针对一名负责调查非法监控的立法者的移动设备入侵,听起来像是间谍小说的情节,但对于斯特里奥斯·库洛格鲁(Stelios Kouloglou)来说,这是取证现实。在欧洲议会 PEGA 委员会任职期间,库洛格鲁曾多次成为飞马(Pegasus)间谍软件感染的目标。该委员会的成立专门为了调查整个欧盟范围内商业监控工具的滥用情况。这种情况极具讽刺意味,但攻击的技术机制揭示了现代移动安全中一个更令人担忧的现实。这次事件并不是因为用户点击了可疑链接或下载了恶意附件,而是一次无声的零点击入侵,绕过了一款市场上最安全的消费级设备的标准安全控制。
最近,我与一位专门从事移动事件响应的同事花了一个下午的时间,回顾了飞马感染中常见的取证痕迹。我们经常看到一种模式,即最复杂的攻击者会完全避免交互。他们更喜欢阻力最小的路径,在高端雇佣兵间谍软件的世界里,这通常涉及针对用户永远看不见的系统进程。在库洛格鲁的案例中,攻击者利用了苹果 HomeKit 框架中的一个特定漏洞。这种方法允许攻击者在没有任何通知或所有者操作的情况下入侵设备。当你的安全模型依赖于用户做出正确选择时,零点击漏洞实际上使该模型失效了。
公民实验室(Citizen Lab)的研究人员确定,库洛格鲁 iPhone 上的感染是通过代号为 PWNYOURHOME 的漏洞实现的。这一特定的攻击链针对 iOS 上的 HomeKit 守护进程。2022 年 10 月 21 日,取证日志显示了一个特定 HomeKit 相关电子邮件地址的查询:rauharepo888[@]gmail.com。两分钟后,一个飞马进程在设备上激活,并开始消耗移动数据。这一系列事件是零点击漏洞发挥作用的典型迹象。攻击者通过 iMessage 或 HomeKit 等服务发送一个特制的请求,手机会在后台自动处理该请求。如果请求中包含利用内存管理缺陷的恶意代码,攻击者就能获得以受影响服务权限执行代码的能力。
在第一次感染时,库洛格鲁运行的是 iOS 15.5。苹果最终在 iOS 16.3.1 中修复了这个漏洞,但在长达数月的时间里,该设备一直对这个特定的入口点敞开。从架构角度来看,这个漏洞突显了移动操作系统处理复杂的互联服务时的系统性弱点。HomeKit 旨在通过自动化智能家居设备让生活更轻松,但它与操作系统核心的深度集成提供了一个巨大的攻击面。可以把它想象成一座高安全性建筑中未上锁的后门,仅仅是因为居民想要远程控制进入系统的便利性。
这些感染的时机表明了一个高度战略性的目标。第一次成功的入侵发生在 2022 年 10 月,当时库洛格鲁正在医院接受手术。在此期间,他接待了萨纳西斯·库卡基斯(Thanasis Koukakis)的访问,后者是一位此前曾被 Predator 间谍软件盯上的希腊记者。第二组感染发生在 2023 年 3 月。这一时期对 PEGA 委员会至关重要,因为成员们正忙于就调查报告的最终草案进行激烈讨论。在机密审议和证人证言最敏感的几周里,攻击者一直拥有该设备的访问权限。
公民实验室发现,间谍软件在 2023 年 3 月 6 日和 7 日处于活跃状态,利用了几个月前使用的同一个 PWNYOURHOME 漏洞。这种持久性是飞马行动的一个标志。该间谍软件被设计得非常隐蔽,但也极具韧性。如果设备重启,操作员通常需要重新感染它。攻击者使用相同的矢量成功重新入侵设备,这一事实表明他们对该漏洞针对未打补丁的 iOS 版本的持续有效性充满信心。根据设计,飞马允许操作员录音通话、读取加密消息,甚至远程激活麦克风或摄像头。对于调查这些工具的委员会成员来说,此类数据的泄露是机密性的灾难性失败。
公民实验室报告中最重要的发现之一是库洛格鲁案与其他行动之间的重叠。在 HomeKit 查询中使用的特定 Gmail 地址 rauharepo888[@]gmail.com,也出现在针对流亡欧洲的俄罗斯和白俄罗斯记者的攻击中。对飞马基础设施的取证分析表明,这些电子邮件地址通常是 NSO Group 的特定操作员或客户所独有的。这一发现指向了一个拥有许可、允许跨多个欧洲司法管辖区进行操作的飞马客户。
这种联系将叙事从孤立事件转变为普遍的跨境监控模式的一部分。当单一操作员同时针对反对派记者和欧洲高级立法者时,国家安全与政治间谍活动之间的界限就消失了。就数据完整性而言,立法者设备上存在此类工具,让人对他们与举报人和活动人士的所有通信安全性产生怀疑。这些个人通常冒着生命危险向调查委员会提供信息,而他们这样做是基于立法者的数字安全能保护其身份的假设。
虽然库洛格鲁的案例侧重于基于恶意软件的监控,但必须认识到飞马只是更大工具包中的一部分。公民实验室最近的调查还揭示了电信级追踪的使用。这些行动利用了七号信令系统(SS7)和 Diameter 协议的弱点,这些协议是全球移动漫游的支柱。攻击者无需在设备上安装恶意软件即可追踪一个人的位置。他们通过伪造运营商身份,并向受信任的电信供应商发送恶意信令命令来实现这一点。
这种类型的监控甚至比飞马感染更难检测。手机上没有取证痕迹,因为攻击发生在网络基础设施内部。从主动防御的角度来看,这使得电信生态系统成为高风险个人的关键故障点。英国和泽西岛的某些供应商被确定为这种恶意信令流量的传输点。这些供应商实际上充当了监控厂商在全球范围内追踪目标的隐秘桥梁。这表明,即使你拥有世界上最安全的手机,网络本身仍然是国家支持的攻击者可以利用的路径。
这些取证报告中反复出现的主题是,传统的安全措施不足以对抗雇佣兵间谍软件。如果你是一个高风险目标,打补丁只是第一步。打补丁就像堵住船体上的洞;它能让你漂浮,但不能阻止敌人发射更多的炮弹。对于面临国家支持威胁的用户,苹果推出了“锁定模式”(Lockdown Mode)。该功能通过禁用复杂的网络技术、拦截某些类型的附件以及限制来自未知用户的 HomeKit 邀请等传入服务请求,极大地减少了攻击面。
从风险角度来看,库洛格鲁案提醒我们,数字安全是民主监督中至关重要的组成部分。当调查人员本身遭到入侵时,整个调查的公正性就会受到威胁。我们必须转向移动设备的零信任模型,不再仅仅因为设备已更新就假设它是安全的。对于担任敏感职务的人员,硬件安全密钥和通过 Signal 等平台进行的端到端加密通信不再是可选项,而是他们在墙壁都有耳朵的数字环境中生存的底线。
实施防御策略需要对设备加固采取细粒度的方法。如果你的工作涉及处理敏感数据或调查强大的实体,请考虑以下步骤:
来源:
免责声明:本文仅供信息和教育目的,不能替代专业的网络安全审计或事件响应服务。


