Meta 如何拆解 NSO Group 最新的网络钓鱼基础设施

你是否信任你的即时通讯应用能保护你免受全球最先进雇佣兵的侵害？我之所以问这个问题，是因为即使有端到端加密，真正的战斗也发生在软件的边缘。Meta 最近再次抓获 NSO Group 试图撬锁。这不仅仅是科技巨头与软件供应商之间又一场猫鼠游戏，而是直接违反了联邦法院的命令。从风险的角度来看，这一事件揭示了持久性威胁行为者在输掉法律诉讼后并不会停止。他们只是更换了基础设施，并尝试从另一扇门进入。

Meta 周一宣布，它检测并拦截了与这家以色列间谍软件供应商相关的一系列鱼叉式网络钓鱼企图。该公司目前正针对 NSO Group 提起联邦法院藐视法庭动议。此举是因为 NSO Group 违反了一项禁止其针对 WhatsApp 及其用户的永久禁令。在幕后，Meta 的安全团队追踪了该间谍软件公司用于促进这些攻击的恶意域名和未经授权的账户。

一次点击攻击的架构

网络钓鱼对于即便最坚固的系统来说，仍然是一个数字特洛伊木马。在最新的这次行动中，NSO Group 使用恶意链接将目标引导至外部网站。这些是“一键式”网络钓鱼活动。它们只需要用户与链接进行一次交互即可入侵设备。一旦用户点击，浏览器通常会导航到一个传递有效载荷或收集凭据的网站。Meta 在此次行动中识别出三个特定域名：fr24cast[.]com、ghazacast[.]com 和 ikhwancast[.]com。

今天早上我花了一个小时分析这些域名的命名惯例。它们模仿新闻或天气服务。这是降低目标警惕性的常用策略。从终端用户的角度来看，一个看起来像本地新闻更新的链接远比一串随机字符的可疑性低。NSO Group 以这种对细节的关注而闻名。他们不只是发送一个链接；他们精心编织了一个叙事。在架构层面，这些域名充当了 Pegasus 间谍软件的部署平台。该软件因能够从 Android 和 iOS 设备中提取消息、照片和位置数据而闻名。

违反永久禁令

法律框架的效力取决于其背后的执行力度。Meta 现在正在推动这种执行。2023 年，美国法院裁定 NSO Group 因利用 WhatsApp 服务器向 1,400 名个人部署间谍软件而违反了联邦法律。该裁决导致了约 1.68 亿美元的罚款。更重要的是，它包含了一项永久禁令。这一法律障碍禁止 NSO Group 再次访问 WhatsApp 系统。

通过创建新的测试账户和群组，NSO Group 绕过了该禁令的精神和字面规定。Meta 发现该公司创建这些账户是为了验证其钓鱼链接在应用内的显示效果。我在自己的实验室环境中也见过这种行为。攻击者需要看到目标所看到的内容。他们需要确保链接预览看起来合法，且消息不会触发自动垃圾邮件过滤器。Meta 立即注销了这些账户和群组。这种主动防御是必要的，因为 NSO Group 在规避安全控制方面有着系统性的黑历史。

端到端加密的局限性

我经常听到人们说 WhatsApp 是安全的，因为它经过了加密。这是一种危险的简化。加密保护的是传输中的数据。它是你的消息从你的手机传输到朋友手机过程中的防碎数字保险箱。然而，如果攻击者入侵了端点，加密就无能为力了。如果黑客通过 Pegasus 控制了你的手机，他们就可以在消息加密前或解密后读取它们。

网络钓鱼是允许攻击者跨越加密护城河的桥梁。NSO Group 并不试图破解 WhatsApp 使用的 Signal 协议。他们知道这在数学上是可靠的。相反，他们针对的是使用该应用的人。这就是为什么 Meta 正在推动用户使用严格的账户设置。这些设置减少了攻击面。它们将应用变成一个更私密的环境，只有已知的联系人才能与你互动。

加固人为防火墙

安全是一个过程，而不是一个产品。Meta 现在鼓励高风险个人使用一种功能类似于“锁定模式”的可选安全功能。这是为记者、活动人士和政府官员准备的，他们很可能成为 NSO Group 的目标。当你启用这些严格设置时，应用会限制功能以增加安全性。例如，它会关闭链接预览。虽然链接预览很方便，但它们需要应用访问网站以获取图像和描述。攻击者可以利用这一过程收集有关目标 IP 地址或设备类型的信息。

在发生入侵时，这些设置提供了一层韧性。严格模式还将个人资料照片、关于详情和在线状态锁定为仅限联系人。它能防止未知账户将你拉入群组。这是在用户层面迈向零信任模型的一步。它假设任何来自未知源的通信都是潜在威胁。因此，用户更加安全，因为应用不再默认信任外部输入。

私人间谍软件的地缘政治分量

这场冲突不仅仅是两家公司之间的矛盾。这是一个国际安全问题。2021 年，美国商务部将 NSO Group 列入黑名单。这是因为该公司的工具允许外国政府进行跨国镇压。美国政府认定 NSO 的活动违背了国家安全利益。Meta 的最新发现证明，黑名单和之前的罚款并未停止 NSO 的运作。

从取证的角度来看，这三个域名的发现为其他安全研究人员提供了线索。当 Meta 发布这些失陷指标 (IoC) 时，它允许全球的 SOC 分析师检查他们的日志。我曾见过像 Meta 这样公司的一小条数据如何揭开更大规模的国家支持行动。这些域名现在对 NSO 来说是毒性资产。无论他们更改多少次名称，他们的基础设施模式对于知道往哪看的人来说仍然是可识别的。

实施主动防御

如果你在数据是目标的领域工作，你不能依赖默认设置。修补软件是第一步，但这就像堵住船体上的漏洞。你还必须改变与软件交互的方式。主动来说，你应当至少每季度审计一次你的隐私设置。随着 AI 驱动的网络钓鱼使恶意消息更难被察觉，这一点尤为重要。

Meta 将此事重新诉诸法庭是正确的做法。对于一家向民族国家出售高价值漏洞利用工具的公司来说，1.68 亿美元的罚款显然不足以产生威慑力。藐视法庭令会带来更严重的后果。它可能导致对 NSO 内部运作的进一步挖掘，甚至更巨额的经济处罚。对于我们其他人来说，这是一个提醒：我们数字生活的边界正不断承受着压力。

高风险用户的实用步骤

如果你认为自己面临高级网络攻击的风险，请立即采取以下步骤加固你的账户。

1. 启用两步验证。这会增加一个 PIN 码，在 WhatsApp 重新注册你的手机号码时需要用到。
2. 关闭链接预览。这可以防止应用自动连接到你尚未访问的网站。
3. 限制群组邀请。将其设置为“我的联系人”，以防止陌生人将你拉入恶意群组。
4. 更新你的操作系统。Pegasus 通常依赖于 iOS 或 Android 中的零日漏洞。
5. 限制个人资料可见性。确保你的个人资料照片和“最后上线”状态仅对你认识的人可见。

这些步骤不会让你隐身。它们会让你成为一个困难的目标。雇佣兵间谍软件公司寻找的是阻力最小的路径。如果你关上了容易进入的大门，他们可能会转向其他人。

来源

• NIST Special Publication 800-207: Zero Trust Architecture
• MITRE ATT&CK Framework: Software Techniques for NSO Group Pegasus
• U.S. Department of Commerce: Entity List Additions for Malicious Cyber Activities
• WhatsApp Security Whitepaper: End-to-End Encryption Protocols

本文仅用于信息和教育目的。它不能替代专业的网络安全审计或事件响应服务。