Эксперты компаний Citizen Lab и Lookout Security сообщают беспрецедентном случае и обнаружении уникального коммерческого шпионского ПО, нацеленного на iOS. Сложнейшая спайварь под названием Pegasus, разработанная израильской компанией NSO Group, была поймана при попытке атаки на известного борца за права человека Ахмеда Мансура (Ahmed Mansoor). Малварь использует цепочку сразу из трех 0-day уязвимостей в iOS, получившую название Trident («Трезубец»), и компрометирует iOS полностью, по сути, осуществляя удаленный джейлбрейк устройства. Компания Apple уже выпустила экстренный патч, исправляющий найденные уязвимости.
Ахмед Мансур, как и многие другие активисты и журналисты, ранее уже становился целью для атак, произведенных с помощью инструментов серьезных компаний, разрабатывающих коммерческие решения для шпионажа. Так в 2012 году его атаковали инструментами Hacking Team, а еще ранее FinFisher. Поэтому, когда 10 августа на его iPhone 6 пришли подозрительные SMS-сообщения, Мансур что-то заподозрил и не стал нажимать на ссылки. Сообщение гласило: «Новые тайны о пытках граждан Эмиратов в государственных тюрьмах». Активист переслал сообщения специалистам Citizen Lab (которые, в свою очередь, попросили помощи у коллег из компании Lookout Security), предоставив им изучение возможной малвари, расположенной по ссылкам.
Подозрения Мансура оказались абсолютно оправданы. Специалисты Citizen Lab и Lookout Security признают, что никогда не видели ничего подобного. Оказалось, что спайварь, которой пытались заразить активиста, использовала сразу три 0-day уязвимости в iOS:
- CVE-2016-4657: RCE -уязвимость в движке веб-браузера WebKit, позволяющая удаленно выполнить произвольный код на устройстве, как только пользователь зайдет на специально созданную страницу сайта;
- CVE-2016-4655: уязвимость позволяет обойти Kernel ASLR (KASLR), при помощи чего можно раскрыть виртуальный адрес ядра в памяти iOS;
- CVE-2016-4656: LPE-уязвимость, позволяющая приложению выполнить произвольный код с привилегиями ядра.
Эту цепочку уязвимостей назвали Trident. Стоит сказать, что именно за 0-day такого рода компания Zerodium предлагала вознаграждение в размере одного миллиона долларов: за уязвимости, позволяющие осуществить удаленный джейлбрейк устройства.
«Мы поняли, что перед нами находится нечто такое, чего никто и никогда не видел. В буквальном смысле – кликни по ссылке, чтобы джелбрейкнуть свой iPhone. Одна из самых сложных кибершиопнских программ, что мы когда-либо встречали», — рассказал вице-президент Lookuot Майк Мюррей (Mike Murray).
Как только исследователи поняли, с чем имеют дело, они немедленно связались с компанией Apple. Разработчикам Apple понадобилось более десяти дней для создания патчей, и сегодня было выпущено экстренное обновление до iOS 9.3.5, закрывающее все три уязвимости.
«Фактически эта [спайварь] похищает всю информацию с вашего телефона, перехватывая каждый звонок и каждое текстовое сообщение. Она крадет письма, контакты, звонки FaceTime. Также она выступает бэкдором для всех механизмов коммуникаций, которые только есть в вашем телефоне. Pegasus похищает данные из приложения Gmail, сообщения с Facebook, всю информацию с Facebook, все контакты, абсолютно все данные из Skype, WhatsApp, Viber, WeChat, Telegram и так далее», — говорит Мюррей.
«Это указывает на то, какой невероятной силой обладают голоса журналистов и активистов, которые провоцируют использование такого невероятно дорогого шпионского ПО», — добавляет Джон Скотт-Райлтон (John Scott-Railton) из Citizen Lab.
Как выяснилось, за созданием Pegasus стоит основанная в Израиле компания NSO Group, которую вице-президент Lookout охарактеризовал как «практически торговцы кибероружием». Компания была основана в 2010 году и с тех пор занимается разработкой легальной малвари, которую продает правительствам и спецслужбам по всему миру, хотя использование решений NSO Group еще не было задокументировано никем и нигде. Компания работает настолько скрытно, что никогда не имела даже собственного сайта и крайне редко дает какие-либо комментарии прессе. Так как на этот раз промолчать оказалось сложно, компания выпустила официальное заявление, в котором сообщила, что «миссия NSO – это сделать мир безопаснее, поставляя авторизованным правительственным структурам технологии, которые помогают им бороться с преступностью и терроризмом».
«Наша компания работает только с авторизованными государственными ведомствами и полностью выполняет строгие законные ограничения, касающиеся экспорта и регуляции. Более того, компания НЕ оперирует данными системами, мы строго технологическая компания. Соглашение, которое мы подписываем с компанией-покупателем, требует, чтобы продукция NSO использовалась исключительно в рамках закона. А именно, наши продукты могут использоваться только для предотвращения и расследования преступлений», — заявили представители NSO.