当恶意软件伪装网购物流:来自政府的监控总能让你防不胜防
【2018年10月2日存档】假设你在网上订购了一件商品,物流通知发送到你的手机上,告知你“包裹”正在路上……对每一位剁手族来说这种事不过如吃饭睡觉一般司空见惯?但是,这里面居然也会隐藏着危机……的确如此。我们在上一篇文章中已经介绍的这种间谍软件被多个攻击组织广泛用于全球 45 个国家的网络入侵活动中,亚洲包括香港
这一切,始于一桶蛋白粉。
Omar Abdulaziz 于 6 月底在亚马逊上订购了一桶蛋白粉,正在等待商品到达他位于 Que 的 Sherbrooke 公寓。Abdulaziz 在订购后的当天晚些时候,收到了 DHL 的物流短信,内容是说他的包裹正在上路,因此他并没有多想 。
众所周知这已经成为了一种非常有效的骇客技术,即 短信 — 以及它所包含的链接 — 并不是它声称的那样。Abdulaziz 点击了链接,这会让间谍软件进入他的 iPhone。在那里,间谍软件可以复制他的联系人和消息,甚至窃听他所有电话。攻击者可以完全控制他的手机。
但最终,对 Abdulaziz 手机的攻击并不是很普通的那种入侵,它非常个人化,具有强烈的针对性。
我们已经详细解释了加拿大公民实验室的报告,在这里看到《以色列 NSO 生产的间谍软件 Pegasus 在45个国家被用于监视和攻击异议人士及活动家 — ⚠️ 亚洲有香港》,分析显示本文的主题这一间谍活动很可能是由 Abdulaziz 的祖国沙特阿拉伯政府进行的。
Abdulaziz 于 2009 年从沙特阿拉伯抵达加拿大,在麦吉尔大学学习英语。但随着他越来越多地批评他的政府的镇压策略和恶劣的人权记录 — 并为他在 YouTube 和 Twitter 上的言论活动吸引了相当大数量的追随者- 他的奖学金在 2013 年被沙特政府撤销。
他被授予政治庇护,次年成为加拿大永久居民,现在在魁北克省舍布鲁克的毕晓普大学就读,与其他四名沙特外籍人士住在一起,他不敢回家。
他担心的原因很充分。Abdulaziz 说,他的两个兄弟以及他的几个朋友最近都被沙特阿拉伯政府监禁了。几个月来他一直无法和母亲通话。就像感染他手机的间谍软件一样,他认为这些逮捕行为是企图恐吓他 — 以此来终止他对沙特阿拉伯政府的持续抗议、以及他最近对该政权处理加拿大外交争端的批评。
尽管如此,Abdulaziz 不仅想要主动谈谈他的经历 — 这在被间谍软件感染的人中很少见 — 而且他认为这是他能够做的最好的事来迫使他的国家作出改变。
“很多人都对此感觉害怕。他们害怕谈论发生在自己身上的恶劣事件。也许他们经历的事情比我更糟糕?但我是不得不说出来的,”Abdulaziz 站在学生公寓的阳台上,俯瞰火车轨道和树木以及 Saint-François 河。
“有人就是不得不站出来反对这一点。我相信我的坚持能令事情很快得到改变。”
鲁莽和非法
自 8 月初加拿大外交部要求释放所有被监禁的“和平人权活动家” 以来,加拿大和沙特阿拉伯政府之间的外交关系一直充满了冲突。这些推文引发了沙特阿拉伯外交部的迅速谴责。
Abdulaziz 忍不住要说出来。但就在那个时候,他的手机已经被间谍软件感染了,他认为沙特阿拉伯政府在利用他的生活细节来对他进行报复。
“我以为没有秘密。我没有隐藏任何东西,”他说,“因为我[在加拿大],我知道自己受到了保护。我并不害怕。所以我会继续做我正在做的事。”
他只是没想到,普通的网购习惯也能被当局武器化,以攻击他。
Abdulaziz 在社交媒体上建立了大量追随者。他的 YouTube 视频和直播节目经常能吸引成千上万的观众,也有成千上万的观众在 Twitter 上关注他。每隔几分钟就会有一条新的 Snapchat 消息传出。鉴于他的全球观众规模,他相信沙特想要找到一种方法来恐吓他,以令他闭嘴。
这种方法就是利用其家人和朋友。也是中国政府很常用的办法 — — 影响力显著的人如果不能被收编,那只能被“消灭”。
他担心他的室友和他的朋友 — 无论是在加拿大的还是在沙特的 — 甚至包括那些与政治毫无关系的原因而打电话联系他的人,会发生什么。所有这些,现在都可能被他手机上的间谍软件所牵连。他想知道,如果政府愿意跨越国界监视他,他们将如何升级他们的袭击?
多伦多大学公民实验室的研究人员在夏季发现并分析了这一感染情况,就是我们在上一篇报告中所呈现的那样 — — 是的,这是全球性的感染。公民实验室不能肯定地说是沙特阿拉伯政府安装了间谍软件,他们也无法在对 Abdulaziz 的监视与当局对他的朋友和家人的拘留之间建立明确的联系。
但是,基于与感染 Abdulaziz 电话的同一运营商过去对沙特相关个人的攻击事件有很高的相似性,他们有理由怀疑沙特阿拉伯政府或其安全机构是袭击事件背后的操作。
公民实验室的长期主管罗恩·德贝特(Ron Deibert)表示,“这种定位方式具有鲁莽性。” 他说,加拿大政府不太可能允许外国国家对其自己的公民进行这种间谍活动,这可能是非法的。
全球事务发言人亚当奥斯汀表示,该部正在审查该报告,但非常严肃地对待“任何此类指控”,并“坚定地致力于言论自由,包括在线言论自由”。公共安全部门尚未对评论请求作出回应。
“它显示了[沙特阿拉伯]政府愿意花多少钱在一些被当局讨厌的人身上,只因他们在社交媒体上自由表达,”Deibert 说。“毫无疑问,这可能会加剧加拿大与沙特阿拉伯之间的争端。”
跟随面包屑
公民实验室在对全球政府的间谍软件活动进行更大规模调查时,偶然发现了 Abdulaziz 的案子。当时他们已经开始着手确定使用以色列供应商 NSO 集团出售的这种被称为 Pegasus 的间谍软件的国家。该公司表示,它只向政府出售这种间谍软件。
公民实验室在过去六年中发现了许多滥用的案例,其中 Pegasus 和类似的软件被用来对抗人权活动家、持不同政见者、记者和政治对手。
“Pegasus 与犯罪分子使用的恶意软件之间并没有很大的区别,”总部位于旧金山的 Lookout Security 安全情报副总裁 Mike Murray 表示,该公司是一家网络安全公司。过去曾检查过 NSO 的 Pegasus 间谍软件。
但 Pegasus 的不同之处在于它感染目标的方式,以及攻击的成本。Pegasus 如此难以被察觉的原因在于,它利用了 Google 或 Apple 不为人知的软件缺陷 — 即 0-day,这意味着即使是最新的安全更新也无法阻止它。Murray 说,这一“优势”使得 NSO 集团可以让政府客户为每一个他们打算瞄准的人支付数万美元。
更多详见类目“政府的间谍行为”。
在规定中,这意味着政府只能使用 Pegasus 应对最严重的威胁 — 但是在监督或监管方面几乎没有什么办法可以防止滥用。
“在我看来,[零日漏洞监控技术]这个市场已经完全失控,我认为基于加拿大的利益和其他政府的兴趣,是时候对这个市场做点什么了,”Deibert 说。“我们应该投入更多资源来促进相互制约的规范。”
在公民实验室的报告中,研究人员使用互联网扫描技术来识别 NSO 的间谍软件表现活跃的45个国家 — 包括奇怪的发生在魁北克的受感染设备。在一项数字侦探工作中,公民实验室的研究人员试图找出目标 — 后来被揭示为 Abdulaziz — 基于受感染设备在与国外间谍软件运营商通信时留下的数字面包屑的独特模式。
研究人员注意到,被感染的设备大部分时间都与魁北克的一家消费者互联网服务提供商 Vidéotron 相关联。但是在晚上经常有大约三个小时的时间,设备被切换到舍布鲁克的毕晓普大学的网络。
该设备只需要大约 20 分钟的时间在网络之间切换,导致研究人员相信它属于某人 — 也许是一个学生 — 就住在附近。设备正在与服务器通信,这个特殊的 Pegasus 间谍软件运营商过去曾用它来感染其他与沙特相关的目标。
他们猜测他们的目标符合类似的特征 — 即 沙特阿拉伯政府感兴趣的人 — 在与魁北克的沙特-加拿大社区成员联系后,很快就发现 Sherbrooke 中只有一个人符合这个特征:也就是蛋白粉买家 Omar Abdulaziz。
“我知道他们有多弱”
当公民实验室第一次联系 Abdulaziz 向他出示调查结果时,他并不感到惊讶,他被定为目标了 — 尽管他最初怀疑研究人员是否可信。“突然有人联系你,并告诉你,你的手机可能被感染或可能被黑了……这也太……’好吧,对不起,[我]只是要问一些问题,”他笑着回忆道。
他的怀疑是可以理解的。位于旧金山的公民实验室研究员 Bill Marczak 向 Abdulaziz 询问他每天下午5点到晚上8点做了什么。这通常是 Abdulaziz 去校园健身房锻炼的时间 — 以及为什么他首先购买了蛋白粉。在两天时间里,公民实验室找到了 Abdulaziz 在健身房和家之间的活动,以及他们在魁北克省发现的 Pegasus 感染的独特情况。
可以肯定的是,Marczak 飞往舍布鲁克并检查了 Abdulaziz 的电话。在那里,Marczak 发现了 DHL 的假物流短信。Abdulaziz 已经不可能不是目标了。还有谁值得当局提供如此高的成本以支付 Pegasus 的所有权?
Abdulaziz 现在仍然与他的家人和朋友隔绝,并且他很遗憾自己的政治活动对他所爱的人产生了不利的影响。但是对他的手机的攻击事件只会让他比以前更多地投入到这些活动中,并探索采取法律行动的可能性。
“因为一旦你停下来,他们[政府]就会做得越来越多。所以你别无选择,”Abdulaziz 说。“现在我已经认识到了他们[政府]有多弱。”⚪️