從某種程度上來說,這是一個巨大的運氣。 CitizenLab 和 Lookout 的安全研究人員透露,企圖從事間諜活動阿聯酋人權捍衛者艾哈邁德·曼蘇爾(Ahmed Mansoor)是其中的受害者,這使得我們有可能抓住珀加索斯(Pegasus)。由以色列出版商 NSO 集團創建的非常複雜的間諜軟體。這樣的戰利品是罕見的,因為間諜大師會盡一切努力確保他們的軟體不被發現。而發動這次攻擊的運營商今天肯定是咬緊牙關了。
攻擊以帶有連結的簡訊的形式到達 Mansoor 先生的 iPhone 6,CitizenLab 的網域可以連結到 NSO Group。這位人權活動人士憑著良好的直覺立即將此連結轉移給 CitizenLab,後者在 iPhone 5s 上打開了該連結。該惡意軟體立即安裝,允許安全研究人員開始分析。
第一個觀察:它很重。為了感染 iPhone,該惡意軟體依賴連續利用的三個零日漏洞。在黑市上,這類漏洞的售價可達數十萬歐元,甚至超過百萬歐元。第一個漏洞 (CVE-2016-4657) 位於 Safari 使用的 WebKit 庫中。它允許您只需加載網頁即可在 iPhone 上執行任意程式碼。在這種情況下,它允許您越獄 iPhone:第一個零日缺陷 (CVE-2016-4655) 用於定位核心的記憶體區域,第二個 (CVE-2016-4656) 用於修改。這允許從系統中刪除不同的應用程式保護層。駭客最終下載並安裝 Pegasus。
根據 Lookout 研究人員的說法,這個間諜軟體是完整且編寫良好的。他們發現的副本使他們能夠從網路設定、日曆、地址簿和鑰匙串密碼資料庫中竊取資料。它還允許您攔截來自大約 15 個訊息應用程式和社交網路的文字、音訊或視訊通訊:Gmail、Viber、Facebook、WhatsApp、Telegram、Skype、Line、微信、VK 等。該軟體還可以對受害者進行即時記錄和拍攝。後者只看到火,所有這些動作都在後台發生,螢幕上沒有任何內容。與命令和控制伺服器的某些交換也偽裝在錯誤的身份驗證簡訊中。 Lookout 仍在分析程式碼的其他部分。
Pegasus 客戶隱藏在雲端後面
透過挖掘已有的數據2015 年 7 月在 Hacking Team 洩露,CitizenLab 也能夠獲得與 Pegasus 相關的文件頁面。他們表明,該系統基於三個主要組件:工作站、感染伺服器和雲端基礎設施。操作員從他的網站發動攻擊,導致被困的簡訊被發送。它嵌入的連結指向雲端基礎設施的 Web 伺服器之一。然後,網頁伺服器將受害者重新導向到將執行攻擊的感染伺服器。
如果攻擊成功,操作員就可以從他們的工作站存取 iPhone 數據,並使用相當令人愉悅的圖形介面。間諜風格。
資料來源:
