Pegasus؛ ابزار جاسوسی از کارکنان شبکه خبری الجزیره

Pegasus، جاسوس‌افزاری است که توسط یک شرکت صهیونیستی با نام ان‌اس‌او گروپ (NSO Group Technologies) به فروش می‌رسد. این جاسوس‌افزار با بهره‌جویی (Exploit) از ضعف‌های امنیتی روز-صفر iOS و Android، دستگاه‌های با هر یک از این سیستم‌های عامل را هدف قرار می‌دهد.

سالهاست که ان‌اس‌او گروپ با فروش Pegasus به دولت‌ها و سازمان‌های امنیتی در کشورهای مختلف آنها را قادر به جاسوسی از اهداف خود می‌کند.

در فاصله جولای تا آگوست 2020 مهاجمان دولتی با استفاده از این جاسوس‌افزار، گوشی شخصی 36 نفر از روزنامه‌نگاران، تهیه‌کنندگان، مجریان و مدیران اجرایی شبکه خبر الجزیره (Al Jazeera Media Network) را هک کردند.

در این حملات، مهاجمان Pegasus با استفاده از یک زنجیره بهره‌جو (Exploit Chain) که از آن با عنوان KISMET یاد شده از برنامه iMessage سوءاستفاده کرده بودند. به‌نظر می‌رسد KISMET در فاصله اکتبر تا دسامبر 2019 توسعه داده شده باشد.

در حملات بر ضد شبکه خبری الجزیره چهار گروه دخالت داشتند که اصلی‌ترین آنها SNEAKY KESTREL و MONARCHY گزارش شده‌اند. SNEAKY KESTREL مرتبط با دولت امارات متحده عربی و MONARCHY منتسب به دولت عربستان سعودی است.

به گزارش شرکت مهندسی شبکه گستر، زیرساخت استفاده شده در این حملات شامل سرورهایی در آلمان، فرانسه، انگلستان و ایتالیا و بسترهای ابری Aruba،وChoopa،وCloudSigma و DigitalOcean بوده است.

در 30 آذر 1399، سیتی‌زن لب (Citizen Lab) در گزارشی فنی به بررسی آلوده‌سازی گوشی کارکنان شبکه خبری الجزیره به Pegasus پرداخت که خلاصه‌ای از آن در این مطلب ارائه شده است.

 

پیش‌زمینه

همان‌طور که اشاره شد Pegasus جاسوس‌افزاری مبتنی بر دستگاه‌های همراه است که توسط شرکت صهیونیستی ان‌اس‌او گروپ توسعه داده شده است. مهاجم با بکارگیری این جاسوس‌افزار قادر به رصد فعالیت‌های کاربر بر روی گوشی همراه او خواهد. دولت‌ها در کشورهای مختلف از اصلی‌ترین مشتریان محصولات ان‌اس‌او گروپ از جمله Pegasus هستند.

برای سال‌ها، پیامک شدن لینک مخرب اما در ظاهر مرتبط با موضوعات مورد علاقه قربانی، اصلی‌ترین روش آلوده‌سازی دستگاه همراه به جاسوس‌افزارهای ان‌اس‌او گروپ بوده است. مهاجمان از این تکنیک برای هدف قرار دادن احمد منصور (فعال حقوق بشر اماراتی)، برخی اعضای جامعه مدنی مکزیک و مخالفان سیاسی دولت عربستان سعودی بهره گرفته بودند.

اما در سال‌های اخیر، ان‌اس‌او گروپ به بهره‌جوهای موسوم به کلیک-صفر (Zero-click) و حملات مبتنی بر شبکه برای آلوده‌سازی گوشی بدون هر گونه نیاز به دخالت کاربر و باقی نگذاشتن رد پا استفاده کرده‌اند. هک 2019 پیام‌رسان Whatsapp که در آن بهره‌جویی از حداقل 1400 گوشی از طریق ارسال یک به اصطلاح Missed Voice Call صورت گرفته بود نمونه‌ای از این تغییر است.

روی آوردن به روش کلیک-صفر، شانس شناسایی تهدیدات بکار گرفته شده در جریان حمله را به‌شدت کاهش می‌دهد.

شواهد نشان می‌دهند شرکت ان‌اس‌او گروپ حداقل از سال 2016 موفق به کشف بهره‌جوهای کیلک-صفر در دستگاه‌های iPhone و بکارگیری آنها در مقیاسی جهانی شده بوده است. در برخی از آنها از برنامه iMessage که به‌صورت پیش‌فرض بر روی هر دستگاه iPhone،و Mac و iPad نصب است بهره‌جویی شده است. به‌خصوص آن‌که بعضی اجزای iMessage همانند سایر برنامه‌های iPhone درگیر فرایند موسوم به قرنطینه امن (Sandboxing) نمی‌شده‌اند.

بسیاری از کشورهای عضو شورای همکاری خلیج فارس (Gulf Cooperation Council) از خریداران اصلی محصولات جاسوسی هستند. بر اساس گزارش منابع مختلف، امارات متحده عربی، عربستان سعودی، بحرین و عمان در فهرست مشتریان شرکت ان‌اس‌او گروپ قرار دارند. نکته جالب آن که به گفته روزنامه اسرائیلی هاآرتص (Haaretz)، دولت رژیم صهیونیستی، شرکت ان‌اس‌او گروپ را از تجارت با قطر منع کرده است.

از سویی دیگر در چند سال اخیر، روابط چهار کشور عربستان سعودی، امارات متحده عربی، بحرین و مصر با چالش‌هایی جدی روبرو بوده است. در سال 1396 این چهار کشور روابط دیپلماتیک خود را با قطر قطع و مرزهای خود را به روی آن بستند. چند روز بعد این کشورها با انتشار بیانیه‌ای، عمل به 13 درخواست را شرط از سرگیری رابطه با قطر اعلام کردند. بستن پایگاه نظامی ترکیه در قطر، کاهش روابط با ایران و تعطیلی شبکه خبری الجزیره از جمله این شروط بود.

رویکرد شبکه خبری الجزیره از جهات بسیاری در جهان عرب منحصربه‌فرد و اخبار و گزارش‌های آن در بسیاری مواقع با مواضع امیرنشینان حاشیه خلیج فارس همسو نیست.

Tamer Almisshal یکی از گزارشگران تحقیقی الجزیره است که مجری‌گری برنامه “ما خفي أعظم” (“آن‌چه مخفی است عظیم‌تر است”) را در این شبکه تلویزیونی بر عهده دارد. از آنجایی که Almisshal نگران بود که گوشی او هک شده باشد در زمستان 1398 به
سیتی‌زن لب مجوز داد تا با نصب یک برنامه VPN، فراداده‌های (Metadata) مرتبط با ترافیک اینترنتی گوشی مورد رصد این مؤسسه قرار بگیرد.

 

جزییات فنی

مرور لاگ‌های VPN نشان داد که در 29 تیر 1399 سایتی  فراخوانی شده که بر طبق اطلاعات قبلی سیتی‌زن لب، یک سرور نصب (Installation Server) متعلق به ان‌اس‌او گروپ بوده است.

سیتی‌زن لب معتقد است که گوشی Almisshal از طریق یک بهره‌جو از سوی سرورهای اپل به سرور نصب Pegasus هدایت شده بوده است. گوشی در 54 دقیقه قبل از آن، به‌نحوی مشکوک تعداد زیادی ارتباط با iCloud Partitions برقرار کرده بوده است. در بیش از 3000 ساعتی که ترافیک اینترنتی گوشی Almisshal تحت رصد قرار داشته تنها 258 ارتباط با iCloud Partitions (به‌غیر از
p20-content.icloud.com که گوشی Almisshal از آن برای نسخ پشتیبان iCloud استفاده می‌کرده است) برقرار شده که 228 مورد آنها (حدود 88%) ظرف 54 دقیقه مذکور بوده است. در نتیجه ارتباطات برقرار شده با iCloud Partitions در 29 تیر در مجموع 2.06 مگابایت دریافت و 1.25 مگابایت ارسال شده است.

سیتی‌زن لب این‌طور نتیجه‌گیری کرده که این دوره زمانی مربوط به نقطه ورود و آغاز هک شدن گوشی بوده است. بررسی‌های بیشتر نشان می‌دهد که برنامه‌ای توکار (Built-in) در iOS با عنوان IMAgent مورد سوءاستفاده  یکی از پروسه‌های جاسوسی قرار گرفته بوده است. IMAgent پروسه‌ای است که در پشت‌صحنه iMessage و FaceTime را پشتیبانی می‌کند.

 

از 16 ثانیه پس از آخرین ارتباط با سرور نصب، گوشی در بازه‌ای 16 ساعته برای اولین بار با سه نشانی IP زیر ارتباط برقرار می‌کند:

  • 76.47.218
  • 147.209.236
  • 122.87.198

در ارتباطات مذکور، به طور کلی 270.16 مگابایت ارسال و 15.15 مگابایت دریافت صورت گرفته است. سیتی‌زن لب احتمال می‌دهد که این سه نشانی متعلق به سرورهای فرماندهی Pegasus باشند.

همچنین در فاصله ژانویه تا جولای 2020 دستگاه Almisshal چندین بار دچار اختلال شده بود. اگر چه ممکن است برخی از آنها طبیعی و بی‌خطر بوده باشند اما احتمالاً سایر آنها در نتیجه تلاشی برای بهره‌جویی از آسیب‌پذیری‌های دستگاه رخ داده‌اند.

در نتیجه همکاری سیتی‌زن لب با بخش فناوری اطلاعات الجزیره مشخص می‌شود که در مجموع 36 گوشی شخصی کارکنان این شبکه خبری هک شده بودند. در هک این گوشی‌ها چهار گروه از مهاجمان دخیل بوده‌اند.

یکی از این گروه‌ها که از آن با عنوان  MONARCHYیاد شده در جاسوسی از 18 گوشی نقش داشته است. یکی دیگر با عنوان
SNEAKY KESTREL نیز از 15 گوشی که یکی از آنها مورد هدف MONARCHY نیز قرار گرفته بوده جاسوسی کرده است. دو گروه دیگر هم که از آنها با عنوان CENTER-1 و CENTER-2 یاد شده به‌ترتیب از 1 و 3 گوشی جاسوسی کرده بودند.

در برخی از حملات این گروه‌ها از بهره‌جوی کلیک-صفر KISMET استفاده شده بوده است.

سیتی‌زن لب با اطمینان نسبی SNEAKY KESTREL را با دولت امارات متحده عربی مرتبط می‌داند. MONARCHY نیز به دولت عربستان سعودی منتسب دانسته شده است.

نشانی‌های IP سرورهای استفاده شده در جریان جاسوسی از کارکنان الجزیره به شرح زیر است:

  • 209.23.19
  • 171.250.241
  • 22.80.68
  • 179.220.244
  • 65.94.105
  • 128.163.233
  • 76.47.218
  • 122.87.198
  • 147.209.236
  • 211.37.240
  • 35.38.8
  • 250.230.12
  • 211.35.111
  • 40.115.27
  • 122.68.221

 به گفته سیتی‌زن لب Pegasus بکار رفته در جریان حمله به شبکه الجزیره دارای قابلیت ضبط صدا، تصویربرداری، ردیابی موقعیت قربانی و استخراج رمزهای عبور و اطلاعات اصالت‌سنجی بوده است.

محققان سیتی‌زن لب معتقدند نسخه 14 و نسخ بالاتر iOS که در آنها حفاظت‌های امنیتی جدیدی لحاظ شده در برابر KISMET ایمن هستند. در عین حال، سیتی‌زن لب یافته‌های خود را با شرکت اپل (Apple Inc) به اشتراک گذاشته است. با در نظر گرفتن گسترده بودن دامنه مشتریان ان‌اس‌او گروپ در کشورهای مختلف و وجود آسیب‌پذیری در تقریباً تمامی دستگاه‌های iOS با نسخه کمتر از 14، سیتی‌زن لب احتمال می‌دهد که آلودگی‌های مشاهده شده تنها بخشی از گستره حملاتی باشد که در آنها بهره‌جوی KISMET استفاده شده باشد.

اطمینان از استفاده از آخرین نسخه سیستم عامل، پرهیز از قفل‌شکنی iOS (Jailbreak)، عدم کلیک بر روی لینک‌های ناآشنا به ویژه در صورت دریافت از طریق پیامک و بکارگیری راهکارهای امنیتی بر روی این دستگاه‌های همراه، همگی در کنار یکدیگر نقشی مؤثر در برابر این تهدیدات مخرب هدفمند دارند.

مشروح گزارش سیتی‌زن لب از حمله به شبکه خبری الجزیره در لینک زیر قابل دریافت است:

https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/

همچنین مقاله شرکت امنیتی مک‌آفی (McAfee Corp) در خصوص تهدیدات مبتنی بر iOS از جمله Pegasus در لینک زیر قابل دریافت و مطالعه است:

https://www.mcafee.com/blogs/consumer/mobile-and-iot-security/pegasus-ios-device-hack/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *