网线中的威胁

Doris Liu.

已于 2023-10-13 17:16:07 修改

阅读量133

点赞数 1

文章标签：安全网络网络协议网络安全 https html tcp/ip

于 2023-10-13 17:11:02 首次发布

作者：Bill Marczak, John Scott-Railton,Daniel Roethlisberger,Bahr Abdul Razzak,Siena Anstis,Ron Deibert 翻译：Doris Liu 转载请注明

关键发现

2023年5月至9月间，埃及前国会议员艾哈迈德-艾尔坦塔维（Ahmed Eltantawy）通过短信和WhatsApp上发送的链接成为Cytrox的Predator（捕食者）间谍软件的攻击目标。目标锁定发生在Eltantawy公开表示计划参加2024年埃及大选总统竞选之后。
2023年8月和9月Eltantawy的Vodafone Egypt手机连接持续被选中作为网络注入的目标；当Eltantawy访问某些未使用HTTPS的网站时，安装在运营商Vodafone Egypt网络边界的设备会自动将他重定向到一个恶意网站，使他的手机感染Cytrox的Predator间谍软件。
在调查过程中，Citizen Lab与谷歌威胁分析小组（TAG）合作，获得了一个iPhone零日漏洞链（CVE-2023-41991、CVE-2023-41992、CVE-2023-41993），该漏洞链设计用于在16.6.1之前的iOS版本上安装Predator间谍软件。研究团队还获得了该间谍软件的第一阶段，它与此前在2021年获得的Cytrox的Predator间谍软件样本有明显的相似之处。研究团队高度确信该间谍软件是Cytrox的Predator间谍软件。
鉴于埃及是Cytrox的Predator间谍软件的已知客户，而且间谍软件是通过网络注入的方式从埃及境内的一台设备上发送的，研究团队非常有把握地将这次网络注入攻击归咎于埃及政府。
两年前即2021年9，Eltantawy的手机就感染了Cytrox的"捕食者"（Predator）间谍软件，当时他收到了一条含有 "捕食者 "网站链接的短信。

背景

Ahmed Eltantawy是埃及前国会议员，曾任埃及卡拉马政党主席。2023 年 3 月，他宣布有意参加即将举行的埃及总统大选，并表示计划以 "民主"的方式替代现任总统。在宣布这一消息后，Eltantawy、他的家人和他的支持者受到了骚扰，包括据报道有 12 名家庭成员被捕。

埃及现任总统阿卜杜勒-法塔赫-塞西（Abdel Fattah el-Sisi）自2014年领导军队推翻穆罕默德-穆尔西（Mohammed Morsi）总统以来一直执政。人民普遍认为塞西是独裁者。包括国际特赦组织和人权观察社在内的人权组织记录了塞西政权下大范围的侵犯人权行为，包括镇压民间团体、活动人士和政治反对派。

Eltantawy对自己手机的安全性产生了怀疑，于是联系了Citizen Lab。研究团队对他的设备进行了取证分析。分析显示有人多次试图用Cytrox的Predator间谍软件来攻击Eltantawy。

Citizen Lab团队之前记录了针对两名流放的埃及人设备的Cytrox Predator感染：流亡政治家Ayman Nour和一个热门新闻节目的主持人（匿名）。

iOS零日漏洞链

在与Eltantawy合作期间，Citizen Lab和谷歌威胁分析小组 (TAG) 获得了针对他的iOS漏洞利用链。研究团队与苹果公司启动了责任披露程序，苹果公司为与该漏洞链相关的漏洞分配了以下CVE：

CVE-2023-41991 (Security)：恶意程序可能会绕过签名验证。
CVE-2023-41992 (Kernel): 本地攻击者可能会提升权限。
CVE-2023-41993 (WebKit):处理网页内容可能导致任意代码执行。

2023 年 9 月 21 日，苹果公司发布了多款苹果产品的更新，对漏洞利用链使用的漏洞进行了修补。据报道，移动设备的零日漏洞利用链可以从买卖这些漏洞的经纪人那里获得数百万美元的收入。研究团队对这一链条的分析正在进行中。

指纹采集和扫描

零日链托管在sec-flare[.]com，同时也与verifyurl[.]me通信。研究团队对这两个网站进行了指纹识别（指纹F1用于sec-flare[.]com，指纹F2用于verifyurl[.]me）。通过互联网扫描，团队确定了大量与他们的指纹相匹配的IP。他们认为所有这些IP（以及与他们的指纹匹配时在TLS证书中返回的域名）都与Cytrox的Predator间谍软件有关。在进一步调查的同时，研究团队暂时不会公布这些域名或IP地址。

团队还发现，一些域名的名称可能是为特定国家或地区量身定制的，其中包括阿拉伯湾、东南亚、安哥拉、刚果民主共和国、埃及、希腊、印度尼西亚、哈萨克斯坦、马达加斯加、蒙古、阿拉伯联合酋长国和苏丹（据报道，苏丹是Cytrox的客户）。当然，不能断定所有这些政府都是Cytrox的客户。

Predator归因

iOS漏洞利用链的最后阶段是iOS payload。通过将该有效载荷与团队获得的2021个 Predator样本进行比较，研究团队高度确信该有效载荷属于Cytrox的Predator间谍软件。这两个二进制文件有一个关键的相似点，团队对其进行了编辑，以保持对未来样本的可见性。

此外，团队还发现的一些域名似乎是针对以前被确认为Cytrox Predator客户的国家的目标，包括埃及、希腊和马达加斯加。

网络注入

2023年8月和9月，当Eltantawy使用他的手机通过Vodafone Egypt数据连接去访问某些没有HTTPS的网站时，他被悄无声息地通过网络注入的方式重定向到一个网站 (c.betly[.]me)。域名betly[.]me与Cytrox的Predator间谍软件的F1指纹相匹配。

注入是根据HTTP主机标头中指定的网站以及 User-Agent 标头的值触发的。路径上的中间设备注入了以下回复，服务器的合法回复被压制：

HTTP/1.1 307 Temporary Redirect
Via: 1.0 middlebox
Location: https://c.betly[.]me/[REDACTED]
Connection: close

目标网站的正文包括两个iframe，ID "if1 "包含明显良性的诱饵内容（在本例中是指向不含间谍软件的APK文件的链接），ID "if2 "是一个不可见的iframe，包含一个托管在sec-flare[.]com上的Predator感染链接。

间谍软件注入埃及本地

研究团队进行了一项测试，以了解网络中发生注入的位置。最终，确定注入发生在埃及电信和埃及沃达丰（Vodafone Egypt）之间的链路上。仅凭技术数据，无法断定中继装置位于链路的埃及电信一侧还是Vodafone Egypt一侧。不过，研究团队怀疑它位于Vodafone Egypt公司的网络内，因为要精确地将注入目标锁定为Vodafone的单个用户，就需要与Vodafone的用户数据库进行融合。

此外，鉴于注入的间谍软件是在埃及境内运行的，间谍软件是卖给政府机构的，而埃及又是众所周知的 "捕食者"客户，因此，这种针对行动极不可能发生，而且这种设置也不在埃及当局的权限范围之内。

图1：网络图显示间谍软件注入中间件位于埃及电信和Vodafone Egypt公司之间的链路上

间谍软件注入本地过程

通常情况下，定位注入需要从目标设备（"客户端"）发送递增的IP "生存时间"（TTL）值数据包。由于每个处理数据包的路由器都会从 IP TTL值中减一，当TTL达到零时数据包就会过期，而路由器在处理发送者过期的数据包时通常会向数据包的发送人标明自己的 IP地址，因此可以定位注入程序两侧的路由器。

注入程序两侧的路由器是：(1) 报告过期数据包的路由器，该数据包包含注入程序没有响应的最高的TTL值；(2) 报告过期数据包的路由器，该数据包包含注入程序有响应的最低TTL值，然后，团队可以在IP WHOIS数据库中查找这些IP地址，从而确定它们属于哪个网络。

不过，这种技术不适用于Eltantawy的情况，因为Vodafone Egypt公司的网络似乎有一个靠近用户的独立中继装置，负责管理所有TCP连接。研究团队怀疑这个中继盒用于良性流量管理，它与Eltantawy之间的IP TTL = 4左右。由于流量管理中继盒以固定的TTL值重写数据包，因此无法控制流量管理中继盒以外的TTL值。不过，团队能够确定，间谍软件注入的位置与Eltantawy的TTL = 4相差无几。

注入程序的设计选择使替代定位技术成为可能

研究团队还在注入程序中发现了两个设计选择，这两个选择能够从他们控制的测量服务器 "反向"定位注入。首先，注入程序试图通过将接收到的IP TTL值复制到注入的数据包中来掩盖自己的存在。其次，在 "从 "服务器向客户端注入响应时，注入程序将服务器的TTL视为它看到的第一个TCP连接SYN/ACK的TTL，而忽略后续SYN/ACK中的TTL值。

通过这两种设计选择，可以利用测量服务器为注入程序 "填料"，向客户端注入TTL = 1的数据包。为此，研究团队的测量服务器会通过发送SYN/ACK来响应SYN，该SYN/ACK 会以TTL = 1到达注入程序，然后再发送一个TTL稍高的后续SYN/ACK，使其到达流量管理中继盒，完成连接，并使流量管理中继盒发送HTTP GET请求，从而触发注入。

当HTTP GET请求到达注入程序时，注入程序会向客户端发送一个TTL = 1的数据包。由于其并不直接毗邻客户端，因此注入程序下游的路由器会判断数据包已过期，并通知注入数据包的发送者。由于注入者将数据包伪造为来自研究团队的测量服务器，因此路由器会向其表明自己的身份，并通知他们的测量服务器数据包已过期。此过程如图2所示。

图2：该数据包的一部分最终通过ICMP Time Exceeded消息返回给团队，使其能够确定从间谍软件注入中继盒到受害者的下一跳。

注入程序归因

Citizen Lab研究团队非常有把握将埃及的间谍软件注入事件归因于Sandvine的PacketLogic产品。分为三个部分。

首先，研究团队描述了埃及的间谍软件注入行为。其次，团队注意到埃及的间谍软件注入程序与土耳其电信公司用于在土耳其实施“国家天坑”（a national sinkhole）的注入行为完全一致。在2020年的测试中，团队就注意到土耳其电信公司的注入程序与其2018年的Sandvine PacketLogic设备指纹相吻合。最后团队注意到，虽然截至2023年9月，土耳其电信公司的注入程序不再与其2018年的Sandvine PacketLogic指纹相匹配，但它仍然包含一个独特的错误，而研究团队之前确实在2018年的Sandvine PacketLogic指纹相匹配时测量到了它的这个错误。

第一部分：埃及间谍软件注入的特点

由于Vodafone Egypt公司的网络中存在流量管理中继盒，因此对埃及的间谍软件注入进行定性极具挑战性。这使研究团队无法看到间谍软件注入程序向Eltantawy设备发送的原始数据包。尽管如此，研究团队还是能够将埃及间谍软件注入的特点描述如下：

注入客户端的HTTP响应是 "307临时重定向"，并设置了"Via：1.0 middlebox "标头。同时，注入者向服务器发送一个TCP RST数据包。
如果未得到确认，注入程序会重新发送一个相同的数据包，最多四次（两次发送之间有一秒钟的延迟）。如果发送五次后，数据包仍未得到确认，注入程序将发送最后一个终止数据包。请注意，流量管理中继盒不会发送原始数据包；研究团队通过从41.206.153.241发送的ICMP Time Exceeded消息来观察这些数据包。遗憾的是，由于ICMP错误报告有效载荷的大小限制，ICMP超时报告没有引用触发报告的完整数据包，不过前五个返回数据包的IP "总长度 "报文头值与中继盒注入的307临时重定向报告，重定向的 "总长度 "报文头值完全匹配，最后一个返回数据包的IP "总长度 "报文头值与空TCP控制数据包（如 TCP RST）一致。
注入程序似乎在注入的数据包中设置了TCP窗口大小= 32120。由于存在流量管理中继盒，无法（从Eltantawy方面）观察到注入者在数据包中设置的TCP窗口大小值。此外，由于ICMP有效载荷大小的限制，TCP窗口大小值不包含在响应注入的HTTP 307而发送的ICMP时间超限消息中。不过团队也确实观察到，注入到测量服务器的RST中，TCP窗口大小始终设置为32120。

第二部分：埃及间谍软件注入行为与土耳其设备的新行为相吻合，而土耳其设备的新行为之前被认为是Sandvine所为

研究团队注意到，这种行为与土耳其电信公司的网络注入能力完全一致，而团队以前曾将其归因于Sandvine的PacketLogic设备。土耳其电信公司的网络注入功能有多种用途，但最容易测量的是土耳其的 "国家天坑"（a national sinkhole），它会将试图访问 "可疑链接 "列表上网站的用户重定向到土耳其计算机应急小组（USOM）运行的网站。Citizen Lab研究团队在2020年12月测量了这种能力，发现注入的内容与2018年针对Sandvine PacketLogic设备的指纹相符。

团队在2023年9月进行了另一次测验，发现注入的恶意软件不再与其2018年的 Sandvine PacketLogic指纹完全匹配，但与埃及的恶意软件注入完全一致。

注入客户端的HTTP响应是 "307临时重定向"，并设置了"Via：1.0 middlebox"标头。同时，注入者向服务器发送一个TCP RST数据包。这与埃及间谍软件注入相同。包含HTTP响应的数据包设置了FIN/ACK标志。由于ICMP有效载荷大小的限制和流量管理中继盒的存在，无法确定埃及间谍软件案例中设置的TCP标志的准确性。不过，FIN/ACK标志与研究团队观察到的情况是一致的。
如果未被确认，研究观察到注入程序会重新发送一个相同的重定向数据包，最多可发送四次（两次发送之间有一秒钟的延迟）。如果发送五次后，数据包仍未得到确认，将发送最后一个终止数据包。这与埃及间谍软件注入相同。最后一个终止数据包是TCP RST。无法观察到埃及间谍软件案例中设置的准确TCP标志，但RST标志与研究团队所观察到的一致。
所有注入的数据包都将TCP窗口大小设置为32120，与客户端或服务器为连接设置的TCP窗口值无关。这与埃及间谍软件注入的情况一致。

第三部分土耳其以前被认为是Sandvine的设备尽管有新的行为，但仍有旧的错误和怪异之处

截至2023年9月，土耳其电信公司的注入程序仍与Citizen Lab在2020年12月部署 Sandvine PacketLogic时观察到的一个奇怪错误相吻合，团队得出结论，土耳其电信公司仍在使用Sandvine PacketLogic。具体来说，土耳其电信的注入程序在响应TLS Client Hello时会返回一个注入的（未加密的）HTTP 307临时重定向消息，这是一种奇怪的协议违规行为。

此外，土耳其电信注入程序还在FIN/ACK数据包中注入HTTP 307临时重定向消息，将所有注入数据包中的TCP窗口大小设置为32120，并在向客户端注入重定向的同时向服务器注入单个TCP RST数据包。以上三点都是Citizen Lab 2018 Sandvine PacketLogic指纹的特征。

结论：埃及间谍软件注入程序是Sandvine PacketLogic的产品。

由于土耳其电信注入程序与Citizen Lab将其归因于Sandvine PacketLogic时其过去的行为仍然显示出高度令人信服的相似性，而且土耳其电信注入程序当前的行为与埃及间谍软件注入程序的行为完全一致，因此将埃及间谍软件注入程序归因于Sandvine PacketLogic的可信度很高。

通过短信锁定目标

此外，Eltantawy还在2021年9月、2023年5月和2023年9月收到几条冒充来自 WhatsApp的短信。

这些欺诈信息邀请Eltantawy访问其中的一个链接，以 "终止 "信息中所说的 Eltantawy WhatsApp账户的新登录。实际上点击这些链接很可能会让Eltantawy的手机感染Cytrox的Predator间谍软件。

图 3：发送到Eltantawy的短信，研究团队认为其中包含Predator感染链接

有趣的是，链接中的域名与研究团队的F1或F2 Predator指纹不匹配。然而，在 Eltantawy阅读 2021年9月15日的信息约2分30秒后，他的手机上安装了Predator 间谍软件。团队怀疑是他点击了信息链接，触发了安装。由于2023年的信息包含类似的诱饵内容，研究团队认为这些信息也是企图在他的手机上安装Predator间谍软件。

研究团队认为这些网站是定制网站，可能是由特定的Predator客户注册的。他们认为以下域名是相关的：

almal-news[.]com
chat-support[.]support
cibeg[.]online
notifications-sec[.]com
wa-info[.]com
whatssapp[.]co
wts-app[.]info

WhatsApp目标定位

一个自称是国际人权联合会（FIDH）"Angie Raouf "的人通过WhatsApp联系Eltantawy，并于2023年6月24日和2023年7月12日向他发送了两个Predator感染链接t-bit[.]me（与指纹F1相匹配）。在Eltantawy的WhatsApp中，整个对话都未读，这表明他没有使用这些链接。

信息翻译如下图所示

结论

在一个国家的民主反对派高级成员宣布有意竞选总统之后，使用雇佣军间谍软件将其作为目标，这显然是对自由公正选举的干涉，侵犯了言论自由、集会自由和隐私权。这也直接违背了雇佣军间谍软件公司公开为其销售行为辩解的方式。

塞西总统的独裁统治受到广泛谴责，埃及的侵犯人权行为也被记录在案。对于技术可能被滥用的任何负责任的公司来说，警告信号都是显而易见的。然而，从Citizen Lab研究团队的报告中可以明显看出，Cytrox公司或其发现的其他公司并没有尽职尽责，以防止这些技术被用于攻击Eltantawy的设备。

与Cytrox及其 "Predator"间谍软件有关的侵权记录令人不安，而这一最新侵权案例则为这一记录锦上添花。除了其他埃及人的设备被Predator间谍软件入侵外，研究团队还记录了希腊记者Thanasis Koukasis和前Meta（原名：Facebook）公司雇员、拥有希腊和美国双重国籍的Artemis Seaford被Predator间谍软件入侵的事件。其他调查显示，"Predator"间谍软件曾被用于入侵欧洲议会现任议员尼科斯-安德鲁拉基斯（Nikos Androulakis）的设备，并被出售给世界各地臭名昭著的侵犯人权者，包括苏丹的种族灭绝民兵。因此，美国商务部于2023年7月将Cytrox列入雇佣军间谍软件公司指定实体名单。

Citizen Lab研究团队的报告还揭示了贯穿整个电信生态系统的潜在不安全因素，包括在网络层，这些不安全因素可被利用向毫无戒心的用户设备注入恶意软件。我们的互联网通信要经过许多网络和中继装置，其中一些可能会被滥用于恶意目的，特别是如果流经这些网络和中继装置的网络请求没有加密保护的话。尽管近年来在 "网络加密 "方面取得了长足进步，但用户偶尔仍会访问没有HTTPS的网站，而一次非HTTPS网站访问就可能导致间谍软件感染。这份报告提醒我们，实现100%的HTTPS采用率非常重要。

Citizen Lab研究团队的报告还得出高度可信的结论：Sandvine PacketLogic 设备被用于针对Eltantaw的互联网请求注入恶意代码重定向；该重定向随后发送零日漏洞利用程序，试图用Cytrox的Predator间谍软件感染他的设备。这并不是团队第一次发现滥用Sandvine产品的情况；2018年，Citizen Lab记录了使用Sandvine的 PacketLogic设备向土耳其受害者的网络流量注入恶意重定向，并将埃及互联网用户重定向至联盟广告的情况。尽管该报告被广泛报道，团队也就当时发现的滥用行为与 Sandvine及其法律代表交换了几封信，但Sandvine的产品似乎仍在埃及被滥用。研究团队已致函Sandvine，将调查结果通知他们，并承诺公布从他们那里收到的任何答复；截至发稿之日（2023/9/22），团队尚未收到任何答复。

此案还提出了对可用于侵犯人权的技术出口缺乏充分控制的问题。这并不是总部设在加拿大的技术公司第一次牵涉到出口用于违反国际人权法的技术了。虽然加拿大最近签署了一份《原则声明》，承诺建立并维护对商业间谍软件技术的国内和国际控制，但加拿大政府并未就人权和两用技术的出口控制采取任何具体行动。

研究团队特别建议加拿大政府通过法律和有意义的制裁措施，防止加拿大公司向可能存在侵犯人权行为的司法管辖区出口技术。还必须采取重要措施，确保加拿大军民两用产品出口的透明度：如果不定期公布有关出口军民两用产品的类型、出口公司的名称和最终用户的身份等详细信息，就没有机会对公众负责。此外，加拿大公司还应履行人权尽职调查义务，并通过法律和适当的惩罚措施加以执行。

立即更新苹果设备并启用锁定模式

Citizen Lab研究团队敦促所有人立即更新大家的设备。已打补丁的版本包括：macOS Ventura 13.6、macOS Monterey 12.7、watchOS 9.6.3、watchOS 10.0.1、iOS 16.7 和 iPadOS 16.7、iOS 17.0.1 和 iPadOS 17.0.1。

与Citizen Lab研究团队最近披露的BLASTPASS零点击漏洞一样，锁定模式可以阻止这种特定的攻击，且苹果的安全工程和架构团队也进行了证实。

最近这两起备受瞩目的案件凸显了这种安全模式的重要价值。因此，鼓励所有 Mac、iPhone 和 iPad 用户启用锁定模式，因为他们的身份或行为可能会增加风险。

作者：Bill Marczak, John Scott-Railton,Daniel Roethlisberger,Bahr Abdul Razzak,Siena Anstis,Ron Deibert 翻译：Doris Liu 转载请注明