在 8 月 10 日的早晨，來自阿聯(lián)酋的 46 歲人權(quán)活動家 Ahmed Mansoor 在自己的 iPhone 上，看到了一條來自陌生電話號碼的奇怪短信。

這條短信的內(nèi)容很唬人，寫著“阿聯(lián)酋國家監(jiān)獄里的虐囚新消息”，還配上了一條鏈接。

在之前的斗爭中，阿聯(lián)酋政府就使用 FinFisher 和 Hacking Team 等公司的商業(yè)間諜軟件對 Ahmed Mansoor 實施過黑客行動。因此，Ahmed Mansoor 對這條短信產(chǎn)生了懷疑，沒有點擊鏈接，而是把短信轉(zhuǎn)發(fā)給了在多倫多大學蒙克全球事務學院公民實驗室(Citizen Lab)工作的 Bill Marczak。

結(jié)果顯示，這條短信的確有問題，其附帶的鏈接指向的是一個成熟的惡意軟件。這個惡意軟件利用了蘋果 iOS 操作系統(tǒng)三個不為人知的漏洞，從而可以讓黑客完全控制 Ahmed Mansoor 的 iPhone。這就是公民實驗室和移動安全公司 Lookout 于本周四發(fā)布的聯(lián)合報告的結(jié)論。

這是首次有人公開披露這類攻擊。在這之前，還從未有人見過同時利用三個未知漏洞（又稱零日漏洞）來試圖控制 iPhone。用于此次攻擊的工具和技術(shù)差不多算得上是給 iPhone 進行遠程越獄，價值更是高達百萬美元。在這些研究人員們警告蘋果后，蘋果很快在周四發(fā)布了更新來修復這些漏洞。

問題是：誰策劃了這次攻擊，他們用了哪些技術(shù)來實現(xiàn)？

研究人員們發(fā)現(xiàn)，提供此次攻擊用到的間諜軟件和零日漏洞的是一家不知名的以色列監(jiān)控公司 NSO Group。在 Lookout 負責研究的副總裁 Mike Murray 看來，NSO Group “基本上就是網(wǎng)絡(luò)攻擊軍火商”。

公民實驗室和 Lookout 的研究人員們對這一前所未見的惡意軟件感到震驚。

Mike Murray 表示：“之前從未有人發(fā)現(xiàn)過這種惡意軟件，基本上只需在 iPhone 上點擊一下鏈接就能越獄。它是我們從業(yè)以來見過的最成熟的網(wǎng)絡(luò)間諜軟件?！?/p>

自 2010 年創(chuàng)辦以來，NSO 就逐漸樹立了為政府提供監(jiān)控手機的成熟惡意軟件的名聲。但在此之前，對 NSO 工具的使用從未出現(xiàn)在任何政府文件上。NSO 宣稱，其產(chǎn)品極其隱蔽，就像“幽靈”一樣。NSO 本身也像“幽靈”一樣，沒有官網(wǎng)，也幾乎不接受采訪或?qū)蟮乐迷u。但還是有一些 NSO 的信息泄露了出來，包括其在 2014 年獲得了一家美國風險投資公司 1.2 億美元的投資，以及估值達到了 10 億美元。

NSO 的惡意軟件 Pegasus 旨在悄無聲息地感染 iPhone，并能竊取、竊聽被感染 iPhone 中的所有數(shù)據(jù)和通訊。

Mike Murray 解釋道：“Pegasus 會竊取 iPhone 中的所有信息，竊聽所有通話，竊取所有短信、電子郵件、聯(lián)系人。它還會給 iPhone 上的所有通訊機制添加后門。它能竊取 Gmail、Facebook、Skype、WhatsApp、Viber、微信、 Telegram 等應用中的所有信息?！?/p>

在 Mike Murray 和 Lookout 員工的幫助下，公民實驗室的 Bill Marczak 和 John Scott-Railton 先在一臺測試 iPhone 上點擊了鏈接，讓它感染 Pegasus，以研究 Pegasus 的具體用途。

此次針對 Ahmed Mansoor 的攻擊，以及公民實驗室追蹤到的另一次攻擊顯示，著名的 Hacking Team 和 FinFisher 并不是個例，還有其他公司加入到了向政府提供黑客服務這一日益壯大的市場中來。

NSO 是如何被抓住現(xiàn)形的

在今年 5 月，公民實驗室發(fā)現(xiàn)了一個代號 Stealth Falcon 的成熟黑客團體。雖然無法證實，但他們懷疑 Stealth Falcon 和阿聯(lián)酋政府有關(guān)聯(lián)，主要針對阿聯(lián)酋國內(nèi)外的異見人士。 

通過對 Stealth Falcon 的研究，公民實驗室理出了這一團體的大部分基礎(chǔ)設(shè)施，包括用來竊取數(shù)據(jù)的服務器和域名。但公民實驗室無法找到這些黑客所使用的惡意軟件樣本。從 8 月 10 日 Ahmed Mansoor 給 Bill Marczak 轉(zhuǎn)發(fā)短信的那一刻起，這一切都改變了。

在 Bill Marczak 和 John Scott-Railton 研究了 Pegasus 后，他們追蹤到了與 Pegasus 通訊的服務器及 IP 地址，并匹配到 Stealth Falcon 的基礎(chǔ)設(shè)施中也包含這一服務器和 IP 地址。隨后，他們發(fā)現(xiàn)一位 NSO 員工注冊的域名也指向同一 IP 地址。

更重要的是，Pegasus 的開發(fā)者在 Pegasus 中留下了一個暴露了很多信息的字符串“PegasusProtocol”(Pegasus 協(xié)議)，這明顯指出了這一 NSO 間諜軟件的代號。研究人員們還發(fā)現(xiàn)了更多和 NSO 及其客戶基礎(chǔ)設(shè)施有關(guān)聯(lián)的域名，其中一些顯然是被設(shè)計用來作為釣魚網(wǎng)站，對象是紅十字會等人權(quán)組織和新聞媒體組織的工作人員。

Pegasus 的發(fā)現(xiàn)讓研究人員們第一次能夠真正了解 NSO 出品的惡意軟件的功能。自 2010 年創(chuàng)辦以來，NSO 已然成為業(yè)內(nèi)傳奇，而公眾對其基本一無所知。NSO 的高管們極少接受媒體采訪，有關(guān) NSO 的報道中也充斥著模糊的描述和未經(jīng)證實的謠言。

NSO 聯(lián)合創(chuàng)始人 Omri Lavie 在 2013 年對《防務新聞》表示：“我們完全就是幽靈?！?/span>

《華爾街日報》在 2014 年的一篇簡短報道中稱，墨西哥政府已經(jīng)采購了 NSO 的產(chǎn)品，甚至連美國中央情報局都表達了購買意向。報道還稱，NSO 的間諜軟件行銷全球。

現(xiàn)在 NSO 的間諜軟件遭到了曝光，使用的零日漏洞也得到了修補，它應該再也不能宣稱自己是“幽靈”了吧，雖然 NSO 可能還有其他零日漏洞和工具在手上。這也是研究人員們不指望自己的報告和蘋果的補丁能阻止 NSO 很長時間的原因。

Mike Murray 表示道：“單是給這些漏洞打補丁不可能讓 NSO 破產(chǎn)。”

更嚴重的是，Pegasus 的設(shè)定可以一路往下感染到 iOS 7，也就是說 NSO 很可能在 iPhone 5 時就能入侵 iPhone 了。

NSO 的發(fā)言人 Zamir Dahbash 在一份聲明中表示：“NSO 的使命是為獲得授權(quán)的政府提供幫助他們打擊恐怖活動和犯罪的技術(shù)，以便讓世界變得更美好?！?/p>

“NSO 只對獲得授權(quán)的政府機構(gòu)銷售，完全符合嚴格的出口管制法律和法規(guī)。另外，NSO 并不負責運營售出的系統(tǒng)。我們是一家嚴格意義上的技術(shù)公司。購買我們產(chǎn)品的客戶必須保證合法地使用我們的工具。我們還在合同中專門列出，我們的產(chǎn)品只能用于預防和調(diào)查犯罪?！?/p>

蘋果的反應

公民實驗室和 Lookout 的研究人員們在發(fā)現(xiàn)這些零日漏洞（代號 Trident）后，立刻聯(lián)系了蘋果公司。蘋果公司用了 10 天時間來開發(fā)和發(fā)布補丁?，F(xiàn)在這一補丁已經(jīng)加入到 iOS 9.3.5 的更新包中，所有 iPhone 用戶都應該盡快下載和安裝這一更新。

蘋果發(fā)言人在一份聲明中表示：“我們在知道這些漏洞后立刻進行了修復，并在 iOS 9.3.5 更新中加入了這些補丁?！钡@位發(fā)言人拒絕透露更多細節(jié)。

網(wǎng)絡(luò)安全公司 Trail Of Bits 首席執(zhí)行官 Dan Guido 擁有豐富的 iOS 安全經(jīng)驗，他表示這些極少出現(xiàn)在公眾視野中的攻擊并不出人意料。不過他表示，盡管現(xiàn)在又發(fā)現(xiàn)了三個零日漏洞，但 iPhone 還是要比安卓手機安全得多。

Guido 說道：“和其他廠商相比，蘋果極大地提高了入侵蘋果設(shè)備的成本。但這一事件也顯示了需要有更好地針對 iOS 的入侵檢測手段。iOS 仍然是市面上最安全的消費設(shè)備。問題是，只有當你擁有懷疑精神以及在公民實驗室有朋友，才有可能知道自己的 iPhone 中是否安裝了惡意軟件?！?/p>

其他受害者

研究人員們還沒能找到其他 Pegasus 間諜軟件的樣本。但通過搜索類似鏈接和與此次攻擊以及 Stealth Falcon 有關(guān)的域名，他們發(fā)現(xiàn)了一條疑似針對肯尼亞不知名受害者的推文，還有一次針對墨西哥調(diào)查記者 Rafael Cabrera 的攻擊。

Rafael Cabrera 去年第一次受到了 NSO 惡意軟件的針對性攻擊，在今年 5 月又受到了第二次攻擊。在第二次攻擊中，黑客們試圖引誘他點擊一系列消息中的鏈接，如提供政府腐敗線索、話費消費 500 美元的警告短信乃至號稱是他妻子出軌的視頻鏈接。Rafael Cabrera 表示，他沒有點擊上述任何鏈接。

他表示道：“很明顯，他們想要我點擊鏈接，有點喪心病狂的感覺。”

Rafael Cabrera 并不想猜測誰是幕后黑手，政府或其他人都有可能。墨西哥政府可能是 NSO 的客戶，但不清楚是否真的有警察或情報部門使用 NSO 的惡意軟件。墨西哥也是 Hacking Team 的最大客戶，一些墨西哥政府部門被指控使用這些間諜軟件來針對記者和異見人士，而非犯罪分子。

最終，Rafael Cabrera 和 Ahmed Mansoor 的 iPhone 都沒有被黑，因為他們識破了黑客們的伎倆。當然，也可以說他們幸運。因為此前有過被政府黑客入侵的經(jīng)歷，他們比一般人要更警覺。

但公民實驗室的 Bill Marczak 表示，他倆的遭遇可能預示著未來的風險。如果政府想要黑客工具而且愿意支付高價錢，那么 Hacking Team 和 NSO 這些公司仍然會繼續(xù)提供它們。公民實驗室在過去還記錄了數(shù)起政府利用間諜軟件對異見人士、記者和人權(quán)工作者發(fā)起的黑客攻擊，工具和 NSO 制造的類似。盡管公民實驗室公開了這些攻擊并發(fā)出警告，但還是不斷有類似的新攻擊出現(xiàn)。有時候攻擊是由同一政府發(fā)起的，甚至針對的是同一目標。

他表示道：“根本沒有什么激勵，能讓 NSO 這些公司不向阿聯(lián)酋這種慣犯出售黑客工具。”

這也預示著間諜軟件行業(yè)一個新巨頭的崛起，在 FinFisher 和 Hacking Team 遭到嚴重黑客攻擊后，NSO 有著很大的增長空間。

而如果 Ahmed Mansoor 在 8 月 10 日點擊了那個鏈接，這些事情可能永遠也不會被人發(fā)現(xiàn)。

Via Vice

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。