大家好,我是零日情報局。
本文首發公眾號 零日情報局,微信ID:lingriqingbaoju。
天下人權鬥士苦NSO久矣,今天我們來說一說殺人不見血的國際監控組織NSO。
來自以色列的NSO集團,是世界上最秘密的監視技術製造商,也是令人聞風喪膽的“網路軍火商”。它最得意的網路武器Pegasus,就是一款可以監控目標人物的手機間諜軟體。
攻擊者首先會構造一個包含漏洞利用的特製連結傳送到目標人物手機中,一旦目標人物點選該連結,就會實現一系列的0-day攻擊,在隱蔽和無許可權需要的情況下安裝惡意軟體,最終攻擊者就能控制該手機。
據統計,Pegasus被用在全球至少45個國家,至少10個攻擊組織在進行著活躍的跨境入侵監控行為。
更瘮人的是,別人家的軟體要錢,NSO家的軟體要命。
在2016年,阿聯酋著名人權捍衛者艾哈邁德·曼索爾(Ahmed Mansoor)聯絡到Citizen Lab組織,分享了自己手機中包含Pegasus的訊息,而經Lookout公司研究發現,最終以報告的形式,向世人揭露了Pegasus手機監測軟體的醜陋面容。
這款軟體主要進行監測與攻擊,而在針對阿聯酋人權維護者Ahmed Mansoor進行針對性攻擊。
不止阿聯酋,遠在墨西哥的人權鬥士同樣如此。
2017年,墨西哥調查記者Javier Valdez被人從車內拖出,連射12槍,倒在了自己一手創辦的《Riodoc》週刊編輯部附近。
槍擊案前,Javier Valdez 和同事們收到了精心設計的簡訊,手機在無感知的情況下被安裝了Pegasus軟體。從此,手機像開啟了大閘,各種私人郵件、敏感資訊、圖片影片源源不斷被送到犯罪分子手中,一場慘劇由此釀成。
在 Javier被謀殺一週之後,他那同為記者的妻子也成為 Pegasus 惡意軟體的攻擊目標,以及二十多個記者同事。
Pegasus殺紅了眼,沙特政府表示這很NSO,反手就從他們那兒購買了服務。
到了2018年,沙特的異見人士卡舒吉慘遭肢解,血腥程度讓全球震驚了。這位記者之所以能在短短十幾分鍾時間,以極其殘忍暴力的方式,撒手人寰,同樣與Pegasus惡意軟體密切相關。
原來,手機中暗藏的毒瘤Pegasus ,暴露了這位記者的全部行蹤,也讓15人的暗殺小組有可乘之機,活活將卡舒吉割頭、斷指……完全肢解,上演人間慘劇。
從阿聯酋、墨西哥到沙特,Pegasus帶來的屠殺遠沒有結束。2019,“殺人軟體”Pegasus再次在摩洛哥露頭,有機構曝光摩洛哥知名人權捍衛者(HRD)馬蒂·蒙吉布和Abdessadak El Bouchattaoui遭到NSO集團間諜軟體的定向攻擊,且極可能是此前一次次上演屠殺風波的Pegasus軟體。
曝光內容中指出,此次攻擊,最早可追述到2017年10月,由於目標更側重於縮小兩位人權捍衛者開展工作的空間,讓他們“免於一死”,不過後續是否會受到生命威脅,沒有人敢斷言。
簡訊釣魚攻擊細節
我們發現,馬蒂二人遭受的是惡意簡訊攻擊。
這些簡訊包含著指向NSO Group的Pegasus間諜軟體網站的惡意連結,如果點選了簡訊中的連結,那麼他們手機就會被強行安裝Pegasus。
像“澳門博彩”一樣煩人的垃圾簡訊,源源不斷地發到馬蒂二人手機,而且還都是一模一樣的文字內容,是不是感覺像吞了蒼蠅一樣噁心?
那就對了,攻擊者“貼心”地附上停止接收的辦法:點選(惡意)連結。
每天接收這些奇奇怪怪的簡訊,提心吊膽著自己手機被監控,更害怕說了什麼不該說的內容。
二人表示壓力山大,換作是我也得慌得一批。
網路劫持攻擊細節
因為Safari的瀏覽歷史記錄都儲存在本地的SQLite資料庫中,這些資料不僅保留了特定連結的單獨訪問記錄,還記錄了其初始訪問和最終訪問的記錄。
所以我們能夠重現攻擊過程中的網頁重定向和按時間排序的網頁請求。
7月22日,馬蒂開啟Safari瀏覽器,並在位址列中手動輸入“yahoo.fr”訪問雅虎,然後Safari首先與http:// yahoo.fr 進行未加密的連線。
通常情況,雅虎會立即將瀏覽器重定向到其預設的TLS安全站點https://fr.yahoo.com/。但是,馬蒂的瀏覽器歷史記錄顯示,該頁面顯示不到3毫秒,就重定向到非常可疑的網站:
hxxps://bun54l2b67.get1tn0w.free247downloads.com:30495/szev4hz
在這次訪問之後,又重定向到了當前域名另外一個不同引數的地址:
hxxps://bun54l2b67.get1tn0w.free247downloads.com:30495 / szev4hz#048634787343287485982474853012724998054718494423286
注意,僅當訪問未加密傳輸的http連線時,才可以進行這種重定向,例如http://yahoo.fr。
大約30秒後,馬蒂再次訪問Yahoo,不過這一次是在Google上搜尋“yahoo.fr mail ”,他被定向到了正確地址,然後他在該頁面閱讀電子郵件。
我們認為,這是典型的網路被劫持的表現,通常這類攻擊被稱為“中間人”攻擊。
攻擊者已經控制了目標的網路連線,可以監視和劫持目標的網路請求及流量,從而任意更改目標裝置的網路訪問行為,例如可以將裝置重定位到惡意網站,並且整個過程無需受害者進行任何互動操作。
這樣的攻擊可能發生在和目標裝置相連的任何網路節點。在這種情況下,由於目標裝置是iPhone,僅透過行動網路連線,因此最有可能的攻擊節點可能是放置在目標附近的惡意移動基站,或者可能移動運營商的核心網路基礎設施被控制後啟用這種型別的攻擊。
除此以外,由於此攻擊是透過網路“無感知”執行的,而不是透過惡意簡訊和社會工程學執行的,因此它避免任何使用者互動,對受害者幾乎不可見蹤跡、極難發現。
換言之,當馬蒂訪問雅虎時,他的電話可能受到了中間人攻擊,Safari的網路訪問被自動重定向到惡意軟體的伺服器,繼而試圖靜默安裝間諜軟體。
對裝置的進一步分析,發現了在2019年3月至2019年7月之間,間諜軟體Pegasus至少對馬蒂進行了四次類似的中間人攻擊嘗試。(注意:每次嘗試後,重定向的URL隨不同的子域,埠號和URI都會略有變化。)並且很顯然,至少成功進行了一次中間人攻擊。
還有更雞賊的,大家都知道,每當應用程式崩潰時,iPhone都會儲存一個日誌檔案,跟蹤崩潰的確切原因,這些崩潰日誌可以無限期地儲存在手機上。
而對馬蒂的手機分析發現:有一次,在Safari重定向發生後的幾秒鐘,所有這些崩潰檔案咔咔咔全都被清除。這很可能是間諜軟體故意執行的清除操作,目的是清除漏洞利用的痕跡,然後執行攻擊並強制重啟手機。
分析發現,馬蒂收到的惡意簡訊中主要包含以下3個域名:
如果以為域名就這幾個,抱歉了,NSO集團釋出的惡意域名六百個起步,並且與一些國家/地區強相關。國際駭客組織不都這樣嗎?一般不出手,出手不一般。
例如,使用國家程式碼(例如“zm”)的域名很可能是與尚比亞相關,並以“zm”作為字尾或字首來突出顯示。
例如剛果:
或與非洲地區相關:
我們還發現了許多域名,這些域可能是與俄語國家相關,例如:
許多域名則很可能與哈薩克相關:
而這些域名使用了拉脫維亞語,很可能針對的拉脫維亞的目標:
以下域名可能在匈牙利使用:
還更多以假亂真的新聞網站域名,我都有點相信是真的:
零日反思
不只屠殺,更是網路安全“核威脅”
去年同期,CitizenLab(公民實驗室)指出,在全球範圍內共有174人被公開報導受到了NSO間諜軟體的侵害,而這只是已知的人數,當前被攻擊而不自知的受害者也大有人在。
尼莫拉說:
他們追殺猶太人,我沒有說話——因為我不是猶太人;
最後他們奔我而來,卻再也沒有人站起來為我說話了。
最終,NSO集團製造的“網路炸彈”,會不會威脅到每一個人。
零日情報局編輯
微信公眾號:lingriqingbaoju
如需轉載,請後臺留言
歡迎分享朋友圈
參考資料:
AMNESTY《摩洛哥:以NSO Group的間諜軟體為目標的人權維護者》《國際特赦組織在NSO推動的運動目標中》