跟蹤NSO集團Pegasus間諜軟體(上)
要點
· 2016年8月至2018年8月期間,我們在網際網路上搜索了與NSO Group的Pegasus間諜軟體相關的伺服器。找到了1,091個與我們的指紋匹配的IP地址以及1,014個指向它們的域名。我們開發並使用了Athena,這是一種新技術,將我們的發現聚整合36個不同的Pegasus系統,每個系統由一個單獨的操作人員執行。
· 我們針對匹配的域名設計並進行了全球DNS快取探測研究,以確定每個運營商在哪些國家進行間諜活動。我們的技術共識別了Pegasus運營商可能進行監視操作的45個國家。至少有10個Pegasus運營商積極參與跨境監控。
· 我們的研究結果描繪了NSO全球擴散的人權風險。至少有六個具有重要Pegasus業務的國家之前曾濫用間諜軟體針對民間社會,包括巴林,哈薩克,墨西哥,摩洛哥,沙烏地阿拉伯和阿拉伯聯合大公國。
· Pegasus也被具有可疑人權記錄和國家安全部門濫用行為歷史的國家所使用。此外,我們在若干國家的目標中發現了可能存在政治的跡象,使人懷疑該技術是否被用作“合法”刑事調查的一部分。
圖1:本報告中確定的Pegasus的範圍,規模和背景。
1. 概述
以色列的“網路戰爭”供應商NSO集團生產並銷售一種名為Pegasus的手機間諜軟體套件。為了監控目標,Pegasus的政府運營商必須說服目標點選特製的漏洞利用連結,點選該連結後,可以提供一系列0 day攻擊以滲透手機上的安全功能並在使用者不知情或許可的情況下安裝Pegasus。一旦手機被利用並安裝了Pegasus,它就會開始聯絡運營商的命令和控制(C&C)伺服器,以接收和執行運營商的命令,併發回目標的私人資料,包括密碼、聯絡人列表、日曆事件、簡訊、來自流行的app的現場語音通話。操作人員甚至可以開啟手機的攝像頭和麥克風來捕捉手機附近的活動。
圖2:據稱來自NSO Group Pegasus文件的圖表,顯示了從感染Pegasus的裝置收集的資訊範圍。來源: ofollow,noindex" target="_blank">Hacking Team Emails 。
Pegasus利用連結和C&C伺服器使用HTTPS,這要求運營商註冊和維護域名。漏洞利用連結的域名有時冒充移動提供商、線上服務、銀行和政府服務,這可能會使連結看起來是良性的。運營商擁有在傳送的漏洞利用連結中使用的多個域名,並且還有幾個用於C&C的域名。域名通常解析為由NSO Group或運營商租用的基於雲的虛擬專用伺服器(我們稱之為前端伺服器)。前端伺服器將流量(通過一系列其他伺服器)轉發到位於運營商場所的伺服器(我們稱之為後端Pegasus伺服器)。
掃描、聚類以及DNS快取探測
2016年8月,屢獲殊榮的阿聯酋活動家Ahmed Mansoor成為NSO集團Pegasus間諜軟體的目標。我們點選了他傳送的連結,獲得了Apple iPhone的三個0 day漏洞攻擊,以及Pegasus間諜軟體的副本。我們對傳送給Mansoor的樣本中的漏洞連結和C&C伺服器的行為進行了指紋識別,並在Internet上掃描了其他匹配的前端伺服器。我們總共找到了237臺伺服器。但在我們8月24日釋出調查結果之前,NSO集團顯然已經取消了我們檢測到的所有Pegasus前端伺服器。在報告後的幾周內,我們注意到少數Pegasus前端伺服器重新上線,但伺服器不再符合我們的指紋。我們開發了新的指紋並開始定期進行網際網路掃描。
2016年8月至2018年8月期間,我們檢測到1,091個IP地址和1,014個與我們的指紋相匹配的域名。我們開發並使用了Athena,一種新穎的指紋識別技術,將我們的大多數結果分組到36個不同的Pegasus系統中,每個系統可能由一個單獨的操作人員執行(第2節)。
我們接下來試圖確定這些Pegasus系統的使用位置。我們假設感染Pegasus的裝置會定期使用其ISP的DNS伺服器查詢運營商的Pegasus前端伺服器的一個或多個域名。我們通過尋找Pegasus域名的DNS轉發器定期探測全球數以萬計的ISP DNS快取(第3節)。
發現
我們在45個國家發現疑似NSO Pegasus感染程式與36個Pegasus運營商中的33個相關:阿爾及利亞,巴林,孟加拉國,巴西,加拿大,象牙海岸,埃及,法國,希臘,印度,伊拉克,以色列,約旦,哈薩克,肯亞,科威特,吉爾吉斯斯坦,拉脫維亞,黎巴嫩,利比亞,墨西哥,摩洛哥,荷蘭,阿曼,巴基斯坦,巴勒斯坦,波蘭,卡達,盧安達,沙烏地阿拉伯,新加坡,南非,瑞士,塔吉克,泰國,多哥,突尼西亞,土耳其,阿聯酋,烏干達,英國,美國,烏茲別克,葉門和尚比亞。由於我們的研究結果基於DNS伺服器的國家地理定位,因此諸如VPN和衛星網際網路遠端埠位置等因素可能會引入不準確之處。
圖3:疑似NSO Pegasus感染的全球地圖
墨西哥
2017年,通過追溯檢查簡訊,發現數十名墨西哥律師、記者、人權維護者、反對派政治家、反腐敗倡導者以及一項2016年在墨西哥開展的國際調查,與NSO集團的Pegasus有關聯。墨西哥的披露引發了一個重大的政治醜聞,#GobiernoEspía,以及隨後的刑事調查,截至本報告發布之日。即使在我們之前報道墨西哥濫用Pegasus間諜軟體之後,截至2018年7月,仍然有三家獨立的運營商主要在墨西哥運作。
中東海灣合作委員會成員國
我們確定在中東海灣合作委員會(GCC)成員國Pegasus使用量顯著增長。總的來說,我們確定了至少六家擁有重要海灣合作委員會業務的運營商,其中至少有兩家主要關注阿聯酋,一家主要關注巴林,另一家主要關注沙特。三個運營商可能正在中東和北非地區以外進行監視,如加拿大,法國,希臘,英國和美國。
海灣合作委員會國家以濫用監視工具來追蹤持不同政見者而聞名。2016年8月,阿聯酋活動家艾哈邁德曼索爾成為NSO集團Pegasus間諜軟體的目標,此前他們曾被FinFisher間諜軟體攻擊。值得注意的是,巴林在2010年至2012年期間使用FinFisher間諜軟體攻擊記者、律師、反對派政客和支援民主的活動家。2018年5月和6月,國際特赦組織報告說,國際特赦組織的工作人員和駐紮在國外的沙烏地阿拉伯活動人員成為NSO集團Pegasus間諜軟體的目標。負責該目標的同一運營商正在中東以及歐洲和北美進行監控。沙烏地阿拉伯目前正在尋求五名非暴力人權活動人士,他們被指控在示威活動中高呼口號,並在社交媒體上釋出抗議視訊。
其它國家
我們確定了五個專注於非洲的運營商,其中一個主要集中在多哥,這是一個堅定的以色列盟友,其長期在位的總統對和平反對派採取酷刑和武力。多哥的運營商使用了名為“nouveau president”(“新總統”)和“politiques infos”(“政治資訊”)的來感染間諜軟體。一個專注於摩洛哥的獨立運營商也可能在監視其他國家的目標,包括阿爾及利亞,法國和突尼西亞。我們確定了幾家在以色列運營的運營商:其中四家在國內運營,另一家在以色列以及荷蘭、巴勒斯坦、卡達、土耳其和美國等其他國家運營。
2. Pegasus基礎設施的指紋
本節描述了我們如何追蹤Pegasus基礎設施,從2016年的最初發現到目前。
背景
阿聯酋威脅行為者Stealth Falcon(後來透露為阿聯酋網路安全公司DarkMatter)的運營商無意中給了我們機會,通過註冊其主頁包含Pegasus連結的域名、使用相同的電子郵件作為跟蹤單獨PC間諜軟體產品的域名,我們開始跟蹤NSO集團的Pegasus間諜軟體。 2016年8月,阿聯酋活動家Ahmed Mansoor成為Pegasus的目標,簡訊傳送到他的iPhone。我們點選了訊息中提供的連結,獲得了Apple iOS 9.3.3的三個0 day攻擊,以及Pegasus間諜軟體的副本。我們向蘋果公司披露了這些漏洞,並迅速釋出了阻止Pegasus間諜軟體的補丁。根據掃描結果,我們檢測到的所有Pegasus伺服器(傳送給Mansoor的樣本中的C&C伺服器除外)在我們釋出結果前至少兩天都被關閉。
2016年指紋:誘餌頁面
在2016年為Pegasus基礎設施構建指紋時,我們在網際網路上掃描了/redirect.aspx和/Support.aspx,其中Pegasus伺服器返回了誘餌頁面。誘餌頁面是在間諜軟體伺服器上存在非期望的遠端登陸時顯示的頁面,旨在說服使用者他們正在檢視正常的良性網站。但是因為顯示誘餌頁面的功能通常駐留在間諜軟體伺服器的程式碼中,並且可能不在其他任何地方,所以研究人員為誘餌頁面構建指紋,並在網際網路上掃描這些指紋,以識別與同一間諜軟體相關聯的其他伺服器。如果多個運營商使用相同的間諜軟體系統,系統可能包括其他運營商的伺服器。
2017和2018年指紋:沒有誘餌
在我們2016年8月的報告之後,NSO Group刪除了/redirect.aspxand/Support.aspx誘餌頁面,並進一步修改了他們的伺服器程式碼,除非在伺服器上顯示有效的漏洞利用連結或其他路徑,否則傳入連線被關閉而不返回任何資料。在我們披露了如何用誘餌頁面指紋識別隱藏的基礎設施之後,這一變化與競爭對手 ping-finfishers-continuing-proliferation/" target="_blank" rel="nofollow,noindex">FinFisher 和 Hacking Team 的變化一致。
在研究了幾個可疑的新Pegasus伺服器的行為後,我們開發了指紋ξ1,ξ2和ξ3,以及我們稱之為Athena。指紋ξ1是傳輸層安全性(TLS)指紋。指紋ξ2和ξ3代表我們觀察到的兩種不同的代理配置。我們認為伺服器是NSO集團基礎設施的一部分,如果它匹配ξ1,或者ξ2或ξ3中的一個。然後我們使用Athena將指紋匹配分為36個群。我們認為每個群代表NSO Pegasus間諜軟體的一個運營商,儘管有些可能代表演示或測試系統。正如我們過去在報告目標惡意軟體供應商時所做的那樣,我們選擇不釋出特定指紋和技術,以防止其他人使用這些方法生成NSO Group域列表由此可能導致的損害。
繪製Pegasus的活動時間軸
NSO集團顯然告訴商業夥伴,我們2016年8月的報告以及披露了他們對Apple漏洞的利用“……在他們……恢復運營之前大約30分鐘就中斷了工作。”我們對NSO集團基礎設施的掃描顯示出不同尋常的情況(圖4)。
圖4:Pegasus伺服器的時間表
在我們釋出Million Dollar Dissident(我們稱之為版本2伺服器)之前關閉的12臺伺服器,在2016年9月25日的掃描中重新上線,並且大部分時間都線上,一直保持到2017年8月10日。這些可能是希望繼續監控舊感染的客戶的C&C伺服器。我們在2017年9月5日的掃描中看到了第一臺第3版伺服器,距離Million Dollar Dissident不到兩週。在Million Dollar Dissident之後大約一個月,我們看到了七家線上的運營商。報告發布兩個月後,我們在網上看到了14家運營商。
3. DNS 快取探測結果
本節描述了DNS快取探測研究結果,用於識別疑似Pegasus感染(有關研究詳情,請參閱第4節,以及“疑似感染”的定義)。
背景
我們使用Athena的技術將匹配Pegasus指紋的IP地址聚類成我們認為的36個不同運營商;每個運營商都使用多個IP地址。我們為每個運營商提供一個運營商名稱,該運營商名稱來自國家/地區標誌或地理特徵。對於運營商使用的每個IP地址,我們從其TLS證書中提取了一個域名。我們對域名進行編碼以生成可疑國家/地區焦點,並評估域名中是否存在政治主題,這可能表明出於政治動機的目標。然後,我們執行DNS快取探測,以生成與運營商相關的可能感染的國家/地區列表。
美洲運營商
我們確定了五到六家我們認為在美洲運營的運營商。
我們稱之為MACAW的一個運營商關注宏都拉斯或鄰國,因為它使用了兩個有趣的域名,顯示了與宏都拉斯的可能聯絡(politica504 [.] com和eltiempo-news [.] com)。但是,我們的DNS快取探測技術未識別到與此相關的任何可疑感染。
在2017年6月的 Reckless Exploit report 中,墨西哥濫用NSO集團的Pegasus間諜軟體時,有四家運營商使用域名關聯到墨西哥:RECKLESS-1,RECKLESS-2,PRICKLYPEAR和AGUILAREAL。RECKLESS-1和RECKLESS-2使用了一些包含政治主題的域名(RECKLESS-1使用universopolitico [.] net及 animal-politico [.] com; RECKLESS-2使用noticiaspoliticos [.] com和politicoportales [.] org)。運營商RECKLESS-1和RECKLESS-2之所以如此命名,是因為在我們的報告發布後它們迅速全部關閉。運營商PRICKLYPEAR和AGUILAREAL部分關閉:每個伺服器上有兩個或三個伺服器保持聯機狀態。報告發佈一個月後,2017年7月,一個專注於墨西哥的新運營商MAYBERECKLESS註冊了第一個域名。MAYBERECKLESS域名於2017年9月開始與我們的指紋匹配,可能是RECKLESS-1或RECKLESS-2的延續。同樣在2017年9月,PRICKLYPEAR和AGUILAREAL的其餘伺服器補充了新的伺服器。
非洲運營商
我們確定了五家專注於非洲的運營商。我們稱之為REDLIONS的運營商使用的前端域名幾乎全部用法語編寫,包括兩個政治主題域名(politiques-infos [.] info和nouveau-president [.] com)。我們在多哥發現了DNS快取探測命中的REDLIONS。由於在2018年7月之前沒有進行DNS快取探測研究,因此我們沒有機會對2017年7月關閉的一個運營商AK47進行調查。運營商ATLAS和GRANDLACS也利用了政治主題域名(ATLAS使用revolution-news[.]co,GRANDLACS使用politicalpress[.]org)。
歐洲運營商
我們確定了五家專注於歐洲的運營商。我們稱之為TURUL和CHEQUY的兩個系統在他們的前端域名中有匈牙利語和克羅埃西亞語,但我們沒有找到任何針對這些的DNS快取探測命中。
中東運營商
我們確定了12家運營商,我們認為這些運營商專注於中東地區。一個運營商PEARL專注於巴林。最近,運營商KINGDOM關注國際特赦組織的工作人員和海外的沙烏地阿拉伯活動家。運營商PEARL使用政治主題域名,包括shia-voice [.] com(指巴林政治壓制的宗教團體)和14-tracking [.] com(也許是指2月14日青年聯盟,一個領導反政府抗議活動的組織),運營商FALCON使用了nomorewarnow [.] com。
亞洲運營商
我們確定了五家專注於亞洲的運營商。運營商GANGES使用了一個政治主題的域名sign petition [.] co。
高度定製的運營商(重心不明)
我們發現三家運營商的重心不明確,他們都在運營中使用了一定程度的定製。
運營商SUPERSIZE(活躍於2016年9月至今)是迄今為止域名數量最大的Pegasus部署;我們發現有118個域名屬於SUPERSIZE。我們在以色列和巴林發現了有趣的DNS快取命中率,但沒有足夠的資訊來確定這些是否可能是疑似感染。可能的情況是,SUPERSIZE使用相對較少的基礎設施監控相對較少的人,或者某些SUPERSIZE的目標可能處於可以通過DNS快取探測測量的區域之外,或者SUPERSIZE以特別隱蔽的方式執行,在零星而非連續的監視下進行。
運營商SNEAK(2016年10月至今活躍)的基礎設施反映了高度的定製,包括在非標準埠上執行C&C伺服器,以及利用動態DNS服務。SNEAK是在我們的Million Dollar Dissident報告之後重新使用其舊基礎設施的運營商,促進了我們對NSO集團基礎設施的持續可見性。在敘利亞,黎巴嫩,卡達,荷蘭和美國的這個系統上發現了有趣的DNS快取命中,但沒有足夠的資訊來確定這些是否可能是疑似感染。
運營商PARTY(2017年5月至今活躍)使用具有極長TTL的域名。我們在敘利亞和黎巴嫩的這個系統上發現了有趣的DNS快取命中,但沒有足夠的資訊來確定這些是否可能是疑似感染。
在下篇文章中,我們將為大家介紹DNS快取探測技術。敬請期待!