Lab發(fā)布對(duì)FinSpy的報(bào)告之后幾天,摩洛哥維權(quán)組織Mamfakinch就發(fā)文聲稱,他們收到了一封可疑的釣魚郵件,該郵件與阿聯(lián)酋民主人士Ahmed Mansoor曾經(jīng)收到的釣魚郵件高度相似,都會(huì)向電腦植入鍵盤和應(yīng)用程序監(jiān)控的間諜程序。

俄羅斯殺毒軟件公司Dr Web經(jīng)過分析,確認(rèn)Mamfakinch 和Mansoor的電腦設(shè)備上被植入了意大利Hacking Team公司的間諜軟件。與Gamma不同,Hacking Team由兩個(gè)意大利程序員于2003年成立,在安全圈小有名氣,可以算是第一批銷售商業(yè)黑客工具和監(jiān)控產(chǎn)品的安全公司,它的早期軟件曾被米蘭警方大規(guī)模用于民眾監(jiān)控。Hacking Team在美國在內(nèi)的三個(gè)國家都設(shè)有辦事處,隨著其不斷的市場(chǎng)拓展,已經(jīng)成為全球知名的網(wǎng)絡(luò)武器經(jīng)銷商。Hacking Team的客戶包括各國執(zhí)法機(jī)構(gòu),以及聯(lián)合國武器禁運(yùn)(NATO)清單上的國家,包括摩洛哥、阿聯(lián)酋政府等。

比較諷刺的是,后來名為“Phineas Fisher”的黑客在網(wǎng)上泄露了Hacking Team 400多G的內(nèi)部文件,這些文件中曝光的郵件記錄和合同發(fā)票顯示,Hacking Team的客戶包括摩洛哥、馬來西亞、沙特阿拉伯、烏干達(dá)、埃及、阿曼、土耳其、烏茲別克斯坦、尼日利亞、埃塞俄比亞、蘇丹、哈薩克斯坦、阿塞拜疆、巴林、阿爾巴尼亞等大部分中東國家,以及三個(gè)美國執(zhí)法機(jī)構(gòu):FBI、DEA、DoD。

Chris Soghoian說,Hacking Team被黑事件影響很大,因?yàn)樵谶@之前研究人員只能通過FinFisher的C&C服務(wù)器來作出間接判斷,并沒有其它確鑿證據(jù)。盡管曝光事件發(fā)生后,Hacking Team的業(yè)務(wù)量有所減少,但對(duì)整個(gè)間諜軟件和監(jiān)控行業(yè)的影響不是太大,其它秘密安全公司一直在不斷擴(kuò)展業(yè)務(wù),像Gamma的全球市值已經(jīng)超過50億美元。

Hacking Team數(shù)據(jù)泄露事件之后一個(gè)月,由VUPEN共同投資人成立的Zerodium公司對(duì)外懸賞100美金征集iOS遠(yuǎn)程越獄工具。在Zerodium公布賞金之后的幾天,中東之眼的倫敦人權(quán)作者Rori Donaghy收到了一封釣魚郵件,他把郵件轉(zhuǎn)發(fā)給了Marczak。郵件大致內(nèi)容為邀請(qǐng)參加名為“斗爭權(quán)利”(the Right to Fight)的論壇會(huì)議,在其中包含了一個(gè)下載執(zhí)行word文檔的網(wǎng)頁鏈接,點(diǎn)擊鏈接執(zhí)行word文檔后,將會(huì)向電腦隱秘植入間諜軟件。Marczak經(jīng)過分析確認(rèn),很多波斯灣地區(qū)的民主人士都受到了同樣釣魚郵件的攻擊,之后,Marczak和Citizen Lab把這波攻擊命名為:Stealth Falcon。

Marczak分析發(fā)現(xiàn)郵件發(fā)送服務(wù)器涉及數(shù)百個(gè)IP地址,每個(gè)IP都具有包含虛假注冊(cè)信息的特定域名。另外,這些域名中有三個(gè)假冒阿拉伯新聞網(wǎng)站,并且都包含有“SMSer.net”字段,Marczak通過域名比對(duì)發(fā)現(xiàn)有120多個(gè)移動(dòng)公司域名與此類似,大部分以色列街道名稱與這些域名字段相關(guān)。

Marczak回憶說,那時(shí)他高度懷疑是NSO Group,但沒有明確證據(jù)。作為一家以色列間諜軟件監(jiān)控公司,NSO Group沒有官方網(wǎng)站,非常低調(diào),曾把其公司的某項(xiàng)控股權(quán)以1億兩千萬美元賣給舊金山某私募基金。第二年初,在Citizen Lab實(shí)驗(yàn)室,他發(fā)現(xiàn)Stealth Falcon前后從67個(gè)不同服務(wù)器上進(jìn)行部署攻擊,有400多名全球受害者,在24名阿聯(lián)酋受害者中,至少有三人在遭到間諜軟件攻擊開始不久后被捕;另一人被判因侮辱阿聯(lián)酋統(tǒng)治者罪名。但是在Citizen Lab對(duì)外發(fā)布的報(bào)告中,并沒有提到NSO Group。

而對(duì)Marczak本人來說,事情還沒完。

繼續(xù)調(diào)查

8月10日,Marczak在伯克利收到的郵件來自阿聯(lián)酋異見者Ahmed Mansoor,他被控侮辱當(dāng)局政府,并因此受到監(jiān)禁毆打和沒收護(hù)照,他的車莫名其妙被偷,銀行賬戶被置空。

非常讓Marczak興奮的是,Mansoor轉(zhuǎn)發(fā)給他的釣魚郵件中包含了一個(gè)域名“sms.webadv.co”,他突然想起來這與Stealth Falcon攻擊事件中他懷疑是NSO公司,用來進(jìn)行郵件發(fā)送和控制回連的域名高度相似。在客廳里,Marczak用程序把電腦模擬成手機(jī)客戶端,對(duì)釣魚郵件植入的間諜軟件進(jìn)行監(jiān)測(cè)。

當(dāng)Marczak點(diǎn)擊了釣魚郵件鏈接之后,他的Safari瀏覽器出現(xiàn)了閃退現(xiàn)象,在此監(jiān)測(cè)過程中,他發(fā)現(xiàn)了間諜軟件成功利用Safari瀏覽器實(shí)施了第一階段感染行為。由于Marczak 使用Ios 9.3.3進(jìn)行模擬測(cè)試,而在Ios 9.3.4中,Safari沒有任何更新,Marczak敏銳地意識(shí)到這是一個(gè)0-day漏洞。當(dāng)深入研究植入間諜軟件釋放的相關(guān)javascript時(shí),大部分都是加密代碼,非常難懂,令人費(fèi)解,在Citizen Lab協(xié)調(diào)下,Marczak找到了手機(jī)安全架構(gòu)的頂級(jí)供應(yīng)商LookOut。

LookOut于2007年由三位南加洲大學(xué)的安全成立,JohnHering,Kevin Mahaffey和JamesBurgess。成立初期,他們?cè)l(fā)現(xiàn)了Nokia 3610手機(jī)藍(lán)牙連接無線耳機(jī)的一個(gè)漏洞,漏洞對(duì)數(shù)百萬部手機(jī)造成影響,當(dāng)他們告知Nokia時(shí),Nokia卻以藍(lán)牙通信超出30英尺范圍內(nèi)將受限制為由,拒絕對(duì)漏洞作出修補(bǔ)。出于不服,他們開發(fā)了一款名為“BlueSniper rifle”的藍(lán)牙范圍擴(kuò)大嗅探器,并把它帶到了2005年奧斯卡頒獎(jiǎng)禮現(xiàn)場(chǎng),結(jié)合漏洞,他們輕易獲取到了很多娛樂圈名流的個(gè)人手機(jī)信息。最終,Nokia總算屈服了。

LookOut的Seth Hardy回憶道,“Marczak在一大早打電話給我,告訴我通過這個(gè)鏈接結(jié)合0-day漏洞可以向iPhone植入間諜程序,那時(shí)候,我想,這非常罕見,出大事了。”

Hardy首先想到了LookOut 29歲,來自基輔理工學(xué)院的碩士生Max Bazaliy,他是公司唯一一個(gè)對(duì)越獄有深入研究的人。于是Max Bazaliy和Andrew Blaich共同對(duì)Marczak發(fā)來的捕獲代碼展開研究。電腦屏幕上,1400多行彩色代碼像是一大團(tuán)沙拉醬,讓人頭暈。LookOut安全研究負(fù)責(zé)人Mike Murray說,“當(dāng)時(shí)事態(tài)非常嚴(yán)重,但我們不確定真正的原因,最終,我們選擇按最壞的場(chǎng)景-遠(yuǎn)程越獄來分析”。

代碼分析

許多間諜軟件分三個(gè)階段執(zhí)行惡意行為,第一階段為感染滲透目標(biāo)用戶設(shè)備,第二階段為執(zhí)行監(jiān)控準(zhǔn)備,最后,通過遠(yuǎn)程控制服務(wù)器下載安裝間諜程序包,一些分發(fā)和配置行為也在此階段完成。LookOut工程師最后分析認(rèn)為,間諜程序使用了Safari的0-day漏洞。Mike Murray說,通過此0-day漏洞,可以攻擊滲透世界上任何一部蘋果的設(shè)備。

Marczak發(fā)現(xiàn)的代碼被完全加密混淆,Blaich 和Bazaliy花了幾個(gè)小時(shí)才把間諜程序的各個(gè)組件識(shí)別出來,之后,找到了程序執(zhí)行監(jiān)控行為的入口,但是,由于Marczak在間諜程序還未被完全植入之后就切斷了網(wǎng)絡(luò)連接,更糟糕的是,Marczak點(diǎn)擊的釣魚鏈接還是“一次性使用”的鏈接。

但是,Blaich 和 Bazaliy認(rèn)為可以通過程序第一階段代碼中的URL信息追溯到遠(yuǎn)程C&C服務(wù)器,但當(dāng)他們把疑似C&C地址分析出來時(shí),卻發(fā)現(xiàn)IP被限制訪問,最終他們通過VPN方式連接上了這個(gè)C&C地址。

Bazaliy回憶到,“還有一個(gè)問題就是,它看起來是一種加密的越獄方式,但我們當(dāng)時(shí)完全不知道它的解密算法”。

他們花了幾個(gè)小時(shí)尋找解密方法,最終意識(shí)到了真正的答案:程序的第一階段行為需要知道解密方法,才能實(shí)施第二階段植入!于是,他們?cè)诘谝浑A段的大量代碼中慢慢拼湊出了完整的解密方法。

Mike Murray解釋說,iPhone和其它系統(tǒng)程序都會(huì)通過“隨機(jī)化”應(yīng)用來保護(hù)內(nèi)核,黑客越獄需要準(zhǔn)確捕捉到其內(nèi)核地址,而程序第二階段的代碼行為總是在尋找內(nèi)核程序,原因只有一個(gè),它想嘗試進(jìn)行越獄。

令他們吃驚的是,該間諜程序的子程序中還包含了另外一個(gè)0-day漏洞,兩個(gè)0-day漏洞同時(shí)出現(xiàn)在一個(gè)可疑程序中,這非常罕見。雖然Bazaliy斷定這是遠(yuǎn)程越獄,但因?yàn)闆]有第三階段代碼,而點(diǎn)擊鏈接又是失效狀態(tài),所以不能明確證明,分析一度陷入停滯狀態(tài)。

意外轉(zhuǎn)機(jī)

意外的是,沒過幾天,Marczak就又從Mansoor那里收到了另外一封類似的轉(zhuǎn)發(fā)郵件,令人難以置信的是,其中又包含了一個(gè)sms.webadv.co的網(wǎng)頁鏈接。Marczak覺得阿聯(lián)酋政府如此盲目自大,非常明目張膽。

這一次,Marczak不想錯(cuò)過任何機(jī)會(huì)。他意識(shí)到Mansour使用的是運(yùn)行iOS 9.3.3的iPhone 5,如果使用其它版本的系統(tǒng)來監(jiān)測(cè)間諜程序,可能會(huì)出現(xiàn)異常,之后,Marczak便開始在伯克利實(shí)驗(yàn)室尋找iOS9.3.3的iPhone手機(jī),最終,一個(gè)同事把他女朋友擱置的專門用來聽音樂的iPhone5手機(jī)拿給了Marczak。

第二天早上,Marczak在實(shí)驗(yàn)室里搭建了一個(gè)無線網(wǎng)絡(luò),把清除數(shù)據(jù)的手機(jī)和筆記本電腦接入網(wǎng)絡(luò),為了便于觀察,他把手機(jī)系統(tǒng)網(wǎng)絡(luò)運(yùn)行流量監(jiān)測(cè)窗口轉(zhuǎn)換到了筆記本電腦,并用VPN把網(wǎng)絡(luò)設(shè)置為阿聯(lián)酋地區(qū)的IP地址。Marczak屏住呼吸把釣魚郵件鏈接粘貼到了手機(jī)的Safari瀏覽器中,點(diǎn)擊運(yùn)行,短暫的10秒之后,Safari出現(xiàn)了閃退,Marczak高興地大叫起來。然而,他意識(shí)到,此時(shí)可能一個(gè)惡意程序已經(jīng)被植入到了手機(jī)中,下一步,惡意程序可能會(huì)對(duì)手機(jī)實(shí)行“遠(yuǎn)程越獄”操作,這對(duì)普通黑客來說,從來沒人親眼見過。

突然,幾行對(duì)手機(jī)進(jìn)行入侵的彩色代碼出現(xiàn)在了電腦屏幕上,Marczak回憶到,“當(dāng)時(shí)手機(jī)沒有一點(diǎn)異常反應(yīng),如果第一階段是執(zhí)行exploit的話,這一階段應(yīng)該是突破內(nèi)核保護(hù),實(shí)現(xiàn)遠(yuǎn)程越獄,真正植入監(jiān)控程序的過程”,一切沒有出乎竟料,當(dāng)所有攻擊代碼執(zhí)行完畢后,網(wǎng)絡(luò)監(jiān)測(cè)窗口顯示,手機(jī)正試圖與一個(gè)阿聯(lián)酋政府控制的服務(wù)器IP進(jìn)行聯(lián)系,但其網(wǎng)絡(luò)連接似乎并沒有成功。Marczak只好把此次捕獲的相關(guān)代碼發(fā)送給了LookOut公司共同研究,隨后,他們?cè)谀嫦蜻^程中發(fā)現(xiàn),間諜軟件開發(fā)者在攻擊代碼中暴露了很多“Pegasus Protocol”字符串,他們追蹤到了試圖與手機(jī)通訊的服務(wù)器 IP 地址,并匹配到了 Stealth Falcon 的基礎(chǔ)設(shè)施中也包含這一服務(wù)器和 IP 地址,更巧的是,他們發(fā)現(xiàn)一位 NSO 員工注冊(cè)的域名也指向同一IP 地址。所有跡象都明顯指向以色列的間諜軟件公司NSO,而此次被發(fā)現(xiàn)的間諜程序也被Citizen Lab和LookOut共同命名為“Pegasus”。

Mike Murray說,Pegasus幾乎能執(zhí)行所有監(jiān)控功能,在這之前,絕無僅有。而Blaich則強(qiáng)調(diào),中招Pegasus后,手機(jī)可能會(huì)出現(xiàn)耗電量增加的情況,持續(xù)耗電一段時(shí)間后,Pegasus還會(huì)自動(dòng)關(guān)閉程序,有時(shí),它甚至?xí)却謾C(jī)連接到WI-FI之后,才會(huì)向外傳輸大容量數(shù)據(jù),非常智能。

LookOut認(rèn)為蘋果用戶面臨極大的安全風(fēng)險(xiǎn),在公司內(nèi)部商議之后,決定立刻聯(lián)系蘋果公司。而據(jù)Hardy回憶,他們剛開始聯(lián)系蘋果公司,有點(diǎn)搞笑,當(dāng)告知了蘋果設(shè)備存在遠(yuǎn)程越獄的信息后,蘋果公司卻趾高氣揚(yáng)地作出回應(yīng)“是的,是的,這些我們之前就有所了解,你們說的是什么?”,當(dāng)LookOut把部分漏洞報(bào)告發(fā)送過去后,幾個(gè)小時(shí)之后,蘋果公司回了電話,表示這非常嚴(yán)重,并要求LookOut把所有相關(guān)細(xì)節(jié)發(fā)送給他們。最終,蘋果公司用了 10 天時(shí)間來開發(fā)補(bǔ)丁,并及時(shí)把更新加入到 iOS9.3.5的升級(jí)包中。

這是一個(gè)繁雜而又振奮人心的故事,在與黑客的較量中,蘋果和其它電子設(shè)備制造商可能正在慢慢輸?shù)暨@場(chǎng)斗爭。就像最近發(fā)生的僵尸網(wǎng)絡(luò)DDoS攻擊一樣,我們永遠(yuǎn)也無法想像黑客的下一個(gè)究竟目標(biāo)是什么。而與此相比,一些間諜軟件公司卻花費(fèi)精力研究如何監(jiān)控普通民眾。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)