Een ongeëvenaard geavanceerde iPhone-hack is net ontdekt bij een activist

In de ochtend van 10 augustus kreeg Ahmed Mansoor, een 46-jarige mensenrechtenactivist uit de Verenigde Arabische Emiraten een vreemd smsje van een nummer dat hij niet herkende.

"Nieuwe geheimen over martelingen van Emiratis in staatsgevangenissen," las het bericht, dat ook een link bevatte.

Mansoor was eerder al slachtoffer geweest van overheidshackers die commerciële spionagesoftware van FinFisher en Hacking Team gebruikten. Hij was achterdochtig en klikte niet op de link. In plaats daarvan stuurde hij de link door naar Bill Marczak, een onderzoeker bij Citizen Lab, een privacywaakhond bij de Universiteit van Toronto.

Het bericht bleek inderdaad niet pluis te zijn. De link leidde niet naar geheimen over martelingen, maar naar een zeer geavanceerd stuk malware dat drie onbekende kwetsbaarheden in Apple's iOS gebruikte. Hiermee zouden de aanvallers volledige controle over Mansoor's iPhone kunnen krijgen, volgens een nieuw rapport van Citizen Lab en mobiel beveiligingsbedrijf Lookout.

Dit is de eerste keer dat iemand zo'n aanval in het wild heeft gevonden. Tot op deze maand had niemand spionagesoftware gezien die drie onbekende bugs, of zero-days, in de iPhone toepaste. De tools en technologie die nodig zijn om een dergelijke aanval – in feite op afstand een iPhone jailbreaken – uit te voeren kunnen een miljoen dollar waard zijn. Nadat de onderzoekers Apple op de hoogte brachten, heeft het bedrijf hard gewerkt om een fix uit te rollen in een update die sinds gisteren beschikbaar is. Download die.

De vraag is, wie zat er achter de aanval en hoe hebben ze het voor elkaar gekregen?

Het lijkt erop dat het bedrijf dat de spyware en zero-days leverde een vrij onbekend Israelisch surveillancebedrijf is dat NSO Group heet. Mike Murray, hoofdonderzoeker bij Lookout, noemde het bedrijf "in feite een cyberwapenhandelaar."

De onderzoekers bij Citizen Lab en Lookout waren onder de indruk van deze nooit eerder vertoonde soort malware.

"We beseften dat we iets hadden dat niemand ooit in het wild had gezien. Een klik op een link om een iPhone in een stap te jailbreaken," vertelde Murray aan Motherboard. "Een van de meest geavanceerde stukken cyberspionagesoftware die we ooit hebben gezien."

Sinds de oprichting in 2010, heeft NSO de reputatie ontwikkeld dat ze geavanceerde malware kunnen leveren aan overheden die mobiele telefoons als doelwit hebben. Het gebruik van hun tools is echter nooit eerder gedocumenteerd Het bedrijf claimt dat hun producten compleet onzichtbaar zijn, als een "spook." Het bedrijf is zo terughoudend geweest over hun waren dat ze nooit een website hebben gehad, en zelden interviews hebben gegeven. Er is wel wat informatie gelekt, waaronder een investering van $120 miljoen door durfinvesteerders uit de VS in 2014 en een vermeende waardering van $1 miljard.

NSO's malware, dat het bedrijf Pegasus heeft genoemd, is ontworpen om stilletjes een iPhone te infecteren. Vervolgens kan alle data op de iPhone gestolen en onderschept worden, naast alle communicatie die ermee gedaan wordt.

"Het steelt alle informatie op je telefoon, onderschept elk gesprek, onderschept elk bericht en steelt alle e-mails, contacten en Facetime. Het maakt een achterdeurtje in elk communicatiemechanisme dat je op de telefoon hebt," legt Murray uit. "Het steelt alle informatie uit de Gmail-app, alle Facebook-berichten, alle Facebook-informatie, je Facebook-contacten, alles van Skype, WhatsApp, Viber, WeChat, Telegram – noem maar op."

Marczak en John Scott-Railton, de onderzoekers van Citizen Lab die de malware als eerst onder ogen kregen, analyseerden de software met hulp van Murray en zijn collega's bij Lookout. De onderzoekers klikten op de link die Mansoor deelde op hun eigen proefkonijn-iPhone en infecteerden deze met Pegasus. Zo konden ze precies zien waar de malware voor ontworpen was.

Deze aanval op Mansoor en een andere aanval die Citizen Lab kon terugvoeren naar een journalist in Mexico, toont datHacking Team en FinFisher niet de enige spelers zijn in de groeiende markt van privébedrijven die hackdiensten leveren aan overheden. Het toont ook dat de klanten van deze bedrijven – vaak repressieve overheden die activisten en critici als doelwit hebben – niet bang zijn om de peperdure software in te zetten.

"Dit toont de ongelofelijk macht van journalisten en activisten die dit soort extreem dure spyware aantrekken," zei Railton.

Uiteindelijk zou dit een voorteken kunnen zijn.

De mensen op wie deze spyware vandaag gericht is – dissidenten, activisten – dat zijn het soort mensen op de frontlinie van wat er voor ons allemaal aankomt. Ze zijn kanaries in de kolenmijn," zei Marczak. "De bedreigingen waar zij nu mee omgaan, is de misschien de bedreigingen waar wij allemaal in de toekomst mee om moeten gaan."

Een woordvoerder van NSO weigerde antwoord te geven op specifieke vragen over het rapport. In een voorbereid statement zegt het bedrijf dat ze "geen kennis hebben van en geen bevestiging kunnen geven over de zaken in het rapport."

HOE NSO GEPAKT WERD

Eerder dit jaar onthulde Citizen Lab een nieuwe, geavanceerde hackgroep die ze Stealth Falcon noemden. De onderzoekers konden het niet bevestigen, maar ze vermoedden dat Stealth Falcon gelinkt was aan de overheid van de VAE en dissidenten binnen en buiten het land als doelwit had.

Als onderdeel van hun onderzoek naar Stealth Falcon kon Citizen Lab een groot deel van de infrastructuur van de groep in kaart brengen, waaronder de servers en domeinen die Stealth Falcon gebruikte om data te stelen. Maar de onderzoekers konden geen monsters vinden van de software die de hackers gebruikten. Dat veranderde op 10 augustus, toen Mansoor het verdachte bericht aan Marczak stuurde.

Toen Marczak en Scott-Railton er naar konden kijken, konden ze ook het kronkelige online pad volgen. Zo kwamen ze erachter dat de spyware communiceerde met een server en een IP-adres dat ze gelinkt hadden aan Stealth Falcon's infrastructuur. Toen vonden ze dat een server van een NSO-werknemer naar hetzelfde IP-adres leidde.

De ontwikkelaars van de malware hadden ook een sprekend stukje code achtergelaten: "PegasusProtocol," een referentie aan de codenaam van NSO's spyware, Pegasus. De onderzoekers vonden toen nog meer domeinen die gelinkt konden worden aan NSO of hun klanten. Deze waren "verontrustend genoeg" vaak ontworpen om te lijken op humanitaire organisaties zoals het Rode Kruis of op nieuwsmedia.

Onderzoekers hebben dus eindelijk voor eerst een glimp opgevangen van de kracht van het bedrijf. Sinds de oprichting in 2010, heeft NSO een bijna legendarisch aura opgebouwd, vol onbevestigde geruchten over hun kracht, terwijl ze relatief onbekend bleven bij het grote publiek. De leidinggevenden praten zelden met de pers en de weinige artikelen die over het bedrijf zijn geschreven zitten vol vage omschrijvingen en onbevestigde geruchten.

"We zijn een spook," zei NSO mede-oprichter Omri Lavie aan Defense News, een militair vakblad, in 2013.

Een kort profiel uit 2014 in The Wall Street Journal meldde dat NSO hun producten aan de Mexicaanse overheid verkocht en interesse wekte bij de CIA. Hun spionagesoftware werd overal ter wereld verkocht.

Nu hun spyware bloot ligt en hun zero-days bekend zijn, kan NSO niet meer beweren dat ze een spook zijn. Al is het natuurlijk mogelijk dat het bedrijf meer zero-days en tools bezit. Dat is waarom onderzoekers niet verwachten dat hun rapporten en de patch van Apple ervoor gaan zorgen dat NSO stilgelegd wordt.

"We gaan NSO niet bankroet maken door deze kwetsbaarheden te patchen," zei Murray.

De malware is bovendien geprogrammeerd met settings die helemaal teruggrijpen naar iOS 7, wat aangeeft dat NSO waarschijnlijk al sinds de iPhone 5 iPhones kan hacken.

Woordvoerder van NSO Zamir Dahbash zei in een verklaring "het is de missie van dit bedrijf om de wereld veiliger te maken door goedgekeurde overheden te voorzien van technologie die hun helpt om terreur en criminaliteit te bestrijden."

"Het bedrijf verkoopt alleen aan goedgekeurde overheidsdiensten en voldoet volledig aan de stricte exportwetten en -regulaties. Bovendien opereert het bedrijf NIET hun systemen; het is puur een technologiebedrijf," las het statement. "De overeenkomsten met klanten van het bedrijf vereisen dat de producten alleen op wetmatige wijze worden ingezet. De producten moegen alleen gebruikt worden voor de preventie en het onderzoek van misdaden."

APPLE REAGEERT

De onderzoekers bij Citizen Lab en Lookout namen contact op met Apple zodra ze de zero-days vonden. Het duurde ongeveer 10 dagen voordat Apple een patch kon ontwikkelen en releasen. De patch is nu live als onderdeel van de iOS 9.3.5 update, die elke iPhone-gebruiker zo snel mogelijk zou moeten installeren.

Dan Guido, CEO van cyberbeveilingsbedrijf Trail of Bits, die veel werkt met Apple-systemen zei dat deze aanvallen te verwachten zijn. Uiteindelijk gelooft Guido wel dat de iPhone een veiliger alternatief is dan bijvoorbeeld Android.

"Het probleem is alleen dat je de paranoïde mensen van onze vrienden bij Citizen Lab nodig hebt om te detecteren of je malware hebt," voegt hij toe.

ANDERE SLACHTOFFERS

De onderzoekers hebben nog geen andere monsters van Pegasus kunnen vinden. Maar bij het zoeken naar soortgelijke links en domeinen, vonden ze wel een tweet die onbekende doelwitten in Kenya target, en een aanval op de Mexicaanse onderzoeksjournalist Rafael Cabrera.

Me han llegado estos dos supuestos mensajes de UnoTV desde este número: (55) 6106 7277. No es gracioso pic.twitter.com/JXZbXQAzOv
— Rafael Cabrera (@raflescabrera) August 30, 2015

Cabrera werd vorig jaar voor het eerst doelwit van NSO's spyware en nogmaals in mei dit jaar. Bij de laatste aanval probeerden hackers hem over te halen om op een link te klikken met de belofte van geheimen over corruptie bij de overheid, een waarschuwing over een telefoonrekening van $500 en zelfs met een link naar een sekstape van zijn vrouw die vreemd zou gaan. Hij zegt dat hij nooit op een van die links heeft geklikt.

"Het is duidelijk dat ze wilden dat ik klikte," vertelt Cabrera aan Motherboard. "Je zou zelfs kunnen stellen dat ze wanhopig waren."

Cabrera wilde niet speculeren over wie de hackers nou eigenlijk waren. De Mexicaanse overheid zit wel bij de vermeende klanten van NSO, maar het is onduidelijk of er een politie- of spionagedienst in het land is die gebruikt maakt van de software. Mexico was trouwens ook de grootste klant van Hacking Team, en sommige van hun diensten gebruikten de spyware op journalisten en activisten, in plaats van criminelen.

Uiteindelijk werden Cabrera en Mansoor niet gehackt, omdat ze te slim waren voor de trucjes van de hackers.

Maar hun verhalen zijn misschien een waarschuwing van wat er komen gaat. Als overheden hackingtools willen en er genoeg voor willen betalen, dan zullen er bedrijven als NSO en Hacking Team zijn die ze leveren. In het verleden heeft Citizen Lab verschillende aanvallen gedocumenteerd tegen dissidenten, journalisten en mensenrechtenactivisten door overheden over de hele wereld, met tools die vergelijkbaar waren aan die van NSO. En ondanks hun publicaties over deze aanvallen, vinden de onderzoekers bij Citizen lab telkens weer nieuwe aanvallen, soms door dezelfde overheden, soms zelfs op dezelfde mensen.

"Er is geen reden voor bedrijven van NSO om deze tools uit handen van stelselmatige misbruikers zoals de VAE te houden," zei Marczak.

Dit is ook het eerste teken van de opkomst van een nieuwe superspeler in de wereld van spionagesoftware. NSO heeft de potentie om te groeien na de hacks op FinFisher en Hacking Team, die tot nu toe de meest bekende en beruchte cyberwapenhandelaars zijn.

Het engste is misschien nog wel dat dit allemaal niet bekend zou zijn als Mansoor op 10 augustus op die link geklikt had.