从某种程度上来说,这是一个巨大的运气。 CitizenLab 和 Lookout 的安全研究人员透露,企图从事间谍活动阿联酋人权捍卫者艾哈迈德·曼苏尔(Ahmed Mansoor)是其中的受害者,这使得我们有可能抓住珀加索斯(Pegasus)。由以色列出版商 NSO 集团创建的非常复杂的间谍软件。这样的战利品是罕见的,因为间谍大师会尽一切努力确保他们的软件不被发现。而发动这次攻击的运营商今天肯定是咬紧牙关了。
攻击以带有链接的短信的形式到达 Mansoor 先生的 iPhone 6,CitizenLab 的域名可以链接到 NSO Group。这位人权活动人士凭着良好的直觉立即将此链接转移给 CitizenLab,后者在 iPhone 5s 上打开了该链接。该恶意软件立即安装,允许安全研究人员开始分析。
第一个观察:它很重。为了感染 iPhone,该恶意软件依赖于连续利用的三个零日漏洞。在黑市上,此类漏洞的售价可达数十万欧元,甚至超过百万欧元。第一个漏洞 (CVE-2016-4657) 位于 Safari 使用的 WebKit 库中。它允许您只需加载网页即可在 iPhone 上执行任意代码。在这种情况下,它允许您越狱 iPhone:第一个零日缺陷 (CVE-2016-4655) 用于定位内核的内存区域,第二个 (CVE-2016-4656) 用于修改。这允许从系统中删除不同的应用程序保护层。黑客最终下载并安装 Pegasus。
根据 Lookout 研究人员的说法,这个间谍软件是完整且编写良好的。他们发现的副本使他们能够从网络设置、日历、地址簿和钥匙串密码数据库中窃取数据。它还允许您拦截来自大约 15 个消息应用程序和社交网络的文本、音频或视频通信:Gmail、Viber、Facebook、WhatsApp、Telegram、Skype、Line、微信、VK 等。该软件还可以对受害者进行实时记录和拍摄。后者只看到火,所有这些动作都在后台发生,屏幕上没有任何内容。与命令和控制服务器的某些交换也伪装在错误的身份验证短信中。 Lookout 仍在分析代码的其他部分。
Pegasus 客户隐藏在云后面
通过挖掘已有的数据2015 年 7 月在 Hacking Team 泄露,CitizenLab 还能够获得与 Pegasus 相关的文档页面。他们表明,该系统基于三个主要组件:工作站、感染服务器和云基础设施。操作员从他的站点发起攻击,导致被困的短信被发送。它嵌入的链接指向云基础设施的 Web 服务器之一。然后,网络服务器将受害者重定向到将执行攻击的感染服务器。
如果攻击成功,操作员就可以从他们的工作站访问 iPhone 数据,并使用相当令人愉悦的图形界面。间谍风格。
资料来源:
