首页 > 安全 > 网络安全 >

伯克利研究生是如何发现苹果设备超级间谍软件Pegasus的

2016-12-13

伯克利研究生是如何发现苹果设备超级间谍软件Pegasus的今年夏天,作为Citizens Lab高级安全研究员的伯克利硕士Bill Marczak,偶然发现了苹果超级间谍软件Pegasus。美国《名利场》杂志以此为主线,采访事件相关人,揭露那些隐藏在人们生活暗处的间谍软件公司。

伯克利研究生是如何发现苹果设备超级间谍软件Pegasus的今年夏天,作为Citizens Lab高级安全研究员的伯克利硕士Bill Marczak,偶然发现了苹果超级间谍软件Pegasus。美国《名利场》杂志以此为主线,采访事件相关人,揭露那些隐藏在人们生活暗处的间谍软件公司。

事情起因

\

Bill Marczak,一头棕色头发,留有标志性的胡须,伯克利大学计算机系硕士刚毕业,即将攻读博士学位。不像伯克利大多数研究生那样多话和夸夸其谈,他话不多,比较安静。Bill Marczak专注于中东地区民主人士与专制政权之间的网络攻击研究,他是这个新兴网络战领域的优秀分析师。同时,Marczak还是加拿大多伦多大学公民实验室(Citizens Lab)的高级研究员。

事情发生8月10日的晚上,BillMarczak和女友在埃尔塞里托简陋的公寓里熬夜收看着《星际迷航》的电视剧重播。睡觉前,Marczak像平常一样,习惯性的看了一眼手机短信,他突然全身兴奋地大叫起来,“哦,天哪!”,女朋友诧异地问道“怎么了?”,Marczak说“我想我发现大事了!”。随后,他快速起身来到客厅打开电脑开始研究。

第二天早上,当女友起床时,Marczak还在电脑旁。他确实发现了件“大事”:阿联酋的一位人权活动家朋友给他转发了一条短信,短信包含了一个网络链接,点击该链接后,将会向iPhone手机隐秘植入一个超强的间谍软件。他正尝试着从该间谍软件中逆向出一部分底层代码,但由于难度太大,所以他决定把短信内容转发给网络安全公司Lookout的工程师进行协助分析。Lookout的办公室坐落于旧金山市区的摩天大楼内,从那里,可以看到金门大桥到奥克兰的全景。

\

Lookout把任务交到了移动安全专家Andrew Blaich和来自乌克兰的代码研究员Max Bazaliy手上,Blaich急迫地问Bazaliy:“你觉得这是什么东西?”,Bazaliy一脸发懵,用他那厚重的乌克兰腔调回答到“还不清楚,但可以肯定的是,这非常严重。”

最终,两人用了将近一天的时间把这个恶意软件和其相关技术细节大致研究清楚。傍晚时分,Blaich和Bazaliy还在盯着代码分析,“太不可思议了,它能实现麦克风、邮件、短信等所有手机数据监听窃取,这绝对是有组织有目的的间谍软件。”,Blaich说道。而Bazaliy认为,这是他见过最厉害最完美的攻击代码。

Marczak发现的恶意软件涉及iOS系统的3个0-day漏洞,很难发现且前所未见。iOS用户点击短信内的链接后,攻击者就会利用这3个漏洞,对用户实现“远程越狱”,并安装持久化间谍软件。

曾几何时,网络战武器一直被强力国家机构用于复杂的网络战较量中,如NSA、以色列和俄罗斯等,如2013年斯诺登曝光的大规模监控丑闻,让人震惊。虽然大部分普通公民认为,只要自己不是罪犯或间谍,类似监控事件似乎永远不可能发生在自己身上,但这仅只是个人认为而已。自斯诺登事件以来,甚至更早以前,网络安全专家就发现,少数隐秘的安全公司已经研发并向一些特殊机构高价销售其“政府级”间谍软件。

众所周知,iOS远程越狱不但能实现远程对苹果设备的破解,还能对目标iOS系统进行远程控制并安装任意软件,对黑客来说,这简直就是完美梦想:能实时监控用户通信、监听麦克风、记录通话内容等。

在Marczak发现该恶意软件之前的两个星期,中国的盘古团队公布了针对iOS 9.2和9.3.3的非完美越狱,这是最近5个月内的首个公开的越狱方法。但是对于那些研究苹果设备的黑客来说,“远程越狱”才是最完美的破解目标。在早期的iOS系统中,jailbreakme工具可以实现一些版本的远程越狱;2015年9月,安全公司Zerodium以100万美元的悬赏实现了对iOS 9.1和iOS 9.2的远程越狱。

今年8月,在Marczak和Lookout的研究发现之后,苹果公司确认:在“野生的”网络攻击环境中存在一种真实的远程越狱方法。然而让人吃惊的是,这种远程越狱方法已经存在了多年。

Lookout安全研究副总裁 Mike Murray说,“这简直就是一个詹姆斯·邦德的故事,这是真实世界中网络军火商与个人异见者的典型案例,在这之前,网络武器还未被发现用来对付相关个体。Lookout研究员Seth Hardy强调,这就像隐形轰炸机,你虽然知道它的存在,但是不知道什么时候它会对你进行轰炸。

0-day漏洞

如今,最有价值的黑客武器就是0-day漏洞,对于黑客来说,对于0-day漏洞的保密最为重要,一旦其攻击代码被曝光,无论是微软、苹果等其它涉及漏洞的公司将会立即释放更新补丁,让攻击代码毫无用处。Seth Hardy说,黑客要么对自己手上的0-day漏洞极为保密,要么把它们用来进行黑市交易。

2010年,0-day漏洞交易在黑市极为活跃,这一切还要从法国安全研究公司VUPEN说起,当时,VUPEN对单个0-day漏洞的赏金和销售价格一度达到了25万美金,尽管其对外坚称的目的是为了使软件行业更安全,但许多人对此非常质疑,而像HP和微软都曾出钱向VUPEN购买其受影响产品的漏洞。此后,漏洞交易和漏洞众测业务的概念迅速在安全市场兴起。而对于许多白帽黑客来说,虽然其挖掘的一些漏洞赏金远远不及VUPEN那样高昂,但这也催生了一条即不违法但又能赚钱的途径,另外,有些黑客还可能因此从事利润丰厚的安全咨询工作。

\

“VUPEN对0-day漏洞的销售导致了黑客领域的一个分水岭。如果你手头有0-day漏洞,你会把它们卖个高价钱还是愿意保持沉默?显而易见,很多黑客会把它卖掉,只有极少数真正的黑帽黑客不会这样做”,Hardy说。

在如今的黑市中,你不知道谁才是真正的漏洞卖家,但人们会普遍怀疑政府才会通过这种高科技手段对公民进行监控。美国公民自由联盟(ACLU)的技术专家Chris Soghoian说,“在2011到2012年期间,市面上流行大肆吹嘘0-day漏洞的价格,而一些使用0-day漏洞对民主人士进行监控的政府机构却不愿对此承认,这或许是0-day漏洞由明转暗的一个市场转折点。”

2012年,《福布斯》报道了一名身处泰国,在业内化名“The Grugq”的南非籍安全研究员,他在黑客朋友与政府买家间牵线搭桥,从每笔交易总额中收取15%的佣金。他向记者透露,到2012年底的时候,他已经赚到了大约100万美元的佣金,出价最高的通常为美国政府部门或欧洲政府部门。媒体还刊登了一张他拍摄于曼谷某酒吧的照片,照片中,他的脚边放着一个装满现金的小背包,显然是某个卖家付给他的佣金。The Grugq 在Twitter上被称为“网络军火商”。Soghoian说,这或许是一个里程碑,因为在此之前还没有对黑客军火商的相关公开报道,这让这个行业备受关注。同时,也为黑客向政府贩卖漏洞工具的社会认可起到了一些宣传作用。

\

政府间谍

Bill Marczak刚上研究生时的方向是大数据分析,对网络安全行业了解甚少。Marczak出生于纽约,由于父亲从事国际金融行业,全家曾从纽约辗转香港,再到后来的巴林,在那里,Marczak度过了自己的高中时代。2010年,在阿拉伯之春的浪潮下,巴林成为了一个暴动地区,在伯克利上学的Marczak通过互联网了解到了政府对民众的暴力镇压,于是,他开始以写博客的方式来参与了这场民主运动。2012年,他与另外两名人权活动家成立了名为“巴林观察”的网络组织。

转变发生在2012年5月,Marczak在巴林的同事都收到了一封来自不明身份记者的可疑邮件,Marczak和来自Citizen Lab的安全研究者Morgan Marquis-Boire共同对这封邮件进行了分析。分析发现,邮件附件的word文档会向受害者电脑或手机植入秘密的间谍监控程序,经过对可疑程序的深入挖掘研究,他们发现了一个在程序代码中被反复引用的单词“FinSpy”。

\

很快,他们便发现FinSpy间谍程序的另外一个名称“FinFisher”,一款由英国安全监控公司Gamma Group开发销售的一体化间谍软件,Gamma Group声称FinSpy是合法监控工具,主要用于政府犯罪和间谍执法工作。而据去年某些民主人士曝料的文件显示,埃及政府曾出价353,000美元采购了FinFisher软件监控异议人士,这些发现表明,Gamma的软件产品不只针对特定的政府执法,还被用到针对异见者的监控活动中。Marczak和Citizen Lab最终研究发现,全球25个国家都发现了FinSpy感染的踪迹,而Gamma公司却矢口否认,声称那些软件只是被窃取的程序副本。

同时,安全公司Rapid7的研究员Claudio Guarnieri通过对FinFisher的代码进行分析后发现,FinFisher的C&C服务器IP地址只要被执行ping命令之后,都会附带一个奇怪的回应:Hallo Steffi,于是,Guarnieri便以此为出发点开发了一个程序探测互联网上作此回应的服务器,数周后,Guarnieri发现在10多个国家都存在此类服务器,其中中东地区国家尤为广泛,包括卡塔尔、埃塞俄比亚和阿联酋等。

然而,有很多安全公司和Gamma一样,在我们看不见的阴暗处。2012年7月,就在Citizen Lab发布对FinSpy的报告之后几天,摩洛哥维权组织Mamfakinch就发文声称,他们收到了一封可疑的钓鱼邮件,该邮件与阿联酋民主人士Ahmed Mansoor曾经收到的钓鱼邮件高度相似,都会向电脑植入键盘和应用程序监控的间谍程序。

俄罗斯杀毒软件公司Dr Web经过分析,确认Mamfakinch 和Mansoor的电脑设备上被植入了意大利Hacking Team公司的间谍软件。与Gamma不同,Hacking Team由两个意大利程序员于2003年成立,在安全圈小有名气,可以算是第一批销售商业黑客工具和监控产品的安全公司,它的早期软件曾被米兰警方大规模用于民众监控。Hacking Team在美国在内的三个国家都设有办事处,随着其不断的市场拓展,已经成为全球知名的网络武器经销商。Hacking Team的客户包括各国执法机构,以及联合国武器禁运(NATO)清单上的国家,包括摩洛哥、阿联酋政府等。

比较讽刺的是,后来名为“Phineas Fisher”的黑客在网上泄露了Hacking Team 400多G的内部文件,这些文件中曝光的邮件记录和合同发票显示,Hacking Team的客户包括摩洛哥、马来西亚、沙特阿拉伯、乌干达、埃及、阿曼、土耳其、乌兹别克斯坦、尼日利亚、埃塞俄比亚、苏丹、哈萨克斯坦、阿塞拜疆、巴林、阿尔巴尼亚等大部分中东国家,以及三个美国执法机构:FBI、DEA、DoD。

\

Chris Soghoian说,Hacking Team被黑事件影响很大,因为在这之前研究人员只能通过FinFisher的C&C服务器来作出间接判断,并没有其它确凿证据。尽管曝光事件发生后,Hacking Team的业务量有所减少,但对整个间谍软件和监控行业的影响不是太大,其它秘密安全公司一直在不断扩展业务,像Gamma的全球市值已经超过50亿美元。

Hacking Team数据泄露事件之后一个月,由VUPEN共同投资人成立的Zerodium公司对外悬赏100美金征集iOS远程越狱工具。在Zerodium公布赏金之后的几天,中东之眼的伦敦人权作者Rori Donaghy收到了一封钓鱼邮件,他把邮件转发给了Marczak。邮件大致内容为邀请参加名为“斗争权利”(the Right to Fight)的论坛会议,在其中包含了一个下载执行word文档的网页链接,点击链接执行word文档后,将会向电脑隐秘植入间谍软件。Marczak经过分析确认,很多波斯湾地区的民主人士都受到了同样钓鱼邮件的攻击,之后,Marczak和Citizen Lab把这波攻击命名为:Stealth Falcon。

Marczak分析发现邮件发送服务器涉及数百个IP地址,每个IP都具有包含虚假注册信息的特定域名。另外,这些域名中有三个假冒阿拉伯新闻网站,并且都包含有“SMSer.net”字段,Marczak通过域名比对发现有120多个移动公司域名与此类似,大部分以色列街道名称与这些域名字段相关。

Marczak回忆说,那时他高度怀疑是NSO Group,但没有明确证据。作为一家以色列间谍软件监控公司,NSO Group没有官方网站,非常低调,曾把其公司的某项控股权以1亿两千万美元卖给旧金山某私募基金。第二年初,在Citizen Lab实验室,他发现Stealth Falcon前后从67个不同服务器上进行部署攻击,有400多名全球受害者,在24名阿联酋受害者中,至少有三人在遭到间谍软件攻击开始不久后被捕;另一人被判因侮辱阿联酋统治者罪名。但是在Citizen Lab对外发布的报告中,并没有提到NSO Group。

而对Marczak本人来说,事情还没完。

相关文章
最新文章
热点推荐