关于苹果iOS9.3.5修复的超级大漏洞
这条短信的内容很唬人,写着“阿联酋国家监狱里的虐囚新消息”,还配上了一条链接。
在之前的斗争中,阿联酋政府就使用FinFisher和Hacking Team等公司的商业间谍软件对Ahmed Mansoor实施过黑客行动。因此,Ahmed Mansoor对这条短信产生了怀疑,没有点击链接,而是把短信转发给了在多伦多大学蒙克全球事务学院公民实验室(Citizen Lab)工作的Bill Marczak。
结果显示,这条短信的确有问题,其附带的链接指向的是一个成熟的恶意软件。这个恶意软件利用了苹果iOS操作系统三个不为人知的漏洞,从而可以让黑客完全控制Ahmed Mansoor的iPhone。这就是公民实验室和移动安全公司Lookout于本周四发布的联合报告的结论。
这是首次有人公开披露这类攻击。在这之前,还从未有人见过同时利用三个未知漏洞又称零日漏洞来试图控制iPhone。用于此次攻击的工具和技术差不多算得上是给iPhone进行远程越狱,价值更是高达百万美元。在这些研究人员们警告苹果后,苹果很快在周四发布了更新来修复这些漏洞。
问题是:谁策划了这次攻击,他们用了哪些技术来实现?
研究人员们发现,提供此次攻击用到的间谍软件和零日漏洞的是一家不知名的以色列监控公司NSO Group。在Lookout负责研究的副总裁Mike Murray看来,NSO Group“基本上就是网络攻击军火商”。
公民实验室和Lookout的研究人员们对这一前所未见的恶意软件感到震惊。
Mike Murray表示:“之前从未有人发现过这种恶意软件,基本上只需在iPhone上点击一下链接就能越狱。它是我们从业以来见过的最成熟的网络间谍软件。”
自2010年创办以来,NSO就逐渐树立了为政府提供监控手机的成熟恶意软件的名声。但在此之前,对NSO工具的使用从未出现在任何政府文件上。NSO宣称,其产品极其隐蔽,就像“幽灵”一样。NSO本身也像“幽灵”一样,没有官网,也几乎不接受采访或对报道置评。但还是有一些NSO的信息泄露了出来,包括其在2014年获得了一家美国风险投资公司1.2亿美元的投资,以及估值达到了10亿美元。
NSO的恶意软件Pegasus旨在悄无声息地感染iPhone,并能窃取、窃听被感染iPhone中的所有数据和通讯。
Mike Murray解释道:“Pegasus会窃取iPhone中的所有信息,窃听所有通话,窃取所有短信、电子邮件、联系人。它还会给iPhone上的所有通讯机制添加后门。它能窃取 Gmail、Facebook、Skype、Whatsapp、Viber、微信、Telegram等应用中的所有信息。”
在Mike Murray和Lookout员工的帮助下,公民实验室的Bill Marczak和John Scott-Railton先在一台测试iPhone上点击了链接,让它感染Pegasus,以研究Pegasus的具体用途。
此次针对Ahmed Mansoor的攻击,以及公民实验室追踪到的另一次攻击显示,著名的Hacking Team和FinFisher并不是个例,还有其他公司加入到了向政府提供黑客服务这一日益壮大的市场中来。
NSO是如何被抓住现形的
在今年5月,公民实验室发现了一个代号Stealth Falcon的成熟黑客团体。虽然无法证实,但他们怀疑Stealth Falcon和阿联酋政府有关联,主要针对阿联酋国内外的异见人士。
通过对Stealth Falcon的研究,公民实验室理出了这一团体的大部分基础设施,包括用来窃取数据的服务器和域名。但公民实验室无法找到这些黑客所使用的恶意软件样本。从8月10日Ahmed Mansoor给Bill Marczak转发短信的那一刻起,这一切都改变了。
在Bill Marczak和John Scott-Railton研究了Pegasus后,他们追踪到了与Pegasus通讯的服务器及IP地址,并匹配到Stealth Falcon的基础设施中也包含这一服务器和IP地址。随后,他们发现一位NSO员工注册的域名也指向同一IP地址。
更重要的是,Pegasus的开发者在Pegasus中留下了一个暴露了很多信息的字符串“PegasusProtocol”(Pegasus协议),这明显指出了这一NSO间谍软件的代号。研究人员们还发现了更多和NSO及其客户基础设施有关联的域名,其中一些显然是被设计用来作为钓鱼网站,对象是红十字会等人权组织和新闻媒体组织的工作人员。
Pegasus的发现让研究人员们第一次能够真正了解NSO出品的恶意软件的功能。自2010年创办以来,NSO已然成为业内传奇,而公众对其基本一无所知。NSO的高管们极少接受媒体采访,有关NSO的报道中也充斥着模糊的描述和未经证实的谣言。
NSO联合创始人Omri Lavie在2013年对《防务新闻》表示:“我们完全就是幽灵。”
《华尔街日报》在2014年的一篇简短报道中称,墨西哥政府已经采购了NSO的产品,甚至连美国中央情报局都表达了购买意向。报道还称,NSO的间谍软件行销全球。
现在NSO的间谍软件遭到了曝光,使用的零日漏洞也得到了修补,它应该再也不能宣称自己是“幽灵”了吧,虽然NSO可能还有其他零日漏洞和工具在手上。这也是研究人员们不指望自己的报告和苹果的补丁能阻止NSO很长时间的原因。
Mike Murray表示道:“单是给这些漏洞打补丁不可能让NSO破产。”
更严重的是,Pegasus的设定可以一路往下感染到iOS 7,也就是说NSO很可能在iPhone5时就能入侵iPhone了。
NSO的发言人Zamir Dahbash在一份声明中表示:“NSO的使命是为获得授权的政府提供帮助他们打击恐怖活动和犯罪的技术,以便让世界变得更美好。”
“NSO只对获得授权的政府机构销售,完全符合严格的出口管制法律和法规。另外,NSO并不负责运营售出的系统。我们是一家严格意义上的技术公司。购买我们产品的客户必须保证合法地使用我们的工具。我们还在合同中专门列出,我们的产品只能用于预防和调查犯罪。”
苹果的反应
公民实验室和Lookout的研究人员们在发现这些零日漏洞代号Trident后,立刻联系了苹果公司。苹果公司用了10天时间来开发和发布补丁。现在这一补丁已经加入到iOS 9.3.5的更新包中,所有iPhone用户都应该尽快下载和安装这一更新。
苹果发言人在一份声明中表示:“我们在知道这些漏洞后立刻进行了修复,并在iOS 9.3.5更新中加入了这些补丁。”但这位发言人拒绝透露更多细节。
网络安全公司Trail Of Bits首席执行官Dan Guido拥有丰富的iOS安全经验,他表示这些极少出现在公众视野中的攻击并不出人意料。不过他表示,尽管现在又发现了三个零日漏洞,但iPhone还是要比安卓手机安全得多。
Guido说道:“和其他厂商相比,苹果极大地提高了入侵苹果设备的成本。但这一事件也显示了需要有更好地针对iOS的入侵检测手段。iOS仍然是市面上最安全的消费设备。问题是,只有当你拥有怀疑精神以及在公民实验室有朋友,才有可能知道自己的iPhone中是否安装了恶意软件。”
其他受害者
研究人员们还没能找到其他Pegasus间谍软件的样本。但通过搜索类似链接和与此次攻击以及Stealth Falcon有关的域名,他们发现了一条疑似针对肯尼亚不知名受害者的推文,还有一次针对墨西哥调查记者Rafael Cabrera的攻击。
Rafael Cabrera去年第一次受到了NSO恶意软件的针对性攻击,在今年5月又受到了第二次攻击。在第二次攻击中,黑客们试图引诱他点击一系列消息中的链接,如提供政府腐败线索、话费消费500美元的警告短信乃至号称是他妻子出轨的视频链接。Rafael Cabrera表示,他没有点击上述任何链接。
他表示道:“很明显,他们想要我点击链接,有点丧心病狂的感觉。”
Rafael Cabrera并不想猜测谁是幕后黑手,政府或其他人都有可能。墨西哥政府可能是NSO的客户,但不清楚是否真的有警察或情报部门使用NSO的恶意软件。墨西哥也是Hacking Team的最大客户,一些墨西哥政府部门被指控使用这些间谍软件来针对记者和异见人士,而非犯罪分子。
最终,Rafael Cabrera和Ahmed Mansoor的iPhone都没有被黑,因为他们识破了黑客们的伎俩。当然,也可以说他们幸运。因为此前有过被政府黑客入侵的经历,他们比一般人要更警觉。
但公民实验室的Bill Marczak表示,他俩的遭遇可能预示着未来的风险。如果政府想要黑客工具而且愿意支付高价钱,那么Hacking Team和NSO这些公司仍然会继续提供它们。公民实验室在过去还记录了数起政府利用间谍软件对异见人士、记者和人权工作者发起的黑客攻击,工具和NSO制造的类似。尽管公民实验室公开了这些攻击并发出警告,但还是不断有类似的新攻击出现。有时候攻击是由同一政府发起的,甚至针对的是同一目标。
他表示道:“根本没有什么激励,能让NSO这些公司不向阿联酋这种惯犯出售黑客工具。”
这也预示着间谍软件行业一个新巨头的崛起,在FinFisher和Hacking Team遭到严重黑客攻击后,NSO有着很大的增长空间。
而如果Ahmed Mansoor在8月10日点击了那个链接,这些事情可能永远也不会被人发现。