В последнее время коммерческое шпионское программное обеспечение (commercial spyware) все чаще попадает в заголовки. Причем речь не о специализированных ресурсах про информационные технологии или кибербезопасность — заметки о коммерческом шпионском ПО уже давно и регулярно появляются в непрофильных СМИ
Для начала разберемся с определением. Коммерческое шпионское ПО — это создаваемые частными компаниями легальные вредоносные программы, предназначенные для точечной слежки и сбора важных данных с устройств пользователей. Стандартный круг задач коммерческих шпионских программ: кража переписки, подслушивание звонков и слежка за местоположением. Часто для установки коммерческого шпионского ПО на устройства жертвы злоумышленники используют уязвимости нулевого дня, а во многих случаях — zero-click-эксплойты, которые делают возможным заражение без каких-либо действий со стороны атакуемого. Зловреды-шпионы всегда стараются быть как можно менее заметными: чем дольше жертва не будет догадываться о заражении, тем больше информации удастся собрать атакующим. Более того, в коммерческих шпионах зачастую предусмотрены инструменты для удаления следов заражения, чтобы атакуемые даже постфактум не могли заподозрить, что за ними кто-либо следил.
Хотя коммерческое шпионское ПО разрабатывают частные компании, продают они его, как правило, тем или иным государственным организациям — в первую очередь правоохранительным органам и прочим силовым ведомствам. В итоге коммерческое шпионское ПО используется в том числе для слежки за гражданскими активистами, журналистами и другими некриминальными лицами. Собственно, поэтому программы-шпионы регулярно попадают в новостные ленты.
Pegasus — NSO Group
Атакуемые ОС: iOS, Android
Использование уязвимостей нулевого дня: Apple iOS, Apple Safari, WhatsApp, Apple iMessage
Использование zero-click-эксплойтов: да
Страна происхождения: Израиль
Альтернативные названия: Chrysaor, DEV-0336, Night Tsunami
Теперь поговорим о конкретных компаниях — и начнем с наиболее популярного игрока рынка коммерческого шпионского ПО. Это, конечно же, печально известная израильская компания NSO Group, разработчик iOS-шпиона Pegasus и его версии для Android — Chrysaor. Ранняя версия Pegasus, обнаруженная в 2016 году, требовала от жертвы перейти по присланной ссылке, а после открытия вредоносной страницы в браузере уже запускался автоматический механизм заражения с помощью эксплойта Trident.
Достаточно быстро визитной карточкой Pegasus стала возможность заражения айфонов c помощью zero-click-эксплойтов. Например, несколько лет назад для атаки на смартфоны Apple использовалась уязвимость в голосовых звонках WhatsApp, которую можно было активировать с помощью серии вредоносных пакетов. Это, в свою очередь, позволяло получить возможность удаленного исполнения кода на атакуемом устройстве. Наибольшую же известность получил обнаруженный в 2021 году организацией Citizen Lab и подробно исследованный командой Google Project Zero эксплойт FORCEDENTRY. Он предназначен для атаки на систему обмена сообщениями Apple iMessage и позволял запустить на айфоне шпионское ПО после отправки жертве сообщения с GIF-файлом. Этот файл, впрочем, был вовсе не анимированным изображением, а зараженным PDF-документом, в котором применялся алгоритм сжатия. Когда смартфон жертвы пытался создать превью документа, активировалась уязвимость в ответственной за работу с этим алгоритмом сжатия программе, что приводило к запуску цепочки эксплойтов и заражению устройства. После того как этот эксплойт был обнаружен, Apple закрыла уязвимости. Однако, как выяснилось позже, NSO Group как ни в чем не бывало перешла к эксплуатации уязвимостей в других приложениях. В апреле 2023 года все та же Citizen Lab опубликовала исследование эксплойтов FINDMYPWN и PWNYOURHOME. Первый из них был связан с уязвимостью в приложении Find My, второй — в HomeKit. Впрочем, конечной целью для обоих этих эксплойтов была все та же система обмена сообщениями iMessage.
Наконец, в сентябре 2023 года Citizen Lab опубликовала информацию о еще одном эксплойте, используемом NSO Group, — BLASTPASS. Работает этот эксплойт похожим образом: он также активирует уязвимость в iMessage, но на этот раз она связана с механизмом отправки в сообщениях объектов из Apple Wallet — например, билетов на мероприятия. Вне зависимости от конкретного направления атаки, итогом заражения становится возможность для атакующих получить доступ к переписке жертвы, прослушивать звонки, красть пароли и следить за местоположением. География применения шпионского комплекса невероятно широка — соответствующая часть посвященной Pegasus статьи в Википедии занимает внушительное пространство.
DevilsTongue, Sherlock — Candiru
Атакуемые ОС: Windows, macOS, iOS, Android
Использование уязвимостей нулевого дня: Microsoft Windows, Google Chrome
Использование zero-click-эксплойтов: вероятно
Страна происхождения: Израиль
Альтернативные названия: SOURGUM, Caramel Tsunami, Saito Tech Ltd.
Еще одна израильская компания, которая занимается разработкой коммерческого шпионского ПО, — основанная в 2014 году Candiru. На самом деле это первое из имен, использованных этой кибершпионской организацией. Дело в том, что она постоянно меняет названия, так что сейчас, вероятно, она именует себя как-то иначе. Известно, что за Candiru стоит несколько инвесторов, связанных с NSO Group. Но, в отличие от NSO Group, в Candiru исповедуют гораздо большую секретность: у компании нет веб-сайта, ее сотрудникам запрещено упоминать своего работодателя в LinkedIn, а в здании, где Candiru арендует свой офис, не получится найти никаких упоминаний о ней.
Деятельность Candiru пока не так хорошо изучена — все известное ограничивается информацией из утекших документов, а также парой исследований инцидентов, в которых было замешано шпионское ПО, разработанное этой компанией. Например, в ходе расследования Microsoft было обнаружено несколько использованных Candiru уязвимостей нулевого дня в операционной системе Windows. А также несколько zero-day в браузере Google Chrome, которые, вероятно, также эксплуатировала Candiru. Разработанный компанией шпионский комплекс носит название DevilsTongue и предусматривает несколько векторов атаки: от взлома устройств с физическим доступом и использования метода man-in-the middle до распространения вредоносных ссылок и зараженных офисных документов.
Также в качестве опции Candiru предлагает шпионский инструмент под названием Sherlock, который, по мнению авторов исследования Citizen Lab, может представлять собой платформу для zero-click—атак на различные операционные системы — Windows, iOS и Android. Кроме того, есть сообщения о том, что Candiru разрабатывала шпионское ПО для атак на macOS.
Alien, Predator — Cytrox/Intellexa
Атакуемые ОС: Android, iOS
Использование уязвимостей нулевого дня: Google Chrome, Google Android, Apple iOS
Использование zero—click-эксплойтов: нет (частичный аналог при использовании комплекса Mars)
Страна происхождения: Северная Македония/Кипр
Альтернативные названия: Helios, Balinese Ltd., Peterbald Ltd.
Alien — это одна из двух частей шпионского комплекса, которая отвечает за взлом атакуемого устройства и установку на него второй части, необходимой для организации слежки. Эту вторую часть называют Predator по аналогии с известным фильмом. Разработкой шпионского зловреда изначально занималась основанная в 2017 году компания Cytrox. Ее корни из Северной Македонии, а связанные зарегистрированные дочерние компании есть в Израиле и Венгрии. Позже Cytrox была приобретена зарегистрированной на Кипре компанией Intellexa, которая принадлежит Талю Диллиану, отслужившему 24 года на высоких постах в разведке израильской армии.
Шпионское ПО Alien/Predator фокусируется на атаках на операционные системы Android и iOS. Согласно прошлогоднему исследованию Google Threat Analysis Group, разработчики Android-версии Alien применяли несколько цепочек эксплойтов, использовавших в том числе пять уязвимостей нулевого дня в браузере Google Chrome и в ОС Android. Атаки Alien/Predator начинались с сообщения жертвам, в котором содержались вредоносные ссылки. После перехода по ним атакуемые попадали на сайт злоумышленников, который использовал уязвимости в браузере и ОС для заражения устройства. После этого он сразу же, чтобы не вызывать подозрений, перенаправлял жертву на легитимную страницу.
Также Intellexa предлагает в качестве опции шпионский комплекс Mars, часть которого устанавливается на стороне используемого жертвой провайдера мобильной связи. После этого Mars ожидает, пока атакуемый зайдет на HTTP-страницу, и в этот момент использует метод man-in-the-middle для перенаправления жертвы на зараженный сайт — далее происходит описанное в предыдущем абзаце.
Subzero — DSIRF
Атакуемые ОС: Windows
Использование уязвимостей нулевого дня: Microsoft Windows, Adobe Reader
Использование zero—click-эксплойтов: нет
Страна происхождения: Австрия
Альтернативные названия: KNOTWEED, Denim Tsunami, MLS Machine Learning Solutions GmbH
Впервые о шпионском ПО Subzero, разработанном австрийской компанией с длинным названием DSR Decision Supporting Information Research Forensic GmbH (DSIRF), заговорили в немецкоязычной прессе еще в 2021 году. Но по-настоящему известным этот spyware-комплекс стал лишь спустя год. В июле 2022 года команда Microsoft Threat Intelligence выпустила подробное исследование шпионского ПО, применявшегося группировкой под кодовым обозначением KNOTWEED (Denim Tsunami), которое, по мнению исследователей, и являлось DSIRF Subzero.
Для компрометации атакуемых систем зловред Subzero использовал несколько уязвимостей нулевого дня в Windows и Adobe Reader. В целом же вектор атаки был следующим: жертве присылали электронное письмо, содержавшее вредоносный PDF-файл, после открытия которого запускалась цепочка эксплойтов. Результат этих действий — начало работы на устройстве жертвы бестелесного шпионского ПО. На следующем этапе шпион собирал в зараженной системе пароли и другие реквизиты аутентификации, которые только мог обнаружить, — в браузерах, клиентах e-mail, сервисе проверки подлинности локальной системы безопасности (LSASS) и менеджере паролей Windows. Вероятно, впоследствии эти реквизиты использовались для сбора информации о жертве и организации дальнейшей слежки.
По заявлениям исследователей, зловред Subzero применялся для атак на организации в Европе и Центральной Америке как минимум с 2020 года. Также исследователи отметили, что DSIRF не только продавала шпионское программное обеспечение, но и обеспечивала участие своих сотрудников в атаках.
Heliconia — Variston IT
Атакуемые ОС: Windows, Linux
Использование уязвимостей нулевого дня: Microsoft Defender, Google Chrome, Mozilla Firefox
Использование zero—click-эксплойтов: нет
Страна происхождения: Испания
Альтернативные названия: нет
В том же 2022 году, когда Microsoft рассказала подробности о деятельности Subzero, в Google представили свое исследование с разбором другого комплекса коммерческого шпионского ПО — Heliconia. В отчете Google Threat Analysis Group (TAG) были описаны три составляющих этого комплекса, предназначенные для атак на компьютеры, работающие под управлением Windows и Linux. Первая часть, получившая название Heliconia Noise, использует уязвимость в JavaScript-движке Google Chrome V8. После ее эксплуатации следует побег из «песочницы» Chrome и запуск в атакуемой системе шпионского ПО. Также в коде этой части был обнаружен фрагмент, упоминающий в качестве разработчика зловреда компанию Variston. По мнению исследователей Google, речь идет об испанской компании Variston IT. Она специализируется на оказании услуг в области информационной безопасности.
Вторая часть шпионского комплекса, которую исследователи Google назвали Heliconia Soft, использует уязвимость в JavaScript-движке встроенного в Windows антивируса Microsoft Defender. Происходит это следующим образом: жертве присылают ссылку на зараженный PDF-файл, в котором содержится вредоносный JavaScript-код. Этот код и активирует уязвимость Microsoft Defender в тот момент, когда запускается автоматическая проверка загруженного PDF-файла. В результате эксплуатации этой уязвимости Heliconia получает привилегии уровня операционной системы и возможность установить шпионское ПО на компьютер жертвы.
Третья часть называется Helicona Files. Она использует уязвимость в XSLT-процессоре браузера Mozilla Firefox для атак на компьютеры, работающие под управлением Windows и Linux. Судя по данной уязвимости, которая затрагивает Firefox версий с 64-й по 68-ю, шпионское ПО было разработано достаточно давно и использовалось как минимум в 2018 году.
Reign — QuaDream
Атакуемые ОС: iOS
Использование уязвимостей нулевого дня: Apple iOS
Использование zero—click-эксплойтов: да
Страна происхождения: Израиль/Кипр
Альтернативные названия: DEV-0196, Carmine Tsunami, InReach
QuaDream — еще одна израильская компания, разрабатывающая шпионское ПО под названием Reign. Основана она выходцами из NSO Group, а созданный ими шпион очень напоминает Pegasus. Например, для заражения айфонов шпионом Reign применяется zero-click-эксплойт, похожий на описанный выше FORCEDENTRY. Исследователи Citizen Lab назвали этот эксплойт ENDOFDAYS. Судя по всему, в качестве исходной точки атаки этот эксплойт использует уязвимости в iCloud Calendar, которые позволяют незаметно для жертвы заразить смартфон Apple с помощью отправки в календарь невидимых вредоносных приглашений.
Что касается шпионских возможностей iOS-версии Reign, то их список выглядит впечатляюще:
- поиск по файлам и базам данных;
- запись звонков;
- подслушивание через микрофон смартфона;
- создание фотографий через заднюю и переднюю камеры;
- кража паролей;
- генерация одноразовых кодов двухфакторной аутентификации iCloud;
- отслеживание геолокации;
- очистка следов заражения устройства.
Судя по некоторым упоминаниям, компания QuaDream также разрабатывала зловредов и для атаки на Android-устройства, но о них в публичном доступе нет никакой информации. Вообще, по любви к секретности QuaDream схожа с Candiru. У QuaDream тоже нет веб-сайта, ее сотрудникам также запрещено рассказывать что-либо о своей работе в социальных сетях, а офис компании не получится найти на Google-картах. Интересно, что для продажи своей продукции QuaDream использовала посредника — кипрскую компанию InReach. Взаимоотношения у этих двух компаний очень непростые, в какой-то момент дело даже дошло до суда. В апреле 2023 года, вскоре после публикации расследования Citizen Lab, посвященного QuaDream, компания внезапно объявила о прекращении своей деятельности. Впрочем, пока не до конца понятно: это полная капитуляция или тактическое отступление.
Как защититься от коммерческого шпионского ПО
Полностью защититься от атак с использованием коммерческого шпионского ПО, как правило, непросто. Но можно как минимум затруднить атакующим их задачу. Для этого стоит следовать этим рекомендациям:
- Оперативно обновляйте программное обеспечение на всех ваших устройствах. В первую очередь — операционные системы, браузеры и приложения систем обмена сообщениями.
- Не переходите по подозрительным ссылкам — одного визита на сайт может быть достаточно для заражения вашего устройства.
- Используйте VPN для маскировки своего интернет-трафика — это защитит от перенаправления на вредоносный сайт в момент просмотра HTTP-страниц.
- Регулярно перезагружайтесь — часто шпионское ПО не может навсегда закрепиться в зараженной системе, и перезагрузка позволит от него избавиться.
- Установите надежное защитное решение на все ваши устройства.
По материалам Касперский