Как сообщает Citizen Lab, её сотрудникам совместно с Lookout Security удалось исследовать попытку установления слежки за правозащитником из Арабских эмиратов Ахмедом Мансуром, для которой были использованы две уязвимости в ядре iOS и одна в WebKit. 10-11 августа он получил SMS-сообщение, в котором предлагалось перейти по ссылке, чтобы получить информацию о пленниках, пытаемых в тюрмах ОАЭ. Вместо этого, заподозрив неладное, Ахмед обратился к специалистам по информационной безопасности.
Сотрудники компании использовали свой телефон, можно сказать, в качестве ханипота, благодаря чему им удалось проанализировать вредоносное ПО, направленное против Мансура. Следы привели к NSO Group и правительству ОАЭ.
NSO Group
NSO Group – компания, базирующаяся в Израиле. По данным Bloomberg, принадлежит (или принадлежала; существует информация о поиске покупателя с целью продажи за один миллиард долларов) американской ООО Francisco Partners Management, специализирующейся на венчурном капитализме. Один из продуктов NSO Group – шпионское ПО под названием Pegasus, продаваемое различным правительственным организациям.
Сооснователи NSO Group также причастны к компании Kaymera, предлагающей услуги по защите информации. Вебсайт этой организации содержит копию статьи Bloomberg, сообщающей об игре по обе стороны кибервойн.
Pegasus
Известно, что одним из векторов атаки для последующей установки Pegasus являются SMS-сообщения. Жертва переходит по ссылке на так называемый "анонимизатор", который соединяется с сервером установки, выдающим соответствующий эксплоит по юзер-агенту.
Для атаки против Ахмеда использовались три уязвимости под общим названием Trident. Одна из них позволяет выполнить вредоносный код через WebKit. Затем для получения необходимых привилегий эксплуатируются ошибки в коде ядра XNU.
Фрагмент из рассылки Apple:
iOS 9.3.5 is now available and addresses the following:
Kernel
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: An application may be able to disclose kernel memory
Description: A validation issue was addressed through improved input sanitization.
CVE-2016-4655: Citizen Lab and Lookout
Kernel
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: An application may be able to execute arbitrary code with kernel privileges
Description: A memory corruption issue was addressed through improved memory handling.
CVE-2016-4656: Citizen Lab and Lookout
WebKit
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: Visiting a maliciously crafted website may lead to arbitrary code execution
Description: A memory corruption issue was addressed through improved memory handling.
CVE-2016-4657: Citizen Lab and Lookout
Pegasus включает в себя фреймворк Cydia Substrate, который используется для внедрения в различные приложения, в том числе iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram, Skype, Line, KakaoTalk, WeChat, Surespot, Imo.im, Mail.Ru, Tango, VK, и Одноклассники. Также считываются календари, контакты и пароли.
Зловред способен общаться с сервером управления через HTTPS и SMS.
Заключение
По мнению Citizen Lab, атака крайне утончённая и редкая. Подобные эксплоиты могут стоить от нескольких сотен тысяч вплоть до миллиона долларов. Apple сразу же откликнулась и решила проблему примерно за 10 дней, выпустив версию 9.3.5.
Это далеко не первый случай преследования активистов со стороны репрессивных режимов. Очевидно, что компании, пособляющие им, ценят деньги больше, чем человеческие жизни. Стоит заметить, что в Израиле для экспорта шпионского ПО необходимо получить специальную лицензию. Следовательно, если NSO Group подавала заявку и не получила отказа, то выходит, что червивы люди не только в их офисах, но и в правительственных.
Комментарии (17)
Jef239
26.08.2016 07:46-3Такое ПО может работать и против правозащитников и против террористов. Борьба с террористами, вообще-то сохраняет человеческие жизни. Так что продажа ПО режимам, выступающим против арабских террористов — очень логичный шаг. И как раз в сторону сохранения жизней граждан Израиля. А репрессивный режим или либеральный — это уже дело граждан ОАЭ, а не израильтян.
Idot
26.08.2016 07:59+7«Вчера меня называли террористом, а когда я вышел из тюрьмы, многие люди, включая врагов, признали меня. Так я обычно говорю тем, кто рассказывает, что люди, борющиеся за независимость в их странах — террористы. Вот что я скажу: кто и кого обвиняет в терроризме, зависит от того, чья сторона побеждает…» © Нельсон Мандела
Jef239
26.08.2016 09:00-3Народовольцы (Халтурин, Желябов) были именно террористами. И даже во времена СССР об этом писалось в учебниках. Ровно так же захват Норд-Оста — это теракт. Какими бы борцами за свободу себя не считали террористы. А обвинять противников могут много в чем, в изнасилованиях, например.
Израилю важно, чтобы как можно меньше терактов было на его территории. А уж как там назовут организаторов терактов после их победы — не так важно. Важнее, чтобы победы не было.
Собственно смотрите ситуацию в России — где оппозиция и где теракты. Навального много в чем обвиняют, но все-таки не в терактах.
Pakos
26.08.2016 10:09+1cast(правозащитник as террорист) и народ сам его вешает на площади. Можно не террористами, а педофилами, а в перспективе — и колдунами.
amarao
26.08.2016 10:20Политический педофил угрожает стабильности в обществе!
Jef239
26.08.2016 10:33-1«Как утверждает проститутка Троцкий Брестский мир должны мы разорвать.
А я считаю этот мир поможет власть советскую в России удержать.
Прижать Троцкого к стене, зажать ему рот, зажать ему рот.
Ведь строить в России социализм мешает троцкизм, мешает троцкизм,»
(с) ария Ленина из оперы «Брестский мир».
Cheater
26.08.2016 11:38+1> получил SMS-сообщение, в котором предлагалось перейти по ссылке, чтобы получить информацию о пленниках, пытаемых в тюрмах ОАЭ
> По мнению Citizen Lab, атака крайне утончённая
Может быть, техническая реализация и утончённая, но вот социнженерная часть у этой атаки по утончённости сравнима с кувалдой.Admiless
26.08.2016 17:53не редко самый топорный способ оказывается наиболее эффективным. Мы не в курсе интересов правозащитника, возможно правозащитник остро интересуется пытками в тюрьмах, тогда логично предположить, что у него десятки контактов на эту тему. и смс с предложением открыть тайны пыток в тюрьмах от анонимна вполне себе вариант.
Если к примеру Навальному пришлют СМС с ссылками на тайны пары-тройки офшорных счетов виолончелистов-скрипачей, будет ли это чем-то особо подозрительным?
и кто знает не закупил ли ВВП замечательное ПО, учитывая последние законопроекты и любовь россиян к джейлбрейку и руту вполне себе рабочий сценарий — тотальная слежка, при чем большую часть расходов на хранение переложили на частные компании. если так — аплодирую стоя!
osh4
26.08.2016 17:54Да, тоже порадовал момент со ссылкой а-ля «видео с пытками пленников бесплатно без смс». Слово «утонченная» в данном случае читается как сарказм.
Ну а продажа эксплоита из Израиля Эмиратам — это современный вариант «Страна X поставила N винтовок/автоматов за M миллионов долларов в страну Y».rzhikharevich
26.08.2016 17:55Как сказали выше, атака технически очень хороша, подкачала социнжиниринговая часть. А ведь сработало бы, стоило ему только нажать на ссылку.
Barafu
Правительство в ОАЭ какое-то наивное. Который раз, если верить новостям, пытаются взломать телефоны неугодных граждан. Вместо того, чтобы придти к ним ментами и всё сходу изъять, докинуть туда порно и за это посадить.
Idot
Возможно, им религия так делать запрещает, буквально, учитывая религиозность их местного населения.
Jef239
А разве в ОАЭ (и вообще в арабских странах) запрещено порно? Скорее уж ссылки на продажу алкоголя докинуть. Или сам алкоголь. :-)
rzhikharevich
Герой статьи вроде диссидент.