國家級黑客使用iMessage漏洞攻擊記者,無需點擊即可觸發

而近日，著名拳擊組織citizenlab發布報告稱，NSOGroup將蘋果公司的iMessage軟體0day漏洞，售賣給阿拉伯半島的國家進行間諜活動。

iMessage是蘋果公司推出的即時通信軟體，可以發送簡訊、視頻等，其擁有非常高的安全性。不同於運營商簡訊/彩信業務，用戶僅需要通過WiFi或者蜂窩數據網絡進行數據支持，就可以完成通信。

2020年7月和2020年8月，CZ表示有國家使用NSO Group的Pegasus間諜軟體入侵了半島電視臺的36部屬於記者，製片人，主持人和執行人員的iphone手機。而半島電視臺(阿拉伯)，是一家會說出和主流媒體觀點不一致的媒體，你懂的。

此外位於倫敦的Al Araby TV的一名記者的iphone也遭到了黑客攻擊。

這些iphone受到了名為KISMET的ios漏洞利用鏈的攻擊，該漏洞利用鏈涉及iMessage中的無需點擊即可觸發額漏洞，類似於只要給目標發送一條iMessage簡訊，目標即可中招手機被入侵。

2020年7月，KISMET漏洞至少在iOS 13.5.1版本上為0day漏洞狀態，並且有可能入侵蘋果當時最新的iPhone 11。所以如果還是這個IOS版本的兄弟姐妹們趕緊更新一下。

根據受害手機的日誌，NSO Group售賣漏洞的客戶還在2019年10月至2019年12月之間成功部署了KISMET或相關的無需點擊的0day漏洞。

涉及使用該漏洞利用鏈的國家或組織有4個，包括攻擊者組織MONARCHY（沙烏地阿拉伯）和 攻擊組織SNEAKY KESTREL（阿聯）。

KISMET漏洞不適合iOS 14及更高版本（包括新的安全保護）使用。所有iOS設備所有者都應立即更新到最新版本的作業系統。蘋果公司已經知道了這個攻擊時間，目前正在調查該問題，漏洞影響14版本之前所有IOS系統。

這些攻擊中使用的基礎架構包括使用雲提供商Aruba，Choopa，CloudSigma和DigitalOcean的德國，法國，英國和義大利的伺服器。

在報告中，有個比較有趣的事情。Tamer Almisshal是半島電視臺阿拉伯語頻道的知名調查記者，在那裡他主持了「 ماخفيأعظم 」計劃（譯為「這只是冰山一角」，涉及敏感話題）。

然後，Almisshal擔心自己的手機可能會遭到黑客入侵，因此在2020年1月，他同意讓Citizen Lab研究人員在他手機安裝VPN應用程式，以監控與他的網絡流量相關的元數據。

對於這個舉動，效果還是非常明顯的，顯然，他真的被黑客入侵了。攻擊時間線如下圖所示。

至於怎麼被發現他被攻擊的，原因在於，CZ在查看他的VPN日誌時，注意到2020年7月19日，他的手機訪問了一個在網際網路掃描中發現的一個NSO Group的Pegasus間諜軟體的安裝伺服器的網站，該網站在Pegasus感染目標的攻擊過程中使用。

Time: 19 July 2020, 11:29 – 11:31 UTC

IP: 178.128.163.233

Downloaded: 1.74MB

Uploaded: 211KB

因此，當手機上的VPN流量結合威脅情報，可以發現手機系統0day漏洞這條結論問題不大（滑稽.jpg）。

上圖表明在查找Pegasus Installation Server之前進行iCloud分區的DNS查找。

到2020年7月19日，與iCloud分區的連接導致淨下載2.06MB，淨上傳1.25MB數據。由於這些異常的iCloud連接是在Pegasus在世界標準時間11:29安裝之前立即發生和終止的，因此可以認為它們代表了Tamer Almisshal的手機被黑客入侵的最初媒介。，內置的iOSimagent應用程式負責其中一種間諜軟體進程。最後分析結果表明，一個名為imagent應用程式是一個似乎與iMessage和FaceTime相關聯的後臺進程。

在與Pegasus Installation Server的最後一次連接之後的16秒，觀察到Almisshal的iPhone在接下來的16小時內首次與另外三個IP通信。還是老生常談了，只要以前沒出現過的IP大概率是黑IP，經過分析發現，這三個IP大概率是Pegasus間諜軟體的命令與控制伺服器。

總之，如果你覺得你可能會被人攻擊，那麼就先未雨綢繆準備起來吧，防患於未然，不然可能被攻擊了還要隔個十年八年才被發現。

此外，在報告中還能窺探NSO Group那令人生畏的漏洞武器庫。

Rania Dridi是半島電視臺的一名女記者，通過她的iPhone Xs Max的設備日誌中發現，她的手機在2019年10月26日至2020年7月23日期間被NSO Group的Pegasus間諜軟體至少入侵了六次。其中兩次分別是2019年10月26日（ iOS 13.1.3）和7月12日（13.5.1），均在運行最新版本的iOS系統時手機被黑客入侵。

關於Pegasus間諜軟體植功能，包括：記錄來自麥克風的音頻，加密電話的音頻，拍照，跟蹤設備位置，訪問密碼和存儲的憑據等。

最後再介紹一個組織，土耳其政府管理的計算機緊急響應小組（USOM），經過域名搜索發現，土耳其Cert發布了一個關於惡意軟體所連接的網絡資產列表，連結如下：

https://www.usom.gov.tr/zararli-baglantilar/1.html

其中有涉及NSO Group的資產，說明土耳其也是在認真做追蹤的。

需要加IOC的請點擊參考連結：

https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/