«Пегас»
Шрифт:
Например, пользователь iPhone может получить доступ к файлам, необходимым для запуска приложений, которые ему разрешено устанавливать, но не для приложений, которые Apple Inc. не одобряет. Apple также не разрешает доступ к файлам в своей операционной системе iOS. В частности, компания не разрешает доступ к "ядру", которое управляет всей системой. Инженеры компании даже ограничили доступ пользователя iPhone к различным легитимным процессам, активно запущенным на устройстве. Apple не хочет, чтобы кто-то перестраивал работу телефона, и не хочет, чтобы кто-то положил глаз на эту ценную жилу проприетарного кода внутри. Чтобы проникнуть внутрь, нужны опытные злоумышленники — киберспециалисты вроде Клаудио и Доннча, которые научились находить и использовать уязвимости в защитном ограждении, возведенном Apple, а затем "повышать свои привилегии" на телефоне. Опытные специалисты по кибербезопасности могут
Именно это пара и решила сделать с iPhone Маати Монджиб. Попутно они сделали два важнейших открытия: одно относилось к iPhone вообще, а другое — к телефону Маати в частности. Первое произошло, когда Клаудио и Доннча создали полную резервную копию и образ файловой системы телефона Маати в iTunes и обнаружили, что из нее был извлечен необычный кэш данных, которого они раньше не видели. В отличие от телефонов на базе Android, где многие важные данные стираются при перезагрузке или просто исчезают за несколько месяцев, iPhone хранит информацию годами в различных журналах резервного копирования. Так что у техников Security Lab был доступ к стандартным резервным копиям, таким как старые текстовые сообщения и ссылки на них, а также история браузера. Кроме того, они получили доступ к журналу iOS под названием DataUsage.sqlite, в котором фиксировалось четкое название каждого процесса, происходящего на устройстве, а также то, когда и сколько именно мобильных данных было использовано. DataUsage.sqlite открывал совершенно новый путь для отслеживания Pegasus.
Поскольку Клаудио и Донча имели полный и неограниченный доступ к резервным копиям файлов Маати прямо в своем берлинском офисе, они могли уделить время поиску каждой иголки в этом цифровом стоге сена. Они могли написать и обновить свой собственный код для поиска специфических шпионских программ-маркеров, уже обнародованных или опубликованных в частном порядке в сообществе кибербезопасности. В журналах резервного копирования Маати они обнаружили процесс под названием "bh". Впервые процесс bh был обнаружен летом 2016 года, когда Citizen Lab совместно с частной компанией по кибербезопасности Lookout раскрыла попытку заразить iPhone программой Pegasus. По словам инженеров Lookout, разработанный NSO bh.c был инструментом, помогающим доставлять "полезную нагрузку следующего этапа" и "правильно размещать ее на iPhone жертвы". Эти полезные нагрузки, как они определили, были ранними стадиями эксплойтов для веб-браузера Pegasus. Lookout также обнаружил в пакете со шпионским ПО доказательства того, что "bh" — это сокращение от "Bridgehead".
Спустя три года Клаудио и Доннча обнаружили в телефоне Маати модуль bh, который, как они сообщили миру, "завершает эксплуатацию браузера, коренит устройство и готовит его к заражению полным набором Pegasus".
Дуэт из Security Lab сделал еще более удивительное открытие, изучив криминалистический снимок телефона Маати. Когда Клаудио и Доннча прочесали базу данных истории просмотров Safari и журналы ресурсов сеансов, они начали отмечать, а затем реконструировать некоторые странные цифровые обходные пути, которые они наблюдали. Пытаясь определить, открывал ли телефон Маати какие-либо известные Pegasus ссылки, они обнаружили, что весной и летом 2019 года телефон (уже подвергавшийся восемнадцать месяцев стандартной атаке Pegasus с помощью SMS-сообщений) переходил на странные и ранее неизвестные сайты. Клаудио и Донча не были уверены, что именно они увидели в базах данных, но это "выглядело подозрительно", — говорит Донча, — "и время было подходящим".
Например, когда Маати попытался зайти на домашнюю страницу Yahoo в июле 2019 года, он менее чем за три миллисекунды был перенаправлен на подозрительно выглядящую веб-страницу под названием Free247downloads.com по адресуcom:30495/szev4hz.
Несколько секунд спустя Free247downloads сбросил в телефон бомбу с вредоносным кодом, не предупредив Маати о том, что произошло нечто необычное.
Клаудио и Донча не только обнаружили попытку атаковать iPhone Маати, но и нашли внутри самого телефона следы успешного заражения шпионским ПО. Они также нашли доказательства нового и гораздо более опасного вида эксплойта, называемого "атакой с внедрением в сеть". Говоря простым языком, это был эксплойт "нулевого клика". Попытка заражения была предпринята не тогда, когда Маати Монджиб перешел по вредоносной ссылке, отправленной ему в текстовом сообщении. Внешняя атакующая сеть, возможно, "неавторизованная сотовая вышка или специальное оборудование, установленное у оператора мобильной связи", — подозревает Клаудио, — захватила браузер Маати, пока он просто просматривал Интернет.
Для Клаудио
и Дончи это было впервые. У них были реальные доказательства существования эксплойта с нулевым кликом. У них также было довольно сильное подозрение, что шпионское ПО, о котором идет речь, — это Pegasus. Но, готовя свой публичный отчет, ни один из них не был достаточно уверен в себе, чтобы действительно связать новые эксплойты 2019 года с NSO… пока они не получили небольшую помощь от NSO. Примерно за неделю до того, как Клаудио и Донча должны были опубликовать результаты судебной экспертизы iPhone Маати Монджиб, они связались с NSO, чтобы поделиться результатами и, возможно, получить комментарий. На следующий день сервер со шпионским ПО, который должен был быть указан в отчете, был отключен от сети. "Мы поделились этой информацией только в частном порядке с NSO", — говорит Доннча. "Это как бы подтвердило для нас, что НСО действительно контролировала эту инфраструктуру и смогла ее отключить".Клаудио и Доннча подтвердили свои революционные выводы, проведя экспертизу iPhone, которым пользовался марокканский журналист по имени Омар Ради. Сайт Free247downloads также был обнаружен в резервной копии телефона Омара. Как и свидетельства выполнения неавторизованных процессов bh в моменты после перенаправления на установочный домен Pegasus. Как и еще один вредоносный файл конфигурации, зарытый глубоко в телефоне, — CrashReporter[.]plist. Этот хитроумно сконструированный файл блокировал выполнение телефоном своей запрограммированной обязанности — автоматически сообщать инженерам Apple о любом сбое программного обеспечения. Файл CrashReporter был простым и эффективным способом для NSO и их клиентов замести следы Pegasus и убедиться, что они не предупредили людей из Apple о наличии уязвимости в системе безопасности, которую необходимо устранить.
Шквал цифровых поисков помог Клаудио и Доннче определить доменные имена и выполнение процессов, которые могли бы позволить им связать других жертв с Pegasus; это также помогло им начать понимать сложную механику эксплойта с нулевым кликом. Но эти открытия также предупредили их о серьезности предстоящей задачи. Им нужно было разработать новый, более совершенный инструмент для судебной экспертизы и продолжать оттачивать его. "Большая проблема мобильных устройств — отсутствие видимости", — говорит Донн-Ча. "На настольных и портативных компьютерах у нас есть антивирусы или комплекты EDR [безопасности], но для мобильных устройств не было ничего подобного". Такие сложные атаки, особенно атаки с нулевым кликом, явно оставались незамеченными".
В середине марта 2021 года, когда Клаудио и Доннча получили резервные копии iPhone Сиддхарта Варадараджана, М. К. Вену и Паранджоя Гуха Тхакурты, криминалистический инструмент SECURITY LAB еще только развивался. У двух киберисследователей уже был набор маркеров Pegasus для поиска в этих резервных копиях. Они определили конкретные серверы и доменные имена новой инфраструктуры NSO версии 4. Они также усердно работали над каталогизацией миллионов имен легитимных процессов Apple, чтобы было легче выделить имена процессов шпионских программ, которые были тайно внедрены в iPhone, — те, которые им не принадлежали.
Тем временем утечка списка дала Клаудио и Доннче новые важные данные: временные метки, указывающие на то, когда телефон был выбран для атаки. Поэтому, когда криминалистический инструмент Security Lab построил подробную временную шкалу всех предыдущих действий с резервными копиями iPhone из Индии, Клаудио и Доннча знали, на чем сосредоточить свою детективную работу.
Самое важное, что у них была горстка имен процессов, основанных на Pegasus, найденных в телефоне Маати и Омара, которые помогли им выявить другие возможные случаи заражения "нулевым кликом". Теперь Клаудио и Доннча могли провести цифровой поиск этих процессов в журнале DataUsage.sqlite и журнале истории браузера. У нас были основания надеяться, что анализ Лабораторией безопасности наших делийских айфонов принесет первые маленькие самородки золота из нашего утечки.
На следующий день Клаудио позвонил Финеасу и мне с отчетом.
"Итак, с телефона М. К. ничего не поступало", — гласила статья Клаудио. "Похоже, он совсем не совпадает с нашими записями". Но на этом он не остановился и даже не сделал паузы. "Более интересен старый телефон Сиддхарта, я полагаю. И у Паранджоя тоже есть похожие артефакты". Телефон Сиддхарта действительно дал нам первые полезные улики, которые помогли создать проект "Пегас". "В общем, похоже, что произошло следующее: [Сиддхарта] начали выбирать примерно в апреле 2018 года, и, похоже, у них ничего не получалось, пока, по иронии судьбы, он не обновил свой телефон", — объяснил Клаудио. "И вот на следующий день, похоже, им это удалось".