记者被可疑的NSO组iMessage“零点击”漏洞所攻击
2020年7月和2020年8月,政府工作人员使用NSO Group的Pegasus间谍软件入侵了半岛电视台的36部属于记者,制片人,主持人和执行人员的个人电话。位于伦敦的Al Araby TV的一名记者的个人电话也遭到了黑客攻击。
这些电话受到了我们称为KISMET的漏洞利用链的攻击,该链似乎涉及iMessage中的隐形零点击漏洞。 2020年7月,KISMET至少在iOS 13.5.1上为零时差,并且有可能入侵苹果当时最新的iPhone 11。
根据受损手机的日志,我们认为NSO集团的客户还在2019年10月至2019年12月之间成功部署了KISMET或相关的零点击,零日漏洞。
这些新闻工作者遭到了四名飞马运营商的黑客攻击,其中包括我们归因于沙特阿拉伯的一名运维奇MONARCHY和归因于阿拉伯联合酋长国的一名运维商SNEAKY KESTREL。
我们认为KISMET不适合iOS 14及更高版本(包括新的安全保护)使用。所有iOS设备所有者都应立即更新到最新版本的操作系统。
考虑到NSO集团客户群的全球影响力以及iOS 14更新之前几乎所有iPhone设备的明显漏洞,我们怀疑我们观察到的感染只是利用此漏洞的全部攻击的很小一部分。
这些攻击中使用的基础架构包括使用云提供商Aruba,Choopa,CloudSigma和DigitalOcean的德国,法国,英国和意大利的服务器。
我们已经与Apple分享了我们的发现,他们已经向我们确认他们正在调查该问题。
NSO Group的Pegasus间谍软件是一种手机监视解决方案,使客户能够远程利用和监视设备。该公司是向世界各国政府提供大量监视技术的公司,其产品经常与监视滥用相关联。
Pegasus多年来因通过SMS发送到目标的恶意链接而闻名。 NSO Group客户使用此方法来针对艾哈迈德·曼索尔(Ahmed Mansoor),墨西哥的数十个公民社会成员以及沙特阿拉伯针对的政治异见人士等。 SMS中恶意链接的使用使调查人员和目标可以快速识别过去目标的证据。目标不仅可以注意到这些可疑消息,而且还可以搜索其消息历史记录以发现黑客企图的证据。
最近,NSO Group正在转向零点击漏洞利用和基于网络的攻击,这些攻击允许其政府客户闯入电话而无需与目标进行任何交互,也不会留下任何可见的痕迹。这种转变的一个例子是2019年WhatsApp漏洞,其中至少有1400部手机是通过未接语音电话发送的漏洞进行攻击的。幸运的是,在这种情况下,WhatsApp通知了目标。但是,对于研究人员而言,跟踪这些零点击攻击更具挑战性,因为目标可能不会在手机上注意到任何可疑的东西。即使他们确实观察到类似“怪异”呼叫行为的事件,该事件也可能是短暂的,并且不会在设备上留下任何痕迹。
行业和已经高度保密的客户向零点击攻击的转变增加了滥用未被发现的可能性。尽管如此,我们仍在继续开发新的技术手段来跟踪监视滥用情况,例如网络和设备分析的新技术。
自至少2016年以来,间谍软件供应商似乎已成功在全球范围内针对iPhone目标成功部署了零点击漏洞。据报道,其中一些尝试是通过Apple的iMessage应用程序完成的,该应用程序默认安装在每个iPhone,Mac和iPad上。过去,iMessage的某些组件没有像iPhone上的其他应用程序一样被沙盒化,因此威胁参与者可能在iMessage攻击中得到了帮助。
例如,路透社报道说,代表阿联酋政府运营的阿拉伯联合酋长国(UAE)网络安全公司DarkMatter在2016年购买了被称为“业力”的零点击iMessage漏洞,该漏洞在2016年和2017年。据报道,阿联酋利用业力闯入了数百个目标的电话,其中包括半岛电视台和阿拉伯电视台的主席。
一份有关Pegasus产品演示的2018年副主板报告提到,NSO Group演示了一种用于破解iPhone的零点击方法。尽管没有报告该情况下的特定易受攻击的应用程序,但2019年Haaretz的一份报告采访了“ Yaniv”,这是以色列进攻性网络行业的漏洞研究人员使用的化名,后者似乎表明有时会通过Apple的Push Notification将间谍软件部署到iPhone。服务(APN),iMessage所基于的协议:
“间谍程序可以模拟您已下载到手机的应用程序,该应用程序通过Apple的服务器发送推送通知。如果假冒程序发送了推送通知,并且Apple不知道漏洞已被利用,并且不是应用程序,则它将间谍程序传输到设备。”
海湾合作委员会(GCC)国家是商业监视行业最重要的客户群之一,据报道,各国政府已向为其提供特殊服务的公司支付了巨额费用,包括对其间谍软件捕获的情报进行分析。阿联酋显然在2013年成为NSO Group的客户,这被称为NSO Group在其第一个客户墨西哥之后的“下一个大交易”。 2017年,沙特阿拉伯(公民实验室称其为KINGDOM)和巴林(PEARL)似乎也成为NSO集团的客户。 Haaretz还报告说,阿曼是NSO集团的客户,以色列政府禁止NSO集团与卡塔尔开展业务。
沙特阿拉伯,阿联酋,巴林,埃及(合称为“四个国家”)和卡塔尔之间的关系是脆弱的。四个国家常常声称,卡塔尔庇护了来自四个国家的异议人士,并支持包括回教兄弟会在内的政治伊斯兰团体,他们认为这是对中东现有政治秩序的最严重挑战。
2014年3月,沙特阿拉伯,阿联酋和巴林撤回了他们的大使,并冻结了与卡塔尔的关系八个月。第二次危机发生在2017年6月5日,这四个国家中断了外交关系并关闭了与卡塔尔的边界。表面上看,这场危机是由黑客在卡塔尔国家通讯社(QNA)上植入的虚假故事加剧的,该报道错误地引用了卡塔尔埃米尔(Emir)的说法,伊朗将伊朗称为“伊斯兰大国”,并称赞哈马斯。根据美国情报官员与《华盛顿邮报》的讲话,阿联酋政府高级官员批准了QNA的黑客行动。
2017年6月23日,这四个国家发表了一份联合声明,概述了对卡塔尔的13项要求,包括关闭卡塔尔的土耳其军事基地,缩小与伊朗的联系以及关闭半岛电视台及其下属电视台和新闻媒体。
半岛电视台在媒体报道方面在中东有些特色。在许多问题上,它提出了该地区大部分国有媒体都不具备的替代观点。在海湾合作委员会(GCC)中建立可信媒体渠道的其他尝试却收效甚微,其中包括阿尔·瓦莱德·本·塔拉勒亲王(Prince Al-Waleed bin Talal)广为宣传的巴林Al Arab频道,该频道在播出后的第一天就被当地政府永久关闭巴林反对党Al Wefaq政治协会成员的采访。
半岛电视台的报道在“阿拉伯之春”中尤为突出,该国广泛,实时地报道了突尼斯,埃及,也门和利比亚的抗议活动,“助长了叛乱情绪从一个首都传到另一个首都。”卡塔尔周边国家的领导人经常对其覆盖范围表示深切关注,在某些情况下已采取措施限制其所在国家/地区的渠道。 2017年,沙特阿拉伯和阿联酋均封锁了半岛电视台的网站。
埃及总统穆巴拉克在阿拉伯之春沦陷后,穆斯林兄弟会领导人穆罕默德·穆尔西当选埃及总统。由于卡塔尔支持穆斯林兄弟会的历史,沙特阿拉伯和阿联酋认为这次选举是卡塔尔的威胁和扩大其区域影响力的标志。然而,莫西于2013年7月3日在阿卜杜勒·法塔赫·西西将军率领的军事政变中被罢免,并被军事拘留。政变发生后的一天,军方关闭了埃及的许多新闻台,包括半岛电视台Mubasher Misr和埃及半岛电视台,并拘留了五名工作人员。
尽管半岛电视台阿拉伯语对包括巴林在内的邻近海湾国家的起义的报道普遍被认为比英语报道的声音更为柔和,但该频道仍然受到批评。例如,巴林外交大臣在频道上关于纪录片的推文中写道:“很明显,在卡塔尔,有些人对巴林没有任何好处。而这部关于半岛电视台英语的电影就是这种莫名其妙的敌意的最好例证。”
本节介绍了针对两个记者手机的入侵行为,即Tamer Almisshal和Rania Dridi。他们是这次袭击的36位记者和编辑之一,其中大多数人要求匿名。 Almisshal和Dridi同意在此报告中被任命,并由Citizen Lab进行详细描述其目标。
Tamer Almisshal是半岛电视台阿拉伯语频道的知名调查记者,在那里他主持了“ماخفيأعظم”计划(译为“这只是冰山一角”或“隐藏的内容更为巨大”)。 Almisshal的计划报道了中东地区广泛的政治敏感话题,包括阿联酋,沙特和巴林政府参与了1996年在卡塔尔的未遂政变,巴林政府雇用了一名前基地组织暗杀方案,沙特杀害贾马尔·卡修吉(Jamal Khashoggi),以及阿联酋王室的强大成员谢赫·曼苏尔·本·扎耶德·纳纳扬(Sheikh Mansour Bin Zayed Al-Nahyan)与阿联酋商人BR之间的联系Shetty的医疗保健帝国由于涉嫌欺诈和隐性债务披露而于2020年瓦解。
Almisshal担心自己的手机可能会被黑客入侵,因此在2020年1月,他同意为Citizen Lab研究人员安装VPN应用程序,以监控与他的Internet流量相关的元数据。
在查看他的VPN日志时,我们注意到2020年7月19日,他的电话访问了一个我们在互联网扫描中检测到的网站,作为NSO Group的Pegasus间谍软件的安装服务器,该网站用于用Pegasus感染目标的过程中。
我们得出的结论是,由于Apple服务器提供的明显漏洞,Almisshal的电话已连接到Pegasus安装服务器。在Almisshal的电话访问Pegasus安装服务器之前的54分钟内,我们观察到一种异常行为:连接到大量iCloud分区(p * -content.icloud.com)。在我们监控Almisshal的互联网流量的3000多个小时中,我们仅看到258个与iCloud分区的连接(不包括p20-content.icloud.com,Almisshal的手机用于iCloud备份),其中228个连接(〜 88%)发生在7月19日10:32和11:28之间的54分钟内。 1在7月19日,我们发现在10:32之前或11:28之后没有匹配的连接。有问题的连接是18个iCloud分区(均为奇数)。
到2020年7月19日,与iCloud分区的连接导致净下载2.06MB,净上传1.25MB数据。由于这些异常的iCloud连接是在Pegasus在世界标准时间11:29安装之前立即发生并终止的,因此我们认为它们代表着Tamer Almisshal的手机被黑客入侵的最初媒介。我们对受感染设备的分析(第3节)表明,内置的iOS imagent应用程序负责其中一种间谍软件进程。 imagent应用程序是似乎与iMessage和FaceTime相关联的后台进程。
在与Pegasus Installation Server的最后一次连接后16秒,我们观察到Almisshal的iPhone在接下来的16小时内首次与另外三个IP通信。我们以前从未观察过他的电话与这些IP进行通信,此后也没有观察到通信。
总体而言,我们观察到270.16MB的上载和15.15MB的下载,并且每个IP都为bananakick.net返回了有效的TLS证书。手机未在HTTPS客户端Hello消息中设置SNI,也未对bananakick.net执行DNS查找,这可能是为了挫败我们先前报告的DNS缓存探测技术来定位受感染的设备,还是为了挫败反-在土耳其全国范围内实施的飞马座对策(第4节),这是飞马座运营商的另一个受欢迎的目标。由于与这三台服务器的通信是在与已知的Pegasus安装服务器通信之后的16秒开始的,因此我们怀疑这三个IP是Pegasus命令与控制(C& C)服务器。
Almisshal的设备显示2020年1月至2020年7月期间出现的内核恐慌事件数量异常(电话崩溃)。尽管有些恐慌是良性的,但它们也可能表明较早尝试对其设备利用漏洞。
Rania Dridi是伦敦Al Araby TV的一名记者,她在这里介绍“شبابيك”新闻杂志计划(从阿拉伯语翻译为“窗口”),其中涵盖了各种时事主题。
在查看Rania Dridi的iPhone Xs Max的设备日志时,我们发现有证据表明,她的手机在2019年10月26日至2020年7月23日期间被NSO Group的Pegasus间谍软件至少黑客入侵了六次。其中两个实例分别是10月26日和7月12日。可能是零日漏洞,因为在运行最新版本的iOS时手机似乎已被黑客入侵。在其他时候,Dridi的手机被黑客入侵,有更新的iOS版本可供使用,这意味着,没有证据表明漏洞利用是否为零时差。
2019年10月26日,一个Pegasus运营商显然已成功部署了针对Dridi的最新iOS iOS 13.1.3的零日漏洞利用,并且在2020年7月12日,一个Pegasus运营商显然已针对同一用户成功部署了零日攻击最新的手机,运行iOS 13.5.1。 2020年7月12日的攻击以及2020年7月23日的另一次攻击似乎都使用了KISMET零点击漏洞。
网络日志显示,Dridi的电话在2020年7月13日至2020年7月23日之间与以下四台服务器进行了通信,我们将其归因于NSO集团运营商SNEAKY KESTREL。在2020年7月17日至7月22日之间未发现通信。
我们怀疑在2014年10月,11月和2019年12月对Dridi手机的攻击还使用了零点击漏洞,因为我们看到在此时间段内针对另一个iPhone目标部署了NSO Group的零点击漏洞,并且因为我们没有发现证据表明在手机上包含飞马间谍软件链接的讲述性SMS或WhatsApp消息。在这些时段内,网络日志不可用。
通过与半岛电视台的IT团队合作,我们确定了半岛电视台内部总共36部个人电话,这些电话被四个不同的服务器集群入侵,这可能归因于最多四个NSO集团运营商。我们称为MONARCHY的操作员在18个电话上侦听,而我们称为SNEAKY KESTREL的操作员在15个电话上进行侦听,其中包括与MONARCHY监视的同一电话之一。其他两个运营商CENTER-1和CENTER-2分别在1和3个电话上侦听。
我们以中等信心得出结论,SNEAKY KESTREL代表阿联酋政府行事,因为该运营商似乎主要针对阿联酋境内的个人,并且因为一个被SNEAKY KESTREL入侵的目标先前通过SMS接收到了Pegasus链接,该链接指向使用的相同域名在对阿联酋激进主义者艾哈迈德·曼索尔的袭击中。 2
我们以中等信心得出的结论是,MONARCHY代表沙特政府行事,因为该运营商似乎主要针对沙特阿拉伯境内的个人,并且因为我们观察到该运营商攻击了沙特阿拉伯激进主义者,而该主义者此前曾是KINGDOM的目标。 3
我们考虑但认为MONARCHY和SNEAKY KESTREL都与阿联酋有关的假设可能性较小。众所周知,阿联酋政府的目标是沙特激进分子,观察到MONARCHY和SNEAKY KESTREL在两个案件中协同运作:Al Jazeera案件和土耳其案件,土耳其计算机紧急响应小组显然抓获了这两个运营商大约在同一时间(第4节)。但是,我们仅知道两个运营商都将其作为目标手机,并且我们也不知道两个运营商之间的基础设施重叠。此外,每个运营商似乎主要针对不同的国家/地区,沙特阿拉伯的MONARCHY和阿联酋的SNEAKY KESTREL。据报道,沙特阿拉伯和阿联酋都是飞马的客户。
我们无法确定CENTER-1和CENTER-2的身份,尽管它们似乎都主要针对中东。
我们没有观察到CENTER-1和CENTER-2的感染尝试,因此我们不确定使用了哪些Pegasus安装服务器。
这些攻击中使用的基础设施包括使用云托管提供商Aruba,Choopa,CloudSigma和DigitalOcean的位于德国,法国,英国和意大利的服务器。
我们从半岛电视台网络内部的iPhone 11设备获取了感染日志时的日志。我们的分析表明,当前的Pegasus植入物具有许多功能,包括:记录来自麦克风的音频,包括环境“热麦克风”记录和加密电话的音频,以及拍照。此外,我们认为植入物可以跟踪设备位置,并访问密码和存储的凭据。
电话日志显示电话中的进程launchafd正在与表1中的四个* .crashparadox.net IP地址进行通信,我们已将其链接到SNEAKY KESTREL。
此文件夹似乎用于iOS更新,我们怀疑它可能无法在iOS更新中保存。看来,此设备上间谍软件的其他组件存储在/ private / var / tmp /中带有随机生成名称的文件夹中。重新启动设备后,/ private / var / tmp /文件夹的内容不会保留。 launchafd的父进程被列为rs,位于闪存中:
imagent进程(处理iMessage和FaceTime的内置Apple应用程序的一部分)被列为rs的负责进程,表明可能涉及iMessage或FaceTime的利用。同样的rs进程也被列为passed的父级,passed是一个内置的Apple应用程序,可与钥匙串以及间谍软件的另一个组件natgd交互,该组件位于闪存中:
这三个进程都以root用户身份运行。 由于无法访问运行iOS 13.5.1的iPhone 11,我们无法从闪存中检索这些二进制文件。 手机的日志显示有证据表明间谍软件正在访问手机上的各种框架,其中包括可以用来记录音频数据和摄像机的Celestial.framework和MediaExperience.framework,以及LocationSupport.framework和CoreLocation.framework。 跟踪用户的位置。 我们已与Apple Inc.分享了我们的发现和技术指标,这证实了我 ......
