可领全套安全课程、配套攻防靶场
前言
天下人权斗士苦NSO久矣,今天我们来说一说杀人不见血的国际监控组织NSO。
来自以色列的NSO集团,是世界上最秘密的监视技术制造商,也是令人闻风丧胆的“ 络军火商”。
它最得意的 络武器Pegasus,就是一款可以监控目标人物的手机间谍软件。
攻击者首先会构造一个包含漏洞利用的特制链接发送到目标人物手机中,一旦目标人物点击该链接,就会实现一系列的0-day攻击,在隐蔽和无权限需要的情况下安装恶意软件,最终攻击者就能控制该手机。
据统计,Pegasus被用在全球至少45个国家,至少10个攻击组织在进行着活跃的跨境入侵监控行为。
更瘆人的是,别人家的软件要钱,NSO家的软件要命。
在2016年,阿联酋著名人权捍卫者艾哈迈德·曼索尔(Ahmed Mansoor)联系到Citizen Lab组织,分享了自己手机中包含Pegasus的消息,而经Lookout公司研究发现,最终以 告的形式,向世人揭露了Pegasus手机监测软件的丑陋面容。
这款软件主要进行监测与攻击,而在针对阿联酋人权维护者Ahmed Mansoor进行针对性攻击。
不止阿联酋,远在墨西哥的人权斗士同样如此。
枪击案前,Javier Valdez 和同事们收到了精心设计的短信,手机在无感知的情况下被安装了Pegasus软件。从此,手机像打开了大闸,各种私人邮件、敏感信息、图片视频源源不断被送到犯罪分子手中,一场惨剧由此酿成。
Pegasus杀红了眼,沙特政府表示这很NSO,反手就从他们那儿购买了服务。
到了2018年,沙特的异见人士卡舒吉惨遭肢解,血腥程度让全球震惊了。
从阿联酋、墨西哥到沙特,Pegasus带来的屠杀远没有结束。
2019,“杀人软件”Pegasus再次在摩洛哥露头,有机构曝光摩洛哥知名人权捍卫者(HRD)马蒂·蒙吉布和Abdessadak El Bouchattaoui遭到NSO集团间谍软件的定向攻击,且极可能是此前一次次上演屠杀风波的Pegasus软件。
曝光内容中指出,此次攻击,最早可追述到2017年10月,由于目标更侧重于缩小两位人权捍卫者开展工作的空间,让他们“免于一死”,不过后续是否会受到生命威胁,没有人敢断言。
短信钓鱼攻击细节
我们发现,马蒂二人遭受的是恶意短信攻击。
这些短信包含着指向NSO Group的Pegasus间谍软件 站的恶意链接,如果点击了短信中的链接,那么他们手机就会被强行安装Pegasus。
像“澳门博彩”一样烦人的垃圾短信,源源不断地发到马蒂二人手机,而且还都是一模一样的文本内容,是不是感觉像吞了苍蝇一样恶心?
那就对了,攻击者“贴心”地附上停止接收的办法:点击(恶意)链接。
每天接收这些奇奇怪怪的短信,提心吊胆着自己手机被监控,更害怕说了什么不该说的内容。
二人表示压力山大,换作是我也得慌得一批。
络劫持攻击细节
因为Safari的浏览历史记录都存储在本地的SQLite数据库中,这些数据不仅保留了特定链接的单独访问记录,还记录了其初始访问和最终访问的记录。
所以我们能够重现攻击过程中的 页重定向和按时间排序的 页请求。
7月22日,马蒂打开Safari浏览器,并在地址栏中手动输入“yahoo.fr”访问雅虎,然后Safari首先与http:// yahoo.fr 进行未加密的连接。
通常情况,雅虎会立即将浏览器重定向到其默认的TLS安全站点https://fr.yahoo.com/。
但是,马蒂的浏览器历史记录显示,该页面显示不到3毫秒,就重定向到非常可疑的 站:
hxxps://bun54l2b67.get1tn0w.free247downloads.com:30495/szev4hz
在这次访问之后,又重定向到了当前域名另外一个不同参数的地址:
hxxps://bun54l2b67.get1tn0w.free247downloads.com:30495 / szev4hz#048634787343287485982474853012724998054718494423286
注意,仅当访问未加密传输的http连接时,才可以进行这种重定向,例如http://yahoo.fr。
大约30秒后,马蒂再次访问Yahoo,不过这一次是在Google上搜索“yahoo.fr mail ”,他被定向到了正确地址,然后他在该页面阅读电子邮件。
我们认为,这是典型的 络被劫持的表现,通常这类攻击被称为“中间人”攻击。
攻击者已经控制了目标的 络连接,可以监视和劫持目标的 络请求及流量,从而任意更改目标设备的 络访问行为,例如可以将设备重定位到恶意 站,并且整个过程无需受害者进行任何交互操作。
这样的攻击可能发生在和目标设备相连的任何 络节点。
在这种情况下,由于目标设备是iPhone,仅通过移动 络连接,因此最有可能的攻击节点可能是放置在目标附近的恶意移动基站,或者可能移动运营商的核心 络基础设施被控制后启用这种类型的攻击。
除此以外,由于此攻击是通过 络“无感知”执行的,而不是通过恶意短信和 会工程学执行的,因此它避免任何用户交互,对受害者几乎不可见踪迹、极难发现。
换言之,当马蒂访问雅虎时,他的电话可能受到了中间人攻击,Safari的 络访问被自动重定向到恶意软件的服务器,继而试图静默安装间谍软件。
对设备的进一步分析,发现了在2019年3月至2019年7月之间,间谍软件Pegasus至少对马蒂进行了四次类似的中间人攻击尝试。(注意:每次尝试后,重定向的URL随不同的子域,端口 和URI都会略有变化。)
并且很显然,至少成功进行了一次中间人攻击。
还有更鸡贼的,大家都知道,每当应用程序崩溃时,iPhone都会存储一个日志文件,跟踪崩溃的确切原因,这些崩溃日志可以无限期地存储在手机上。
而对马蒂的手机分析发现:有一次,在Safari重定向发生后的几秒钟,所有这些崩溃文件咔咔咔全都被清除。
这很可能是间谍软件故意执行的清除操作,目的是清除漏洞利用的痕迹,然后执行攻击并强制重启手机。
分析发现,马蒂收到的恶意短信中主要包含以下3个域名:
Stopsms.biz
infospress .com
Hmizat.co 该域名似乎假冒了摩洛哥的电子商务公司Hmizate
如果以为域名就这几个,抱歉了,NSO集团发布的恶意域名六百个起步,并且与一些国家/地区强相关。
国际黑客组织不都这样吗?
一般不出手,出手不一般。
例如,使用国家代码(例如“zm”)的域名很可能是与赞比亚相关,并以“zm”作为后缀或前缀来突出显示:
Onlineshopzm.com
Zednewszm.com
zm-banks.com
zm-weather.com
例如刚果:
Nothernkivu.com 刚果民主共和国的地区北基伍
或与非洲地区相关:
Afriquenouvelle.com
Allafricaninfo.com
我们还发现了许多域名,这些域可能是与俄语国家相关,例如:
centrasia-news.com /假冒新闻 站(http://ca-news.org/),在反对派激进分子中很受欢迎
Mystulchik.com /
odnoklass-profile.com“Odnoklassniki” /是在俄语国家中流行的 交媒体 络
sputnik-news.info /人造卫星新闻(https://sputniknews.com)
许多域名则很可能与哈萨克斯坦相关
Tengrinews.co
Sergek.info sergek.kz是哈萨克斯坦的视频监控系统
egov-sergek.info Egov.kz是哈萨克斯坦的电子政府 站
egov-segek.info
Mykaspi.com 来自哈萨克斯坦的银行机构
kaspi-payment.com 来自哈萨克斯坦的银行机构
而这些域名使用了拉脱维亚语,很可能针对的拉脱维亚的目标:
e-sveiciens.com拉脱维亚语的“电子问候”Klientuserviss.com拉脱维亚的“客户服务”Kurjerserviss.com拉脱维亚的“客户服务”Reklamas.info拉脱维亚语中的“广告”
以下域名可能在匈牙利使用:
Legyelvodas.com 该匈牙利语链接可能与沃达丰(Vodafone)相关
还更多以假乱真的新闻 站域名,我都有点相信是真的:
Theastafrican.com假冒肯尼亚 纸媒体(
http://www.theeastafrican.co.ke/)
Ajelnews.net假冒沙特阿拉伯新闻 站
Ajel News(http://ajel.sa)akhbara-aalawsat.com假冒阿拉伯新闻 站
Asharq Al-Awsat(https://aawsat.com)centrasia-news.com假冒中亚新闻(http://ca-news.org/),在反对派激进分子中很受欢迎
Tengrinews.co假冒哈萨克斯坦新闻 站
Tengri News(http://tengrinews.kz)akhbar-arabia.com可能假冒阿拉伯新闻 站
Akhbar Arabia(https://akhbararabia.net/)gulfnews.info可能假冒海湾新闻
(https://gulfnews.com)eltiempo-news.com假冒哥伦比亚 纸El Tiempo(https://eltiempo.com)
sputnik-news.info人造卫星新闻(https://sputniknews.com)
零日反思
不只屠杀,更是 络安全“核威胁”
去年同期,CitizenLab(公民实验室)指出,在全球范围内共有174人被公开 道受到了NSO间谍软件的侵害,而这只是已知的人数,当前被攻击而不自知的受害者也大有人在。
尼莫拉说:
他们追杀犹太人,我没有说话——因为我不是犹太人;
最后他们奔我而来,却再也没有人站起来为我说话了。
最终,NSO集团制造的“ 络炸弹”,会不会威胁到每一个人。
今天你知道了吗
下方《了解更多》中,点击链接可免费观看更多精彩黑客教程呦~
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!