Pegasus؛ ابزار جاسوسی از کارکنان شبکه خبری الجزیره
Pegasus، جاسوسافزاری است که توسط یک شرکت صهیونیستی با نام اناساو گروپ (NSO Group Technologies) به فروش میرسد. این جاسوسافزار با بهرهجویی (Exploit) از ضعفهای امنیتی روز-صفر iOS و Android، دستگاههای با هر یک از این سیستمهای عامل را هدف قرار میدهد.
سالهاست که اناساو گروپ با فروش Pegasus به دولتها و سازمانهای امنیتی در کشورهای مختلف آنها را قادر به جاسوسی از اهداف خود میکند.
در فاصله جولای تا آگوست 2020 مهاجمان دولتی با استفاده از این جاسوسافزار، گوشی شخصی 36 نفر از روزنامهنگاران، تهیهکنندگان، مجریان و مدیران اجرایی شبکه خبر الجزیره (Al Jazeera Media Network) را هک کردند.
در این حملات، مهاجمان Pegasus با استفاده از یک زنجیره بهرهجو (Exploit Chain) که از آن با عنوان KISMET یاد شده از برنامه iMessage سوءاستفاده کرده بودند. بهنظر میرسد KISMET در فاصله اکتبر تا دسامبر 2019 توسعه داده شده باشد.
در حملات بر ضد شبکه خبری الجزیره چهار گروه دخالت داشتند که اصلیترین آنها SNEAKY KESTREL و MONARCHY گزارش شدهاند. SNEAKY KESTREL مرتبط با دولت امارات متحده عربی و MONARCHY منتسب به دولت عربستان سعودی است.
به گزارش شرکت مهندسی شبکه گستر، زیرساخت استفاده شده در این حملات شامل سرورهایی در آلمان، فرانسه، انگلستان و ایتالیا و بسترهای ابری Aruba،وChoopa،وCloudSigma و DigitalOcean بوده است.
در 30 آذر 1399، سیتیزن لب (Citizen Lab) در گزارشی فنی به بررسی آلودهسازی گوشی کارکنان شبکه خبری الجزیره به Pegasus پرداخت که خلاصهای از آن در این مطلب ارائه شده است.
پیشزمینه
همانطور که اشاره شد Pegasus جاسوسافزاری مبتنی بر دستگاههای همراه است که توسط شرکت صهیونیستی اناساو گروپ توسعه داده شده است. مهاجم با بکارگیری این جاسوسافزار قادر به رصد فعالیتهای کاربر بر روی گوشی همراه او خواهد. دولتها در کشورهای مختلف از اصلیترین مشتریان محصولات اناساو گروپ از جمله Pegasus هستند.
برای سالها، پیامک شدن لینک مخرب اما در ظاهر مرتبط با موضوعات مورد علاقه قربانی، اصلیترین روش آلودهسازی دستگاه همراه به جاسوسافزارهای اناساو گروپ بوده است. مهاجمان از این تکنیک برای هدف قرار دادن احمد منصور (فعال حقوق بشر اماراتی)، برخی اعضای جامعه مدنی مکزیک و مخالفان سیاسی دولت عربستان سعودی بهره گرفته بودند.
اما در سالهای اخیر، اناساو گروپ به بهرهجوهای موسوم به کلیک-صفر (Zero-click) و حملات مبتنی بر شبکه برای آلودهسازی گوشی بدون هر گونه نیاز به دخالت کاربر و باقی نگذاشتن رد پا استفاده کردهاند. هک 2019 پیامرسان Whatsapp که در آن بهرهجویی از حداقل 1400 گوشی از طریق ارسال یک به اصطلاح Missed Voice Call صورت گرفته بود نمونهای از این تغییر است.
روی آوردن به روش کلیک-صفر، شانس شناسایی تهدیدات بکار گرفته شده در جریان حمله را بهشدت کاهش میدهد.
شواهد نشان میدهند شرکت اناساو گروپ حداقل از سال 2016 موفق به کشف بهرهجوهای کیلک-صفر در دستگاههای iPhone و بکارگیری آنها در مقیاسی جهانی شده بوده است. در برخی از آنها از برنامه iMessage که بهصورت پیشفرض بر روی هر دستگاه iPhone،و Mac و iPad نصب است بهرهجویی شده است. بهخصوص آنکه بعضی اجزای iMessage همانند سایر برنامههای iPhone درگیر فرایند موسوم به قرنطینه امن (Sandboxing) نمیشدهاند.
بسیاری از کشورهای عضو شورای همکاری خلیج فارس (Gulf Cooperation Council) از خریداران اصلی محصولات جاسوسی هستند. بر اساس گزارش منابع مختلف، امارات متحده عربی، عربستان سعودی، بحرین و عمان در فهرست مشتریان شرکت اناساو گروپ قرار دارند. نکته جالب آن که به گفته روزنامه اسرائیلی هاآرتص (Haaretz)، دولت رژیم صهیونیستی، شرکت اناساو گروپ را از تجارت با قطر منع کرده است.
از سویی دیگر در چند سال اخیر، روابط چهار کشور عربستان سعودی، امارات متحده عربی، بحرین و مصر با چالشهایی جدی روبرو بوده است. در سال 1396 این چهار کشور روابط دیپلماتیک خود را با قطر قطع و مرزهای خود را به روی آن بستند. چند روز بعد این کشورها با انتشار بیانیهای، عمل به 13 درخواست را شرط از سرگیری رابطه با قطر اعلام کردند. بستن پایگاه نظامی ترکیه در قطر، کاهش روابط با ایران و تعطیلی شبکه خبری الجزیره از جمله این شروط بود.
رویکرد شبکه خبری الجزیره از جهات بسیاری در جهان عرب منحصربهفرد و اخبار و گزارشهای آن در بسیاری مواقع با مواضع امیرنشینان حاشیه خلیج فارس همسو نیست.
Tamer Almisshal یکی از گزارشگران تحقیقی الجزیره است که مجریگری برنامه “ما خفي أعظم” (“آنچه مخفی است عظیمتر است”) را در این شبکه تلویزیونی بر عهده دارد. از آنجایی که Almisshal نگران بود که گوشی او هک شده باشد در زمستان 1398 به
سیتیزن لب مجوز داد تا با نصب یک برنامه VPN، فرادادههای (Metadata) مرتبط با ترافیک اینترنتی گوشی مورد رصد این مؤسسه قرار بگیرد.
جزییات فنی
مرور لاگهای VPN نشان داد که در 29 تیر 1399 سایتی فراخوانی شده که بر طبق اطلاعات قبلی سیتیزن لب، یک سرور نصب (Installation Server) متعلق به اناساو گروپ بوده است.
سیتیزن لب معتقد است که گوشی Almisshal از طریق یک بهرهجو از سوی سرورهای اپل به سرور نصب Pegasus هدایت شده بوده است. گوشی در 54 دقیقه قبل از آن، بهنحوی مشکوک تعداد زیادی ارتباط با iCloud Partitions برقرار کرده بوده است. در بیش از 3000 ساعتی که ترافیک اینترنتی گوشی Almisshal تحت رصد قرار داشته تنها 258 ارتباط با iCloud Partitions (بهغیر از
p20-content.icloud.com که گوشی Almisshal از آن برای نسخ پشتیبان iCloud استفاده میکرده است) برقرار شده که 228 مورد آنها (حدود 88%) ظرف 54 دقیقه مذکور بوده است. در نتیجه ارتباطات برقرار شده با iCloud Partitions در 29 تیر در مجموع 2.06 مگابایت دریافت و 1.25 مگابایت ارسال شده است.
سیتیزن لب اینطور نتیجهگیری کرده که این دوره زمانی مربوط به نقطه ورود و آغاز هک شدن گوشی بوده است. بررسیهای بیشتر نشان میدهد که برنامهای توکار (Built-in) در iOS با عنوان IMAgent مورد سوءاستفاده یکی از پروسههای جاسوسی قرار گرفته بوده است. IMAgent پروسهای است که در پشتصحنه iMessage و FaceTime را پشتیبانی میکند.
از 16 ثانیه پس از آخرین ارتباط با سرور نصب، گوشی در بازهای 16 ساعته برای اولین بار با سه نشانی IP زیر ارتباط برقرار میکند:
- 76.47.218
- 147.209.236
- 122.87.198
در ارتباطات مذکور، به طور کلی 270.16 مگابایت ارسال و 15.15 مگابایت دریافت صورت گرفته است. سیتیزن لب احتمال میدهد که این سه نشانی متعلق به سرورهای فرماندهی Pegasus باشند.
همچنین در فاصله ژانویه تا جولای 2020 دستگاه Almisshal چندین بار دچار اختلال شده بود. اگر چه ممکن است برخی از آنها طبیعی و بیخطر بوده باشند اما احتمالاً سایر آنها در نتیجه تلاشی برای بهرهجویی از آسیبپذیریهای دستگاه رخ دادهاند.
در نتیجه همکاری سیتیزن لب با بخش فناوری اطلاعات الجزیره مشخص میشود که در مجموع 36 گوشی شخصی کارکنان این شبکه خبری هک شده بودند. در هک این گوشیها چهار گروه از مهاجمان دخیل بودهاند.
یکی از این گروهها که از آن با عنوان MONARCHYیاد شده در جاسوسی از 18 گوشی نقش داشته است. یکی دیگر با عنوان
SNEAKY KESTREL نیز از 15 گوشی که یکی از آنها مورد هدف MONARCHY نیز قرار گرفته بوده جاسوسی کرده است. دو گروه دیگر هم که از آنها با عنوان CENTER-1 و CENTER-2 یاد شده بهترتیب از 1 و 3 گوشی جاسوسی کرده بودند.
در برخی از حملات این گروهها از بهرهجوی کلیک-صفر KISMET استفاده شده بوده است.
سیتیزن لب با اطمینان نسبی SNEAKY KESTREL را با دولت امارات متحده عربی مرتبط میداند. MONARCHY نیز به دولت عربستان سعودی منتسب دانسته شده است.
نشانیهای IP سرورهای استفاده شده در جریان جاسوسی از کارکنان الجزیره به شرح زیر است:
- 209.23.19
- 171.250.241
- 22.80.68
- 179.220.244
- 65.94.105
- 128.163.233
- 76.47.218
- 122.87.198
- 147.209.236
- 211.37.240
- 35.38.8
- 250.230.12
- 211.35.111
- 40.115.27
- 122.68.221
به گفته سیتیزن لب Pegasus بکار رفته در جریان حمله به شبکه الجزیره دارای قابلیت ضبط صدا، تصویربرداری، ردیابی موقعیت قربانی و استخراج رمزهای عبور و اطلاعات اصالتسنجی بوده است.
محققان سیتیزن لب معتقدند نسخه 14 و نسخ بالاتر iOS که در آنها حفاظتهای امنیتی جدیدی لحاظ شده در برابر KISMET ایمن هستند. در عین حال، سیتیزن لب یافتههای خود را با شرکت اپل (Apple Inc) به اشتراک گذاشته است. با در نظر گرفتن گسترده بودن دامنه مشتریان اناساو گروپ در کشورهای مختلف و وجود آسیبپذیری در تقریباً تمامی دستگاههای iOS با نسخه کمتر از 14، سیتیزن لب احتمال میدهد که آلودگیهای مشاهده شده تنها بخشی از گستره حملاتی باشد که در آنها بهرهجوی KISMET استفاده شده باشد.
اطمینان از استفاده از آخرین نسخه سیستم عامل، پرهیز از قفلشکنی iOS (Jailbreak)، عدم کلیک بر روی لینکهای ناآشنا به ویژه در صورت دریافت از طریق پیامک و بکارگیری راهکارهای امنیتی بر روی این دستگاههای همراه، همگی در کنار یکدیگر نقشی مؤثر در برابر این تهدیدات مخرب هدفمند دارند.
مشروح گزارش سیتیزن لب از حمله به شبکه خبری الجزیره در لینک زیر قابل دریافت است:
همچنین مقاله شرکت امنیتی مکآفی (McAfee Corp) در خصوص تهدیدات مبتنی بر iOS از جمله Pegasus در لینک زیر قابل دریافت و مطالعه است:
https://www.mcafee.com/blogs/consumer/mobile-and-iot-security/pegasus-ios-device-hack/
