위험한 아이폰 제로데이 익스플로잇, 정부 해커들에 의해 사용되었으나 애플에 의해 패치됨

개인정보와 관련하여 정부 기관들은 항상 법의 올바른 편에 있지 않았습니다. 사실, 스노든 폭로가 큰 영향을 미친 이유도 바로 이 때문입니다. 8월 10일, 아랍에미리트의 인권 활동가인 아흐메드 만수르는 그의 아이폰에서 알 수 없는 번호로부터 이상한 메시지를 받았습니다. 이 메시지는 “국가 감옥에서 에미리트인에 대한 고문에 대한 새로운 비밀“이라는 클릭 유도 하이퍼링크가 포함되어 있었습니다.

만수르는 이전에 상업적으로 이용 가능한 제품을 사용하는 정부 해커들의 피해자였으며, 이 링크는 그를 더욱 의심하게 만들었습니다. 이 활동가는 다음으로 이 메시지를 시민 연구소의 연구원인 빌 마르차크에게 전달했습니다. 가까운 거리에서 검토한 결과, 만수르의 의심이 맞다는 것이 추가로 확인되었습니다. 이 메시지는 정교한 악성코드를 담고 있는 덮개에 불과했습니다. 이 악성코드는 사실상 세계에 알려지지 않은 애플의 iOS에서 세 가지 서로 다른 취약점을 악용하는 삼중 위협이었습니다(현재는 패치됨).

시민 연구소와 모바일 보안 회사인 룩아웃의 보고서에 따르면, 공격자는 만수르가 링크를 열었을 경우 그의 아이폰에 완전한 접근 권한을 얻을 수 있었던 것으로 확인되었습니다. 보안 회사들은 이 악성코드를 “우리가 본 것 중 가장 정교한 사이버 스파이 소프트웨어 중 하나“라고 말했습니다. 제로데이 또는 아이폰의 알려지지 않은 버그를 악용하는 것은 뒷골목 해커의 작품이 아닙니다. 우리는 백만 달러에 달하는 도구가 이 공격에 중요한 역할을 했다는 것을 인식해야 하며, 이는 원격으로 아이폰을 탈옥하는 것을 포함합니다.

사이버 범죄자들은 조직된 범죄 집단의 가면을 쓰고 있으며, 사실상 공급업체들이 소프트웨어 서비스(SaaS)처럼 랜섬웨어를 서비스로 제공하고 있다는 사실이 이전에 밝혀졌습니다. 돌아가서, 해커들에게 제로데이 익스플로잇을 공급한 회사(하나라고 부르는 것이 안전함)는 이스라엘에 본사를 둔 저명하지 않은 감시 업체인 NSO 그룹입니다.

NSO는 정부에 정교한 악성코드를 공급하는 것으로 악명이 높으며, 피해자의 스마트폰을 겨냥하는 동안 항상 폐쇄된 문 뒤에 남아 있었습니다. 사업의 성격을 고려할 때 이 회사는 대부분 스텔스 모드에 있었지만 최근 유출된 정보에 따르면 12억 달러의 평가액으로 1억 2천만 달러의 자금을 조달받았으며, 다시 한 번 큰 금액의 돈이 오가는 것은 그들의 미래 익스플로잇에 대한 문제를 더욱 부각시킵니다.

룩아웃의 부사장인 마이크 머리는 이 전체 에피소드에 대해 매우 활발하게 반응했으며, 그는 자신의 말로 악성코드를 이렇게 설명했습니다. “기본적으로 당신의 전화에 있는 모든 정보를 훔치고, 모든 전화를 가로채고, 모든 문자 메시지를 가로채고, 모든 이메일, 연락처, 페이스타임 통화를 훔칩니다. 또한 전화에서 가지고 있는 모든 통신 메커니즘에 백도어를 설치합니다.” 그는 또한 “Gmail 앱의 모든 정보, 모든 페이스북 메시지, 모든 페이스북 정보, 당신의 페이스북 연락처, Skype, WhatsApp, Viber, WeChat, Telegram의 모든 것을 훔칩니다. 당신이 이름을 대면 됩니다”라고 덧붙였습니다.

연구자들은 그들의 데모 아이폰을 사용하여 악성코드가 장치를 감염시키는 방식을 밝혀냈습니다. 또한 정부 기관들이 취한 우울한 조치는 기자, 활동가 및 반체제 인사들이 보호하는 정보의 종류를 보여줍니다. 오늘날 이러한 위협에 직면하는 것은 종종 이러한 사람들입니다. 그러나 임박한 미래에는 당신과 나와 같은 일반 시민들도 그럴 수 있습니다.

추적

NSO가 어떻게 발각되었는지는 악성코드가 어떻게 설계되었는지를 더욱 전파하는 일련의 사건으로 설명할 수 있습니다. 8월 10일까지 연구자들은 해커들이 사용한 악성코드 샘플을 찾을 수 없었습니다. 만수르가 그들에게 이끌어주기 전까지는 말입니다. 링크를 검토한 후, 그들은 스파이웨어가 서버와 IP 주소로 다시 통신한다는 것을 깨달았고, 다행히도 그들은 과거에 이를 지문 인식했습니다. 그들에게 도움이 된 것은 NSO 직원에게 등록된 또 다른 서버가 동일한 IP 주소를 가리켰다는 것입니다.

연구자들이 실제 악성코드에서 “PegasusProtocol”이라는 코드 문자열을 보았을 때 상황이 더욱 명확해졌습니다. 이는 즉시 NSO의 스파이웨어 코드명인 페가수스와 연결되었습니다. NSO는 월스트리트 저널에 의해 프로파일링되었으며, 비교적 짧은 설명에서 이 회사는 멕시코 정부에 그들의 제품을 판매하고 있으며 CIA로부터도 일부 압박을 받고 있다고 밝혔습니다. 애플이 이미 취약점을 패치했기 때문에 문제의 제로데이는 제거되었습니다. 그렇다고 해도 NSO가 여전히 이러한 것들 중 일부를 보유하고 있을 가능성이 있으며 현재의 폭로가 그들의 작업을 파괴할 것이라고 가정하는 것은 안전할 것입니다.

애플 패치

애플의 패치는 iOS 9.3.5에 포함되어 있으며, iOS 사용자는 즉시 장치를 업데이트할 것을 권장합니다. 사이버 보안 회사의 CEO인 댄 기도는 이러한 종류의 공격이 거의 드러나지 않으며 “야생”에서 거의 잡히지 않는다고 말합니다. 멕시코는 전 세계 해킹 팀의 최고의 고객인 것 같으며, NSO와 같은 조직들은 이를 다음 단계로 끌어올리고 있습니다.

피해자와 시도

https://twitter.com/raflescabrera/status/638057388180803584?ref_src=twsrc%5Etfw

만수르는 이 스파이웨어의 유일한 피해자가 아니며, 이전에는 멕시코 기자인 라파엘 카브레라가 유사한 메시지를 받았습니다. 만수르와 마찬가지로 라파엘에게 전송된 메시지도 클릭 유도 제목으로 장식되어 있었습니다. 만수르와 라파엘은 모두 공격을 피한 것처럼 보이며, 그들은 자신의 뒤를 살펴보는 데 익숙한 사람들입니다. 이는 대부분의 사람들이 갖고 있지 않은 특성입니다. 결론적으로 완전한 개인 정보 보호는 신화인 것 같으며 이러한 공격으로부터 보호하는 것은 거의 불가능합니다. 스마트폰 제조업체가 그들의 전화기를 안전하게 만들기 위해 더 많은 자금을 배정할 수 있지만 사이버 무기에 대한 수요도 증가할 것입니다. 우리는 시민 연구소와 같은 회사의 연구자들이 이러한 해킹을 폭로하고 일종의 부흥을 확립하기 위해 긴장하고 있기를 바랍니다.