以色列“飛馬”間諜軟件攻擊事件的綜合分析
2021 年 7 月, 以色列間諜軟件“監聽門”事件成為國際焦點。這款間諜軟件以神話中的“飛馬”(Pegasus)命名, 由以色列網絡武器公司 NSO Group 開發,可以“通過空中飛行”感染手機,它可以秘密安裝在運行大多數版本的 iOS 和 Android 的手機(和其他設備) 上。“飛馬”攻擊事件經媒體曝光后,國際輿論一片嘩然,在國際社會引起軒然大波,影響巨大,被稱為 2021 年度的一大標志性事件。
一、“飛馬”攻擊事件的重大性分析
“飛馬”間諜軟件攻擊事件無論是從監聽范圍,還是從監視對象的身份等多個方面來看,都是一起性質十分嚴重的信息竊聽事件。
1.監聽對象涉及多國元首和政界要員
2021 年 7 月 18 日, 華盛頓郵報、衛報、世界報等全球 10 個國家的 17 家國際知名媒體機構與非政府組織“禁忌故事”和國際特赦組織合作,對“飛馬”軟件調查數月之后共同發表了一項調查報告,揭露了一個重大信息: 多個國家元首和政界要員都受到了這款軟件的監聽,監聽對象有至少 14 位政界的重量級人物, 其中包括:法國總統馬克龍、伊拉克總統薩利赫、南非總統拉馬福薩、巴基斯坦總理伊姆蘭汗、埃及總理馬德布利、摩洛哥首相奧斯曼尼、阿爾及利亞前總理努爾丁?貝杜伊、 黎巴嫩總理薩阿德?哈里里等。此外, 還有一大批各個國家的王室成員、政府官員、企業高管、著名人士、媒體記者等公眾人物,包括中國在內的多國駐印度外交官。不難看出,監視活動的目標有著鮮明的政治指向性。
2.監聽范圍高達 50 多個國家和地區
多倫多大學研究機構公民實驗室開展一項長達兩年的研究指出,“飛馬”間諜軟件可能在全球超 50 個國家和地區開展業務, 它和超過1000 個 IP 地址之間存在關聯。據稱, 目前有超過 5 萬個號碼在“飛馬” 監視的列表中,有上千個電話號碼的所有者身份已被確定。對泄漏數 據的分析和對該軟件的取證調查顯示, 至少 11 個國家從該公司購買了 監視軟件,包括阿塞拜疆、巴林、匈牙利、印度、哈薩克斯坦、墨西 哥、摩洛哥、盧旺達、沙特阿拉伯、多哥、阿拉伯聯合酋長國。另據 媒體最新披露,德國政府私下承認其購買飛馬間諜軟件,采購此間諜 軟件的是德國聯邦刑事警察局用來進行特殊目的監控。
3.攻擊時間持續數年之久
根據國際特赦組織發布的計算機追蹤取證研究報告顯示,“飛馬”攻擊從 2014 年開始,一直持續到 2021 年 7 月媒體曝光之時。它采用的攻擊方式是不需要來自目標的任何交互的所謂“零點擊”攻擊。而且,自 2016 年以來,“飛馬”間諜軟件交付和收集數據的域名、服務器和基礎設施已經發展了幾次,不斷重組了其基礎結構、引入了額外的層,讓攻擊被發現變得更加困難和復雜。
4.攻擊能力超乎尋常
“飛馬”間諜軟件的攻擊能力超乎尋常,它能夠遠程和秘密地從幾乎任何移動設備中提取有價值的情報,可以在不需要點擊的情況下侵入手機自動激活,提取包括照片、定位、密碼、通話記錄、聯系人信息等手機上的數據,還能悄悄打開攝像頭和麥克風,實時監控機主的一切活動;監聽時間則長短不一,短時甚至只有幾秒。據悉,該軟件可以躲避蘋果和安卓系統的防御手段,幾乎不會留下攻擊的痕跡。任何常用的隱私保護措施,如強密碼或加密,對它都沒有作用。媒體使用了“軍事級間諜程序”、“目前為止最危險的間諜軟件之一”、“有史以來最強大的間諜軟件”、“達到無所不能的地步”等措詞來形容這款軟件的強大。
二、“飛馬”軟件的技術特點分析
在應對當今高度動態的網絡戰場上的新通信攔截挑戰時,相對于被動攔截、戰術 GSM 偵聽、惡意軟件等這類標準解決方案,“飛馬”軟件利用了情報和執法機構專業人員專門開發的一系列尖端技術,彌合了巨大的技術差距,它提供了一組豐富的高級特性和標準攔截解決方案中無法提供的復雜情報收集功能,具有以下獨特的技術亮點:
1.數據收集的全面性
“飛馬”軟件主要通過四種方法來實現數據收集:( 1)數據提取:在代理安裝時提取設備上存在的全部數據;( 2)被動監測: 監測設備的新到達數據;( 3)主動采集: 激活攝像頭、麥克風、 GPS 等元素,實時采集數據;(4)基于事件的收集:定義自動觸發特定數據收集的方案。通過使用這四種收集方法,“飛馬”軟件可以實現廣泛的數據收集,類型包括文本、音頻、可視化信息、設備位置信息等,可提取設備上所有現有的數據;能夠閱讀短信、跟蹤電話、收集密碼、跟蹤位置,訪問目標設備的麥克風和攝像頭,并從應用程序收集信息,從而提供十分全面和完整的網絡情報收集。
2.數據傳輸的安全性
“飛馬”軟件實現了最高效、最安全的實時數據傳輸, 數據以隱藏、壓縮和加密的方式發送回“飛馬”服務器。其代理和服務器之間的所有連接都采用了強算法加密,并相互驗證,傳輸的數據使用 AES128位加密;其代理安裝在設備的內核級別,隱藏良好,代理與中心服務器之間的通信是間接的(通過匿名網絡), 因此溯源難度大, 防病毒和反間諜軟件無法追蹤;發生暴露風險時具有自毀機制。
3.數據表示與分析的可操作性
“飛馬”系統提供了一套操作工具, 這些工具包括:地理分析工具,可跟蹤目標的實時和歷史位置,查看地圖上的多個目標;規則和警報工具,可定義規則,在重要數據到達時生成警報;收藏夾,可標記重要和喜歡的事件,以便后續回顧和更深入的分析;情報儀表板,查看目標活動的亮點和統計; 實體管理, 按利益集團管理目標(例如,毒品、恐怖、嚴重犯罪、地點等); 時間線分析工具, 回顧和分析從特定時間框架收集的數據;高級搜索工具,對術語、名稱、代碼詞和數字進行搜索,以檢索特定信息。通過上述工具可幫助組織將數據轉化為可操作的情報,對收集到的數據進行查看、排序、篩選、查詢和分析。
三、“飛馬”軟件的攻擊能力分析
“飛馬”是一款能實現無感知、難溯源、長期持續、精準定向的網絡入侵、監聽、攻擊活動的強大間諜軟件,具有跟蹤、監聽和間諜滲透的“全面能力”。其攻擊能力主要有以下特點:
1.遠程靜默注入能力
在設備上注入和安裝代理是對目標設備進行情報操作的最敏感和最重要的階段。“飛馬”系統具有空中( OTA)遠程安裝的獨特能力,它能夠將消息遠程秘密地發送到移動設備。此消息觸發設備下載并在設備上安裝代理。在整個安裝過程中,不需要目標的合作或參與(例如, 單擊鏈接, 打開消息), 不需要在任何階段對目標或設備物理接近,設備上也沒有任何指示。安裝是完全無聲和隱形的, 不能被目標阻止,從而實現無與倫比的移動情報收集。
2.“零點擊”攻擊能力
“飛馬”攻擊的一個最大特點是它能實現“零點擊”(“zero-click”)攻擊,即不需要用戶點擊的情況下入侵手機并自動激活,不需要來自目標的任何交互;不用釣魚網址,照樣能對目標對象實施各項有針對性的間諜活動。而傳統手機監聽方式,攻擊者先要獲得系統權限并安裝間諜軟件,然后才能在遠程進行控制與操作,在這個過程中,安裝軟件的步驟是可能被小心的用戶發現或拒絕的。根據相關報告顯示,在 2016 年至 2018 年間,“飛馬”攻擊策略是采用攜帶有惡意鏈接的短信實施魚叉式網絡釣魚攻擊。2018 年以后,攻擊者的策略發生了改變,軟件功能進化到可以無需使用這種方式,自 2018 年 5 月以來“飛馬”零點擊攻擊開始頻繁出現, 并一直持續到最近的 2021 年 7 月事件曝光之時。
3.超強滲透能力
“飛馬”間諜軟件能夠滲透包括蘋果、安卓、黑莓、塞班等智能手機系統; 監控大量應用程序, 包括 Skype、WhatsApp、Viber、Facebook和 Blackberry Messenger ( BBM)。攻破的服務平臺包括蘋果、谷歌、Amazon 和微軟。軟件可以復制谷歌云端硬盤、 FB Messenger 和 iCloud的授權密鑰,允許另外的服務器模擬成官方服務器來欺騙手機。如果用戶沒有開啟兩步驗證,攻擊者可以直接獲得云端數據。
4.抗攻擊溯源能力
“飛馬”系統具有的自毀機制使得攻擊源頭難以暴露, 追蹤溯源很困難。當代理存在很大可能暴露風險時,系統能夠自動啟動自毀機制并卸載代理,然后伺機再次安裝;當代理沒有響應并且長時間沒有與服務器通信的情況下, 代理將自動卸載, 以防止暴露或濫用。此外,“飛馬”的匿名傳輸網絡( PATN)還利用了某些技術來避免傳統的網絡掃描,從而實現攻擊后在設備上不留痕跡。
四、“飛馬”重大攻擊事件回溯
近年來,“飛馬”間諜軟件實施了一系列重大攻擊。
1.2016 年
2016 年 8 月,“飛馬”軟件對 iPhone 設備實施攻擊。“飛馬”利用3 個當時未被發現的 iOS 系統“0day”漏洞, 攻破了當時號稱最安全的 iOS 系統而“一戰成名”被眾人知曉。谷歌最初于 2016 年底發現安卓 版“飛馬”的蛛絲馬跡, 當時整個 14 億臺安卓設備中只有少量被“飛 馬”感染。與 iPhone 版本一樣, 安卓版“飛馬”包含高度復雜和先進 的功能, 其可以通過短信息控制, 并具有自毀能力。 iPhone 版“飛馬” 檢測到越獄后會自行刪除,但安卓版的“飛馬”在發現自己在特定時 間內無法連接到命令與控制( C2)服務器時, 或感覺自己會被檢測到 時,就會自行刪除。
2.2017 年
摩洛哥拉巴特穆罕默德五世大學的歷史教授馬蒂?蒙吉布被黑客入侵。此后, 馬蒂?蒙吉布又遭受了至少四次黑客攻擊, 每次攻擊都比以前更先進。
3.2018 年
(1)2018 年,國際特赦組織稱其一名員工遭到了 NSO 軟件的惡意攻擊,稱一名黑客試圖用 WhatsApp 上一條信息作為誘餌,侵入該員工的智能手機。(2)2018 年 12 月, 沙特政治家阿卜杜勒阿齊茲的律師將以色列國防部合同商、監控科技公司 NSO 集團告上法庭。在法庭文件中, 阿卜杜勒阿齊茲聲稱, NSO 的“飛馬”軟件產品入侵了他的手機,監控他和卡舒吉的通訊,違反國際法。
4.2019 年
2019 年,即時通訊軟件 WhatsApp 發現“飛馬”通過其軟件通話功能漏洞獲取了約 1400 部用戶手機的信息, 這些用戶遍布四大洲, 包括外交官、記者和政府高級官員。 WhatsApp 母公司臉書正式在美國起訴 NSO 集團,稱其利用“飛馬”軟件協助多個國家入侵用戶手機。WhatsApp 對其進行起訴。
5.2020 年
2020 年 7 月和 8 月,“飛馬”間諜軟件入侵半島電視臺記者、制片人、主播和高管等人的共 36 部個人手機。總部位于倫敦的 Al Araby電視臺的一名記者的私人電話也被黑客入侵。
6.2021 年
2021 年 7 月,“飛馬”的最新版本利用多個零日漏洞對最新 iOS版本( iOS 14.6)具有完整補丁的 iPhone 12 成功實施了零點擊攻擊。
除了以上攻擊事件之外,“飛馬”間諜軟件還被 APT 攻擊組織使用。2019 年,有公司在追蹤在黃金雕(APT-C-34)相關攻擊事件時,曾在 攻擊者的基礎設施中發現“飛馬”的培訓文檔, 其中還包括與 NSO 相 關的合同信息, 采購時間疑似在 2018 年。依靠“飛馬”網絡武器, 黃 金雕(APT-C-34)組織具備針對 IPhone、Android 等移動設備使用 0day漏洞的高級入侵能力。
五、“飛馬”事件后的各方反應
1.NSO 集團的回應
NSO Group 并未否認其間諜軟件的存在, 在回應 17 家媒體調查報告時表示,他們在允許客戶使用其間諜工具之前嚴格審查了其客戶的人權記錄。它說軍用級“飛馬”只能用于防止嚴重犯罪和恐怖主義。NSO 表示,其采購客戶政府是通過簽署合同和許可證投標的,同意使用條款,并在合同上僅限于合法的犯罪或恐怖主義目標。一旦出售,NSO Group 表示它不知道也無法看到其客戶政府如何使用其間諜軟件。出于合同和國家安全方面的考慮, NSO 無法確認或否認其政府客戶的身份。公司的所有者斷然駁斥了所有指控,稱相關電話號碼列表與該間諜軟件無關。
2.以色列政府的回應
據多家以色列媒體報道,為了應對“飛馬”軟件被曝光后引發的風波,以色列政府 7 月成立了一個跨部門特別小組,該小組由以色列國防部、司法部、外交部、軍事情報部門和情報和特勤局(摩薩德)代表組成,調查濫用“飛馬”進行監視和黑客攻擊的指控,確定是否需要對敏感的網絡技術出口進行“政策調整”。同時, 以色列政府否認有機會獲得由 NSO 的客戶收集的信息。
3.美國政府的反應
11 月 3 號, 美國商務部宣布美國政府已經制裁了四家主要的開發和銷售間諜軟件和其他黑客工具的公司,其中就包括以色列的 NSOGroup 公司(其它三家分別是: 以色列的 Candiru、俄羅斯安全公司Positive Technologies 和 新 加 坡 的 Computer Security InitiativeConsultancy (CSIC))。這是美國商務部繼 10 月 20 日發布新的出口管制規定,要求各企業除非獲得商務部許可,禁止向中俄等國出售黑客工具的時隔不到兩周扔下的“第二只靴子”。商務官員表示, NSO Group和 Candiru “開發并向外國政府提供間諜軟件, 這些軟件使用這些工具惡意針對政府官員、記者、商人、活動家、學者和大使館工作人員。”
美國官員表示,這些工具被外國政府濫用,在這些政府主權邊界之外對持不同政見者、記者和活動家進行跨國監控。這四家公司已被添加到目前由美國商務部工業和安全局( BIS)維護的惡意網絡活動實體名單中。美國公司和機構在購買、出口或轉讓這四家公司開發的任何網絡工具之前,必須獲得 BIS 的特別許可。商務部沒有透露它用來制裁這四家公司的細節和證據,
4.其他國家政府的反應
隨著事件不斷發酵,法國、阿爾及利亞、匈牙利、印度、哈薩克斯坦、摩洛哥、巴基斯坦、盧旺達、沙特阿拉伯、阿拉伯聯合酋長國等多國政府反應不一。法國方面已經對此事件開展調查,馬克龍隨即改變了他的電話號碼并更換了他的電話。此外,他還下令對安全程序進行大修。同時, 法國情報機構(ANSSI)證實, 在三名記者的電話中發現了“飛馬”間諜軟件,這是獨立和官方機構首次證實調查結果。摩洛哥否認了其監聽法國總統的相關指控。其他多國紛紛下令調查此間諜軟件的監聽行為。
六、幾點啟示
1.間諜軟件已成為一種強大的網絡攻擊武器
“飛馬”間諜軟件攻擊事件,讓我們認識到了間諜軟件超強的殺傷力。當前,間諜軟件的技術水平在不斷地更新迭代,監控功能的強大已經超過了我們的想象。網絡間諜的戰法出現了新的變化, 堪稱“軍用級”的網絡武器。它跟 2010 年以色列研發的“震網”(Stuxnet)病毒軟件摧毀伊朗核設施一樣,堪稱里程碑事件,值得從多方面進行深入研究。
2.監控已超越傳統行為變得更具普遍性
“飛馬”攻擊事件, 與 2013 年斯諾登曝光的“棱鏡”監控計劃相比,可以發現,現在的監控已經超越了傳統的監控行為,實現了對人們手機的入侵,這種情況更可怕。說明當前的監控工具更具普遍性,監控科技與產品已形成一個產業,其銷售和轉移已在全球形成一個產業鏈。以色列的 NSO 公司以及其開發的“飛馬”間諜軟件只是其中一個縮影而已。“飛馬”本身就是一款普通的 APP,混雜于數以千萬乃至上億的應用軟件中,互聯互通的網絡環境讓其具有普遍撒網波及全球的影響力。
3.間諜軟件的即時檢測和發現亟待技術和制度保證
“飛馬”這一類的間諜軟件,由于采用了十分先進的技術,可以隱藏數年不被發現,更難以溯源。因此,即時檢測和發現就成為防范這類間諜軟件的關鍵。首先從技術上需要提升間諜軟件的檢測發現能力。這次攻擊事件曝光后, 國際特赦組織就是通過相關技術實錘了“飛馬”數年來的大規模監視,同時還公布了取證的技術細節,其中包括2018 年來該間諜軟件感染目標的變化, 并且公布了與該間諜軟件相關 的電子郵件、進程名、域名和 IOC。在發布報告后, 國際特赦組織還發 布了一個叫做移動驗證工具( MVT)的工具, 通過這個小小的工具, 可以識別潛在的泄露痕跡,避免手機在無異常下被植入“飛馬”間諜 軟件。這些技術均值得研究。其次,需要從管理和制度上把好各個“關 口”, 比如, 應該建立對外來 APP 的“隔離”機制, 待安全無害后, 才 允許使用,全面提升國家網絡治理體系和治理能力現代化水平,有利 于及時阻斷、發現、清除無孔不入的間諜軟件。
