以色列“飞马”间谍软件攻击事件的综合分析

2021 年 7 月， 以色列间谍软件“监听门”事件成为国际焦点。这款间谍软件以神话中的“飞马”（Pegasus）命名， 由以色列网络武器公司 NSO Group 开发，可以“通过空中飞行”感染手机，它可以秘密安装在运行大多数版本的 iOS 和 Android 的手机（和其他设备） 上。“飞马”攻击事件经媒体曝光后，国际舆论一片哗然，在国际社会引起轩然大波，影响巨大，被称为 2021 年度的一大标志性事件。

一、“飞马”攻击事件的重大性分析

“飞马”间谍软件攻击事件无论是从监听范围，还是从监视对象的身份等多个方面来看，都是一起性质十分严重的信息窃听事件。

1.监听对象涉及多国元首和政界要员

2021 年 7 月 18 日， 华盛顿邮报、卫报、世界报等全球 10 个国家的 17 家国际知名媒体机构与非政府组织“禁忌故事”和国际特赦组织合作，对“飞马”软件调查数月之后共同发表了一项调查报告，揭露了一个重大信息： 多个国家元首和政界要员都受到了这款软件的监听，监听对象有至少 14 位政界的重量级人物， 其中包括：法国总统马克龙、伊拉克总统萨利赫、南非总统拉马福萨、巴基斯坦总理伊姆兰汗、埃及总理马德布利、摩洛哥首相奥斯曼尼、阿尔及利亚前总理努尔丁•贝杜伊、 黎巴嫩总理萨阿德•哈里里等。此外， 还有一大批各个国家的王室成员、政府官员、企业高管、著名人士、媒体记者等公众人物，包括中国在内的多国驻印度外交官。不难看出，监视活动的目标有着鲜明的政治指向性。

2.监听范围高达 50 多个国家和地区

多伦多大学研究机构公民实验室开展一项长达两年的研究指出，“飞马”间谍软件可能在全球超 50 个国家和地区开展业务， 它和超过1000 个 IP 地址之间存在关联。据称， 目前有超过 5 万个号码在“飞马” 监视的列表中，有上千个电话号码的所有者身份已被确定。对泄漏数 据的分析和对该软件的取证调查显示， 至少 11 个国家从该公司购买了 监视软件，包括阿塞拜疆、巴林、匈牙利、印度、哈萨克斯坦、墨西 哥、摩洛哥、卢旺达、沙特阿拉伯、多哥、阿拉伯联合酋长国。另据 媒体最新披露，德国政府私下承认其购买飞马间谍软件，采购此间谍 软件的是德国联邦刑事警察局用来进行特殊目的监控。

3.攻击时间持续数年之久

根据国际特赦组织发布的计算机追踪取证研究报告显示，“飞马”攻击从 2014 年开始，一直持续到 2021 年 7 月媒体曝光之时。它采用的攻击方式是不需要来自目标的任何交互的所谓“零点击”攻击。而且，自 2016 年以来，“飞马”间谍软件交付和收集数据的域名、服务器和基础设施已经发展了几次，不断重组了其基础结构、引入了额外的层，让攻击被发现变得更加困难和复杂。

4.攻击能力超乎寻常

“飞马”间谍软件的攻击能力超乎寻常，它能够远程和秘密地从几乎任何移动设备中提取有价值的情报，可以在不需要点击的情况下侵入手机自动激活，提取包括照片、定位、密码、通话记录、联系人信息等手机上的数据，还能悄悄打开摄像头和麦克风，实时监控机主的一切活动；监听时间则长短不一，短时甚至只有几秒。据悉，该软件可以躲避苹果和安卓系统的防御手段，几乎不会留下攻击的痕迹。任何常用的隐私保护措施，如强密码或加密，对它都没有作用。媒体使用了“军事级间谍程序”、“目前为止最危险的间谍软件之一”、“有史以来最强大的间谍软件”、“达到无所不能的地步”等措词来形容这款软件的强大。

二、“飞马”软件的技术特点分析

在应对当今高度动态的网络战场上的新通信拦截挑战时，相对于被动拦截、战术 GSM 侦听、恶意软件等这类标准解决方案，“飞马”软件利用了情报和执法机构专业人员专门开发的一系列尖端技术，弥合了巨大的技术差距，它提供了一组丰富的高级特性和标准拦截解决方案中无法提供的复杂情报收集功能，具有以下独特的技术亮点：

1.数据收集的全面性

“飞马”软件主要通过四种方法来实现数据收集：（ 1）数据提取：在代理安装时提取设备上存在的全部数据；（ 2）被动监测： 监测设备的新到达数据；（ 3）主动采集： 激活摄像头、麦克风、 GPS 等元素，实时采集数据；（4）基于事件的收集：定义自动触发特定数据收集的方案。通过使用这四种收集方法，“飞马”软件可以实现广泛的数据收集，类型包括文本、音频、可视化信息、设备位置信息等，可提取设备上所有现有的数据；能够阅读短信、跟踪电话、收集密码、跟踪位置，访问目标设备的麦克风和摄像头，并从应用程序收集信息，从而提供十分全面和完整的网络情报收集。

2.数据传输的安全性

“飞马”软件实现了最高效、最安全的实时数据传输， 数据以隐藏、压缩和加密的方式发送回“飞马”服务器。其代理和服务器之间的所有连接都采用了强算法加密，并相互验证，传输的数据使用 AES128位加密；其代理安装在设备的内核级别，隐藏良好，代理与中心服务器之间的通信是间接的（通过匿名网络）， 因此溯源难度大， 防病毒和反间谍软件无法追踪；发生暴露风险时具有自毁机制。

3.数据表示与分析的可操作性

“飞马”系统提供了一套操作工具， 这些工具包括：地理分析工具，可跟踪目标的实时和历史位置，查看地图上的多个目标；规则和警报工具，可定义规则，在重要数据到达时生成警报；收藏夹，可标记重要和喜欢的事件，以便后续回顾和更深入的分析；情报仪表板，查看目标活动的亮点和统计； 实体管理， 按利益集团管理目标（例如，毒品、恐怖、严重犯罪、地点等）； 时间线分析工具， 回顾和分析从特定时间框架收集的数据；高级搜索工具，对术语、名称、代码词和数字进行搜索，以检索特定信息。通过上述工具可帮助组织将数据转化为可操作的情报，对收集到的数据进行查看、排序、筛选、查询和分析。

三、“飞马”软件的攻击能力分析

“飞马”是一款能实现无感知、难溯源、长期持续、精准定向的网络入侵、监听、攻击活动的强大间谍软件，具有跟踪、监听和间谍渗透的“全面能力”。其攻击能力主要有以下特点：

1.远程静默注入能力

在设备上注入和安装代理是对目标设备进行情报操作的最敏感和最重要的阶段。“飞马”系统具有空中（ OTA）远程安装的独特能力，它能够将消息远程秘密地发送到移动设备。此消息触发设备下载并在设备上安装代理。在整个安装过程中，不需要目标的合作或参与（例如， 单击链接， 打开消息）， 不需要在任何阶段对目标或设备物理接近，设备上也没有任何指示。安装是完全无声和隐形的， 不能被目标阻止，从而实现无与伦比的移动情报收集。

2.“零点击”攻击能力

“飞马”攻击的一个最大特点是它能实现“零点击”（“zero-click”）攻击，即不需要用户点击的情况下入侵手机并自动激活，不需要来自目标的任何交互；不用钓鱼网址，照样能对目标对象实施各项有针对性的间谍活动。而传统手机监听方式，攻击者先要获得系统权限并安装间谍软件，然后才能在远程进行控制与操作，在这个过程中，安装软件的步骤是可能被小心的用户发现或拒绝的。根据相关报告显示，在 2016 年至 2018 年间，“飞马”攻击策略是采用携带有恶意链接的短信实施鱼叉式网络钓鱼攻击。2018 年以后，攻击者的策略发生了改变，软件功能进化到可以无需使用这种方式，自 2018 年 5 月以来“飞马”零点击攻击开始频繁出现， 并一直持续到最近的 2021 年 7 月事件曝光之时。

3.超强渗透能力

“飞马”间谍软件能够渗透包括苹果、安卓、黑莓、塞班等智能手机系统； 监控大量应用程序， 包括 Skype、WhatsApp、Viber、Facebook和 Blackberry Messenger （ BBM）。攻破的服务平台包括苹果、谷歌、Amazon 和微软。软件可以复制谷歌云端硬盘、 FB Messenger 和 iCloud的授权密钥，允许另外的服务器模拟成官方服务器来欺骗手机。如果用户没有开启两步验证，攻击者可以直接获得云端数据。

4.抗攻击溯源能力

“飞马”系统具有的自毁机制使得攻击源头难以暴露， 追踪溯源很困难。当代理存在很大可能暴露风险时，系统能够自动启动自毁机制并卸载代理，然后伺机再次安装；当代理没有响应并且长时间没有与服务器通信的情况下， 代理将自动卸载， 以防止暴露或滥用。此外，“飞马”的匿名传输网络（ PATN）还利用了某些技术来避免传统的网络扫描，从而实现攻击后在设备上不留痕迹。

四、“飞马”重大攻击事件回溯

近年来，“飞马”间谍软件实施了一系列重大攻击。

1.2016 年

2016 年 8 月，“飞马”软件对 iPhone 设备实施攻击。“飞马”利用3 个当时未被发现的 iOS 系统“0day”漏洞， 攻破了当时号称最安全的 iOS 系统而“一战成名”被众人知晓。谷歌最初于 2016 年底发现安卓 版“飞马”的蛛丝马迹， 当时整个 14 亿台安卓设备中只有少量被“飞 马”感染。与 iPhone 版本一样， 安卓版“飞马”包含高度复杂和先进 的功能， 其可以通过短信息控制， 并具有自毁能力。 iPhone 版“飞马” 检测到越狱后会自行删除，但安卓版的“飞马”在发现自己在特定时 间内无法连接到命令与控制（ C2）服务器时， 或感觉自己会被检测到 时，就会自行删除。

2.2017 年

摩洛哥拉巴特穆罕默德五世大学的历史教授马蒂•蒙吉布被黑客入侵。此后， 马蒂•蒙吉布又遭受了至少四次黑客攻击， 每次攻击都比以前更先进。

3.2018 年

（1）2018 年，国际特赦组织称其一名员工遭到了 NSO 软件的恶意攻击，称一名黑客试图用 WhatsApp 上一条信息作为诱饵，侵入该员工的智能手机。（2）2018 年 12 月， 沙特政治家阿卜杜勒阿齐兹的律师将以色列国防部合同商、监控科技公司 NSO 集团告上法庭。在法庭文件中， 阿卜杜勒阿齐兹声称， NSO 的“飞马”软件产品入侵了他的手机，监控他和卡舒吉的通讯，违反国际法。

4.2019 年

2019 年，即时通讯软件 WhatsApp 发现“飞马”通过其软件通话功能漏洞获取了约 1400 部用户手机的信息， 这些用户遍布四大洲， 包括外交官、记者和政府高级官员。 WhatsApp 母公司脸书正式在美国起诉 NSO 集团，称其利用“飞马”软件协助多个国家入侵用户手机。WhatsApp 对其进行起诉。

5.2020 年

2020 年 7 月和 8 月，“飞马”间谍软件入侵半岛电视台记者、制片人、主播和高管等人的共 36 部个人手机。总部位于伦敦的 Al Araby电视台的一名记者的私人电话也被黑客入侵。

6.2021 年

2021 年 7 月，“飞马”的最新版本利用多个零日漏洞对最新 iOS版本（ iOS 14.6）具有完整补丁的 iPhone 12 成功实施了零点击攻击。

除了以上攻击事件之外，“飞马”间谍软件还被 APT 攻击组织使用。2019 年，有公司在追踪在黄金雕（APT-C-34）相关攻击事件时，曾在 攻击者的基础设施中发现“飞马”的培训文档， 其中还包括与 NSO 相 关的合同信息， 采购时间疑似在 2018 年。依靠“飞马”网络武器， 黄 金雕（APT-C-34）组织具备针对 IPhone、Android 等移动设备使用 0day漏洞的高级入侵能力。

五、“飞马”事件后的各方反应

1.NSO 集团的回应

NSO Group 并未否认其间谍软件的存在， 在回应 17 家媒体调查报告时表示，他们在允许客户使用其间谍工具之前严格审查了其客户的人权记录。它说军用级“飞马”只能用于防止严重犯罪和恐怖主义。NSO 表示，其采购客户政府是通过签署合同和许可证投标的，同意使用条款，并在合同上仅限于合法的犯罪或恐怖主义目标。一旦出售，NSO Group 表示它不知道也无法看到其客户政府如何使用其间谍软件。出于合同和国家安全方面的考虑， NSO 无法确认或否认其政府客户的身份。公司的所有者断然驳斥了所有指控，称相关电话号码列表与该间谍软件无关。

2.以色列政府的回应

据多家以色列媒体报道，为了应对“飞马”软件被曝光后引发的风波，以色列政府 7 月成立了一个跨部门特别小组，该小组由以色列国防部、司法部、外交部、军事情报部门和情报和特勤局（摩萨德）代表组成，调查滥用“飞马”进行监视和黑客攻击的指控，确定是否需要对敏感的网络技术出口进行“政策调整”。同时， 以色列政府否认有机会获得由 NSO 的客户收集的信息。

3.美国政府的反应

11 月 3 号， 美国商务部宣布美国政府已经制裁了四家主要的开发和销售间谍软件和其他黑客工具的公司，其中就包括以色列的 NSOGroup 公司（其它三家分别是： 以色列的 Candiru、俄罗斯安全公司Positive  Technologies   和 新 加 坡 的 Computer   Security   InitiativeConsultancy （CSIC））。这是美国商务部继 10 月 20 日发布新的出口管制规定，要求各企业除非获得商务部许可，禁止向中俄等国出售黑客工具的时隔不到两周扔下的“第二只靴子”。商务官员表示， NSO Group和 Candiru “开发并向外国政府提供间谍软件， 这些软件使用这些工具恶意针对政府官员、记者、商人、活动家、学者和大使馆工作人员。”

美国官员表示，这些工具被外国政府滥用，在这些政府主权边界之外对持不同政见者、记者和活动家进行跨国监控。这四家公司已被添加到目前由美国商务部工业和安全局（ BIS）维护的恶意网络活动实体名单中。美国公司和机构在购买、出口或转让这四家公司开发的任何网络工具之前，必须获得 BIS 的特别许可。商务部没有透露它用来制裁这四家公司的细节和证据，

4.其他国家政府的反应

随着事件不断发酵，法国、阿尔及利亚、匈牙利、印度、哈萨克斯坦、摩洛哥、巴基斯坦、卢旺达、沙特阿拉伯、阿拉伯联合酋长国等多国政府反应不一。法国方面已经对此事件开展调查，马克龙随即改变了他的电话号码并更换了他的电话。此外，他还下令对安全程序进行大修。同时， 法国情报机构（ANSSI）证实， 在三名记者的电话中发现了“飞马”间谍软件，这是独立和官方机构首次证实调查结果。摩洛哥否认了其监听法国总统的相关指控。其他多国纷纷下令调查此间谍软件的监听行为。

六、几点启示

1.间谍软件已成为一种强大的网络攻击武器

“飞马”间谍软件攻击事件，让我们认识到了间谍软件超强的杀伤力。当前，间谍软件的技术水平在不断地更新迭代，监控功能的强大已经超过了我们的想象。网络间谍的战法出现了新的变化， 堪称“军用级”的网络武器。它跟 2010 年以色列研发的“震网”（Stuxnet）病毒软件摧毁伊朗核设施一样，堪称里程碑事件，值得从多方面进行深入研究。

2.监控已超越传统行为变得更具普遍性

“飞马”攻击事件， 与 2013 年斯诺登曝光的“棱镜”监控计划相比，可以发现，现在的监控已经超越了传统的监控行为，实现了对人们手机的入侵，这种情况更可怕。说明当前的监控工具更具普遍性，监控科技与产品已形成一个产业，其销售和转移已在全球形成一个产业链。以色列的 NSO 公司以及其开发的“飞马”间谍软件只是其中一个缩影而已。“飞马”本身就是一款普通的 APP，混杂于数以千万乃至上亿的应用软件中，互联互通的网络环境让其具有普遍撒网波及全球的影响力。

3.间谍软件的即时检测和发现亟待技术和制度保证

“飞马”这一类的间谍软件，由于采用了十分先进的技术，可以隐藏数年不被发现，更难以溯源。因此，即时检测和发现就成为防范这类间谍软件的关键。首先从技术上需要提升间谍软件的检测发现能力。这次攻击事件曝光后， 国际特赦组织就是通过相关技术实锤了“飞马”数年来的大规模监视，同时还公布了取证的技术细节，其中包括2018 年来该间谍软件感染目标的变化， 并且公布了与该间谍软件相关 的电子邮件、进程名、域名和 IOC。在发布报告后， 国际特赦组织还发 布了一个叫做移动验证工具（ MVT）的工具， 通过这个小小的工具， 可以识别潜在的泄露痕迹，避免手机在无异常下被植入“飞马”间谍 软件。这些技术均值得研究。其次，需要从管理和制度上把好各个“关 口”， 比如， 应该建立对外来 APP 的“隔离”机制， 待安全无害后， 才 允许使用，全面提升国家网络治理体系和治理能力现代化水平，有利 于及时阻断、发现、清除无孔不入的间谍软件。