追蹤NSO間諜軟體Pegasus在45個國家的軌跡

近期，加拿大公民實驗室（CitizenLab）通過開發新型掃描匹配技術，識別出以色列監控公司NSO的知名間諜軟體Pegasus，被多個攻擊組織廣泛用於全球45個國家的網路入侵活動中。以下是CitizenLab的相關研究分析。

CitizenLab的主要發現

在2016年8月至2018年8月期間，我們根據匹配模式，對全球曝網的Pegasus相關伺服器進行了識別掃描，之後，我們發現了1091個IP地址與我們的設定指紋匹配，而且存在1014個域名與這些IP地址關聯指向。在新型工具Athena的幫助下，我們把匹配出來的所有Pegasus控制端分類成了36種不同的控制系統，每一種控制系統對應的幕後操控者則是不同的黑客組織或攻擊者。

結合1014個相關指向域名，經DNS緩存探測（DNS Cache Probing）分析，我們識別出了Pegasus在45個國家的活動痕迹，其中至少有10個攻擊組織在進行著活躍的跨境入侵監控行為。
我們的調查側面反映了，NSO業務全球擴散背景下的凄涼人權情況。分析顯示，在這些涉及監控活動的國家中，至少有6個國家此前曾涉及濫用間諜軟體監控民間社會團體，這些國家包括巴林、哈薩克、墨西哥、摩洛哥、沙烏地阿拉伯和阿拉伯聯合大公國。
Pegasus可能也被那些人權記錄可疑，和以國家安全為由存在虐待行為記錄的國家使用，此外，我們在幾個國家的網路監控目標中，發現了一些涉及政治主題的跡象，因此，這種間諜監控技術是否被用在合法的刑事調查活動，非常值得懷疑。

背景概要

Pegasus是由以色列「網路武器」供應商NSO公司研發售賣的一款手機間諜軟體，為了實現目標監控，攻擊者首先會構造一個包含漏洞利用的特製鏈接發送到目標人物手機中，一旦目標人物點擊該鏈接，就會實現一系列的0-day攻擊，在隱蔽和無許可權需要的情況下安裝惡意軟體，最終攻擊者就能控制該手機。之後，攻擊者可以通過命令和C2伺服器遠程操控受害者手機，進行敏感信息竊取，回傳包括密碼、聯繫人列表、日曆事件、簡訊和流行聊天APP的語音呼叫等信息，攻擊者甚至還能遠程受害者手機攝像頭和麥克風來捕捉手機附近的活動行為。

Pegasus的漏洞利用鏈接和C2伺服器使用了HTTPS方式，這樣就需要攻擊者進行域名註冊和維護。為了增加隱蔽性，攻擊者註冊的域名名稱有時偽裝成了移動運營商、在線服務、銀行或政府服務機構。一個攻擊者名下可能註冊有多個域名，用於漏洞利用鏈接的發送和C2伺服器的使用。大多數情況下，Pegasus涉及的相關域名最終會解析指向NSO或攻擊者租用的雲端虛擬伺服器，也就是通常所說的前端伺服器，之後，這些前端伺服器會經過多個中轉節點把流量或數據轉發到攻擊者實際操控的後端伺服器中。

早在2016年8月，阿聯酋異見者Ahmed Mansoor遭到了NSO間諜軟體Pegasus的入侵攻擊，點擊收到的簡訊接後，攻擊者利用了3個0-day漏洞，對Mansoor手機「遠程越獄」，並安裝了持久化間諜軟體，由此，我們對該攻擊展開了調查。通過指紋模式匹配，我們摸清了Pegasus的漏洞利用鏈接和C2伺服器行為特徵，並對全網匹配的前端伺服器進行了掃描識別，最終發現了237個前端伺服器，但就在我們發布報告的前幾天，NSO就突然下線了所有前端伺服器。我們發布報告後，Pegasus的一小撮前端伺服器又悄悄上線了，但是，此時這些前端伺服器的指紋模式已經與之前完全不同。我們2016年的這次分析報告也是首次揭露Pegasus的報告，之後，我們就根據Pegasus的新活動特徵重新校正指紋模式，進行著定期的全網掃描識別。

當前發現

在2016年8月至2018年8月的時間段之間，我們探測到了與Pegasus相關的一共1091個IP地址和1014個域名，並根據相關特徵，分類成了36種不同的控制系統。在這36種不同的控制系統中，我們發現，其中有33種控制系統出現在了45個國家的入侵攻擊活動中，這些國家包括：阿爾及利亞、巴林、孟加拉國、巴西、加拿大、象牙海岸、埃及、法國、希臘、印度、伊拉克、以色列、約旦、哈薩克、肯亞、科威特、吉爾吉斯斯坦、拉脫維亞、黎巴嫩、利比亞、墨西哥、摩洛哥、荷蘭、阿曼、巴基斯坦、巴勒斯坦、波蘭、卡達、盧安達、沙烏地阿拉伯、新加坡、南非、瑞士、塔吉克、泰國、多哥、突尼西亞、土耳其、阿聯酋、烏干達、聯合王國、美國、烏茲別克、葉門和尚比亞。我們根據國家級的DNS伺服器來作出地理位置判斷，如果其中涉及VPN和衛星傳輸網路，則結果可能會存在一定誤差。以下是Pegasus攻擊活動涉及的國家地區：

墨西哥

2017年，經回顧性分析，我們發現數十名墨西哥律師、記者、人權維護者、反對派政治家、反腐敗倡導者，以及一家駐墨的國際調查機構都遭到了Pegasus間諜軟體的入侵。經我們的披露，墨西哥揭發了一場名為#GobiernoEspía的政治醜聞，並導致了持續的刑事調查，截至本報告發表之日，調查仍在繼續中。據監測發現，在此前我們對墨西哥境內Pegasus的濫用披露之後，現在為止，仍然還活躍著三個不同的Pegasus攻擊組織。

海灣合作委員會（海合會）國家

我們發現，在中東的海合會國家中，Pegasus間諜軟體的使用出現了顯著的增長態勢，總的來說，我們確定了在該地區海合會國家活動的至少六個攻擊組織，其中兩個主要以阿聯酋為目標，一個主要以巴林為目標，另一個則針對沙特。還有三個攻擊組織除了海合會國家任務之外，還對中東北非以外地區實施入侵監控，這些地區國家包括加拿大、法國、希臘、英國和美國。

海合會國家一向以濫用監控工具跟蹤不同政見者而聞名，就像2016年阿聯酋活動家Ahmed Mansoor的手機遭受Pegasus入侵一樣，此前，他就曾被攻擊者用 FinFisher 和 Hacking Team 公司的間諜軟體攻擊過；巴林也曾在2010年至2012年間利用 FinFisher 的間諜軟體網路入侵記者、律師、反對派政治家和民主積極分子；2018年5月和6月，大赦國際（ Amnesty International ）報告聲稱，其一名駐沙特的員工受到間諜軟體Pegasus的網路入侵。

其他國家的情況

我們確定了五個非常關注非洲地區的攻擊組織，其中一個攻擊組織似乎主要關注西非國家多哥，該國是以色列的堅定盟友，其長期執政的總統對反對派使用過酷刑和武力。這個針對多哥的攻擊組織使用了帶有「新總統」（nouveau president）和「政治信息」（politiques infos）辭彙的網站，來傳播感染Pegasus間諜軟體。有一個針對摩洛哥的攻擊組織，也對包括阿爾及利亞、法國和突尼西亞等國存在入侵任務。另外，我們還發現了幾個涉及以色列的攻擊組織，其中四個組織在以國內發起入侵，一個在以境外的荷蘭、巴勒斯坦、卡達、土耳其和美國發起入侵。

識別Pegasus開展網路攻擊的基礎設施架構

本節中我們著重描述，如何從2016年首發Pegasus開始到現在，跟蹤識別Pegasus開展網路攻擊的基礎設施架構。

2016年8月，針對阿聯酋活動家Ahmed Mansoor的手機入侵行為，我們聯合LookOut實驗室，全球首次揭開了Pegasus的真面目，攻擊者利用蘋果Apple iOS 9.3.3的三個0-day漏洞，實現 iPhone 手機的隱蔽入侵控制。之後，我們向蘋果公司披露了漏洞，蘋果公司及時把更新加入到 iOS9.3.5的升級包中，暫時堵塞了Pegasus傳播感染的路徑。在我們的技術報告發布前幾天，根據我們的網路掃描識別，發現除了C2伺服器之外，所有我們前期探測到的Pegasus前端伺服器都被無故下線了。

2016-新的指紋模式：誘餌頁面

之後，我們試圖再繼續發現Pegasus新利用的網路基礎架構，於是，我們全網探測了Pegasus服務端響應的誘餌頁面樣式/redirect.aspx 和 /Support.aspx。由於誘餌頁面的顯示功能只存在於間諜軟體的服務端代碼中，因此，我們很容易創建誘餌頁面的相關指紋匹配模式，利用這些指紋模式，對全網進行識別探測，就能發現Pegasus相關的其他攻擊組織在操控掌握的後端控制系統。

2017至2018- 誘餌頁面消失

在我們發現Pegasus誘餌頁面之後，NSO公司又逐漸移除了誘餌頁面相關的/redirect.aspx 和 /Support.aspx樣式，並進一步修改了服務端代碼，關閉了除有效漏洞利用鏈接和特殊路徑之外的請求連接數據響應通道，這種變化與其它間諜軟體公司的FinFisher 和 Hacking Team 步伐一致。

接著，在研究了幾個可疑的新Pegasus伺服器行為後，我們開發了三個不同的Pegasus行為指紋e1、e2和e3，以及一個新型分類工具Athena。指紋e1是傳輸層安全（Transport Layer Security）指紋，指紋e2和e3則代表我們觀察到的兩種不同的代理配置模式。如果惡意軟體或木馬與e1、e2和e3中的一個匹配，我們可以認為它歸屬於NSO間諜軟體的網路架構。之後，我們使用工具Athena將這些識別指紋分類成了不同的36種模式，我們認為每一種模式對應的就是一個Pegasus軟體的攻擊組織。為了避免其它不必要的安全因素，我們在此暫不公開這些具體的指紋和識別技術。

Pegasus重生

我們當時在2016年8月的披露報告，NSO公司顯然向相關客戶方作了通報，從以下流量掃描探測圖中可以發現，那貌似還對他們的運轉造成了大約半小時的中斷：

在我們2016年8月24日發布針對Pegasus第二版本的Million Dollar Dissident報告之前，有12台後端伺服器無故下線，直到2016年9月25日才重新上線，之後一直持續到了2017年8月10日。之後，我們在2017年9月5日的全網掃描中發現了第一台Pegasus第三版伺服器，這是在我們發布Million Dollar Dissident報告之後的將近一個月，此時，全網有7個不同的網路攻擊組織，過了一個月，又增加到了14個不同的網路攻擊組織。

基於DNS緩存探測分析的攻擊組織分類

我們使用自研工具Athena對Pegasus活動相關的IP地址和域名進行分類，最終我們劃分出了36個不同攻擊組織，每一個攻擊組織都使用了多組IP地址。根據每個攻擊組織活躍的地域範圍，我們按照國家特徵和地理特點分別給每個攻擊組織進行了命名。針對各攻擊組織使用的IP地址信息，我們從其使用的TLS證書中提取了相應的域名，並對這些域名進行編碼分析，找出其可疑的重點關注國家，並評估其涉及的政治主題和政治動機。之後，我們通過DNS緩存探測，生成了可能與攻擊組織相關的Pegasus感染國家列表。

以美洲地區為目標的入侵攻擊組織

經驗證，我們發現了五至六個以對美洲地區為目標的入侵攻擊組織。其中一個名為MACAW的攻擊組織主要以宏都拉斯及其鄰國為目標，其使用的兩個域名politica504[.]com 和 eltiempo-news[.]com都與宏都拉斯相關。

2017年6月，我們曾在《Reckless Exploit 》的報告中披露過針對墨西哥的Pegasus活動情況，其中存在四個攻擊組織使用的域名與墨西哥有明顯關聯，它們是 RECKLESS-1、RECKLESS-2、PRICKLYPEAR 和 AGUILAREAL。RECKLESS-1和RECKLESS-2使用了一些包含政治主題域名，如universopolitico[.]net 、 animal-politico[.]com、noticiaspoliticos[.]com 和 politicoportales[.]org。在我們發布報告後， RECKLESS-1和RECKLESS-2迅速下線了它們的伺服器， PRICKLYPEAR 和 AGUILAREAL下線了其中幾個伺服器。一個月之後，註冊了新域名的MAYBERECKLESS攻擊組織出現，它可能是RECKLESS-1和RECKLESS-2演變組織。到了2017年9月，PRICKLYPEAR 和 AGUILAREAL又增加了一些新的上線伺服器。

下列列表中的元素屬性：Operator name（攻擊組織）、Dates operator was active（活躍時間段）、Suspected country focus（重點關注國家）、Political themes?（是否與政治主題相關）、Suspected infections（其它可疑的攻擊感染國家）

以非洲地區為目標的入侵攻擊組織

我們發現了五個以非洲地區為目標的入侵攻擊組織，其中一個命名為REDLIONS的組織使用了幾乎全是法語的前端域名網站，其使用的域名為 politiques-infos[.]info 和 nouveau-president[.]com。另外一個名為AK47的攻擊組織在2017年7月突然下線消失，而繼續活躍中的 ATLAS 、 GRANDLACS 和 GRANDLACS同樣也使用了政治主題相關的域名，如revolution-news[.]co 和 politicalpress[.]org。

以歐洲地區為目標的入侵攻擊組織

我們發現了五個以歐洲地區為目標的入侵攻擊組織，名為TURUL 和 CHEQUY攻擊組織使用的前端域名與匈牙利和克羅埃西亞相關，但我們還暫未發現任何這些攻擊組織相關的DNS緩存探測匹配線索，目前這些組織的入侵攻擊活動仍然處於活躍狀態。

以中東地區為目標的入侵攻擊組織

我們發現了12個以中東地區為目標的入侵攻擊組織，其中PEARL主要以巴林為目標，KINGDOM則對大赦國際（ Amnesty）和沙烏地阿拉伯的工作人員開展過攻擊，PEARL和FALCON則使用了一些與政治主題相關的域名，如shia-voice[.]com、14-tracking[.]com和nomorewarnow[.]com。

以亞洲地區為目標的入侵攻擊組織

我們發現了五個以亞洲地區為目標的入侵攻擊組織，其中一個名為 GANGES 的攻擊組織使用了一個與政治主題相關的域名 signpetition[.]co。另外，我們未對中國大陸地區進行DNS緩存探測識別，所以這裡的結果中不包含任何與中國相關的Pegasus線索。

總結

通過報告，我們確定了Pegasus在45個國家有可疑活動線索，這些入侵攻擊活動可能由33個不同的NSO客戶相關的攻擊組織掌握實施。通過提取這些攻擊組織所使用的C2伺服器域名，我們執行了DNS緩存探測，開展了深入的分析識別和指紋匹配，並最終把各個攻擊組織進行了分類。Pegasus在全球的大肆活動線索，引發了以下讓人擔憂的問題：