За последние полтора года при форензике мобильных устройств я всё чаще нахожу артефакты коммерческого шпионского ПО в контекстах, не имеющих отношения к государственным операциям: корпоративный шпионаж, бытовой stalkerware, экономические конфликты. Разбираешь sysdiagnose-дамп через MVT - а оттуда лезут IOC-паттерны Pegasus и Predator там, где пять лет назад их не ожидал никто. Инструментарий уровня спецслужб расползся по рынку. Для пентестера при аудите мобильной безопасности это сдвигает модель угроз: теперь в ней не только государственный противник с неограниченным бюджетом, но и заказчик, купивший доступ к zero-click exploit iOS цепочке за сумму, сопоставимую с ценой хорошего автомобиля.
Бизнес-логика мобильного шпионского ПО: кому и зачем
Государственные акторы использовали коммерческие инструменты слежки для мониторинга журналистов, активистов и политических оппонентов. Citizen Lab и Amnesty International публично это подтвердили на основе утечки списка из ~50 000 телефонных номеров - потенциальных целей клиентов NSO. Форензический анализ Amnesty Security Lab нашёл заражение на десятках устройств из этого списка. Финальный импакт для жертвы - полная компрометация: сообщения, звонки, геолокация, камера, микрофон.Переход к криминальному использованию определяется экономикой. Вендоры коммерческого spyware - NSO Group, Candiru, Intellexa - продавали лицензии правительствам через официальные каналы. По данным Kaspersky, NSO Group позиционирует Pegasus как средство борьбы с терроризмом, а продажа лицензий иностранным правительствам требует одобрения израильского Минобороны. Но утечки исходников, ротация инженеров между вендорами и появление производных инструментов снизили порог входа. Результат - spyware-as-a-service, где эксплойт-цепочку можно получить без прямого контракта с NSO.
Юридическое давление нарастает. В декабре 2024-го федеральный суд Северного округа Калифорнии вынес summary judgment: NSO Group признана ответственной за нарушение CFAA, California CDAFA и breach of contract за эксплуатацию WhatsApp для атаки на ~1 400 пользователей в 2019 году. Ранее, в феврале 2024-го, другой суд обязал NSO передать исходный код Pegasus WhatsApp в рамках иска Meta. Эти решения бьют по легитимной части рынка, но параллельно подпитывают теневой: чем жёстче санкции против NSO, тем привлекательнее менее заметные вендоры без публичного профиля.
Для атакующего полная цепочка от iMessage до контроля устройства укладывается в пять этапов по MITRE ATT&CK: initial access через zero-click (T1189, Drive-by Compromise) -> выполнение эксплойта (T1203, Exploitation for Client Execution) -> повышение привилегий и sandbox escape (T1068, Exploitation for Privilege Escalation) -> сбор данных: перехват клавиатуры (T1056.001, Keylogging), захват экрана (T1113, Screen Capture), запись звука (T1123, Audio Capture), файловая система (T1005, Data from Local System) -> эксфильтрация по C2-каналу (T1041, Exfiltration Over C2 Channel).
Экосистема коммерческих инструментов слежки
Рынок surveillance-вендоров не ограничивается Pegasus. По данным Kaspersky, основные игроки и их возможности:
| Вендор | Продукт | Целевые ОС | Zero-click | Страна |
|---|---|---|---|---|
| NSO Group | Pegasus, Chrysaor | iOS, Android | Да | Израиль |
| Candiru | DevilsTongue, Sherlock | Windows, macOS, iOS, Android | Вероятно | Израиль |
| Cytrox / Intellexa | Alien, Predator | Android, iOS | Через Mars | Сев. Македония / Кипр |
| QuaDream | Reign | iOS | Да | Израиль |
| DSIRF | Subzero | Windows | Нет данных | Австрия |
| Variston IT | Heliconia | Несколько | Нет данных | Испания |
NSO Group, Candiru, Intellexa - кто поставляет zero-click exploit iOS
Pegasus spyware от NSO Group - эталон по адаптивности. С момента обнаружения в 2016 году (версия для iOS использовала три zero-day для jailbreak через клик по ссылке) инструмент прошёл несколько поколений эксплойт-цепочек. Эксплойт FORCEDENTRY (2021), обнаруженный Citizen Lab и детально разобранный Google Project Zero, атаковал iMessage через PDF с JBIG2-stream, замаскированный под GIF (CVE-2021-30860 в CoreGraphics). Apple закрыла уязвимости - NSO переключились на HomeKit (PWNYOURHOME), Find My (FINDMYPWN), затем на PassKit/ImageIO (BLASTPASS). Каждый раз при закрытии вектора вендор находил новый. Вот ключевое отличие от одноразовых эксплойтов: покупатель получает не конкретный exploit, а сервис с гарантией доступа.Для Android NSO создали Chrysaor - аналогичный по возможностям, но с другим вектором. Вместо zero-day использовались известные техники rooting (эксплойты, аналогичные Framaroot/Towelroot). Если root не удавался, Chrysaor запрашивал у пользователя разрешения для сбора хотя бы части данных. По данным Google, количество заражённых Android-устройств оставалось небольшим - десятки.
Predator от Cytrox / Intellexa работает двухкомпонентно: Alien ломает устройство, Predator устанавливает модули слежки. По данным Google Threat Analysis Group, Android-версия использовала цепочки с zero-day в Chrome и Android. Начальный вектор требовал клика по ссылке, zero-click доставка реализована через отдельный комплекс Mars. Intellexa основана Талем Дилианом, 24 года прослужившим в израильской военной разведке. Компания зарегистрирована на Кипре, дочерние структуры - в Израиле и Венгрии.
Candiru - самый скрытный вендор из всей компании. Нет публичного сайта, сотрудники не упоминают работодателя в LinkedIn, в здании офиса нет вывески. По расследованию Microsoft, DevilsTongue эксплуатировал zero-day уязвимости в Windows и Chrome. Инструмент Sherlock позиционируется как кросс-платформенная система для zero-click атак на Windows, iOS и Android одновременно. За Candiru стоят инвесторы, связанные с NSO Group.
Тренд, который стоит держать в голове: если раньше каждый вендор специализировался на одной ОС, теперь все стремятся к кросс-платформенности. Для пентестера это значит: компрометация рабочего ноутбука через DevilsTongue может быть подготовкой к атаке на iPhone того же пользователя через общий C2-канал.
Kill chain коммерческого шпионского ПО на iPhone
Полная цепочка атаки мобильного шпионского ПО на iOS - пять этапов от доставки до эксфильтрации.
Initial Access (T1189, Drive-by Compromise). Доставка эксплойта через iMessage. Zero-click означает: жертве не нужно кликать по ссылке - достаточно получить сообщение. iMessage автоматически обрабатывает вложения - изображения, PassKit-объекты, ссылки - создавая attack surface, контролируемый отправителем. Ранние версии Pegasus (2016) требовали перехода по ссылке, но начиная с FORCEDENTRY (2021) - полный zero-click.
Execution (T1203, Exploitation for Client Execution). Вредоносное вложение триггерит уязвимость в парсере: ImageIO, WebKit или компонент Wallet. Эксплойт получает выполнение кода в контексте процесса, обрабатывающего вложение -
imagent для iMessage, mediaserverd для медиа-контента.Privilege Escalation (T1068). Sandbox escape и получение kernel-level привилегий. На современных iOS это требует обхода PAC (Pointer Authentication Codes) и PPL (Page Protection Layer). Почему PAC не останавливает: PAC защищает от классических ROP/JOP-цепочек, но не от ошибок в логике парсеров, которые дают начальное выполнение кода. Operation Triangulation (2023) продемонстрировала обход аппаратной защиты памяти через недокументированные MMIO-регистры - уровень бюджета, превышающий возможности среднего криминального заказчика сегодня. Но утечки инсталляций и ротация экспертизы между вендорами сдвигают эту границу.
Collection (T1056.001, T1113, T1123, T1005). Модули сбора: перехват клавиатуры, захват экрана, запись микрофона и камеры, извлечение данных из приложений - iMessage, WhatsApp, Telegram, Signal, Gmail, Viber, Facebook, Skype. Pegasus читает сообщения до шифрования, перехватывая на уровне ввода и рендеринга, а не на уровне транспорта. Зашифрованные звонки записываются через аудиосистему. Шифрование канала бесполезно.
Exfiltration (T1041, Exfiltration Over C2 Channel). Данные уходят через многоуровневую анонимизирующую сеть Pegasus Anonymizing Transmission Network, схожую по архитектуре с Tor. Если связь с C2 потеряна более чем на 60 дней или spyware обнаруживает, что попал на нецелевое устройство (другая SIM-карта) - модуль самоуничтожается, зачищая артефакты.
BLASTPASS: цепочка CVE-2023-41061 + CVE-2023-41064
Цепочка BLASTPASS, раскрытая Citizen Lab в сентябре 2023 года, - последняя публично задокументированная zero-click цепочка Pegasus на тот момент. Две уязвимости, обе CVSS 7.8 HIGH.CVE-2023-41064 - переполнение буфера (CWE-120, Buffer Copy without Checking Size of Input) в компоненте ImageIO. Обработка специально сформированного изображения приводит к выполнению произвольного кода. Вектор CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - атака локальная, привилегии не нужны, но формально требуется действие пользователя. В контексте iMessage "действие" - автоматический рендеринг превью, что делает атаку де-факто zero-click. Затронуты: iOS 16.6.1, iPadOS 16.6.1, macOS Monterey 12.6.9, macOS Ventura 13.5.2, macOS Big Sur 11.7.10. EPSS - 0.1526, перцентиль 96.34% (Top 5% среди всех CVE в базе).
CVE-2023-41061 - ошибка валидации (CWE-20, Improper Input Validation) в компоненте Wallet. Специально сформированное вложение PassKit приводит к выполнению произвольного кода. CVSS идентичен: 7.8 HIGH. Затронуты: iOS 16.6.1, iPadOS 16.6.1, watchOS 9.6.2.
Уязвимости работали в связке: вредоносное сообщение iMessage содержало объект PassKit (CVE-2023-41061), который при обработке запускал уязвимость в ImageIO (CVE-2023-41064). По данным CISA, обе добавлены в каталог Known Exploited Vulnerabilities 11 сентября 2023 года с решением SSVC "Act" - патчить немедленно. Exploitation: active, Automatable: yes, Technical Impact: total. Обе эксплуатируются in the wild с 7 сентября 2023 года.
Apple подтвердила, что Lockdown Mode блокирует BLASTPASS. Citizen Lab это верифицировали.
[Применимо: аудит iOS-устройств, корпоративный мобильный пентест, версии iOS до 16.6.1]
Обнаружение шпионского ПО на iPhone: MVT и артефакты форензики
Mobile Verification Toolkit (MVT) от Amnesty International Security Lab - основной open-source инструмент для форензики заражённых iOS-устройств. Два режима: анализ iTunes-бэкапа (не требует jailbreak) и анализ полного дампа файловой системы (требует jailbreak или cloud-инстанс Corellium для динамического анализа через Frida).
Требования к окружению
- ОС: GNU/Linux или macOS (Windows - через WSL2, нативная поддержка ограничена)
- Python 3.8+, pip
- RAM: минимум 4 ГБ для анализа бэкапа, 8 ГБ рекомендуется
- Зависимости:
libusb,libimobiledeviceдля работы с устройством напрямую - Входные данные: расшифрованный iTunes backup (с паролем шифрования) или sysdiagnose-архив
- IOC-индикаторы: STIX2-файл из репозитория Amnesty International
mvt-indicatorsна GitHub
Bash:
pip install mvt
mvt-ios check-backup \
--iocs ~/mvt-indicators/pegasus.stix2 \
--output ./mvt_results \
~/iTunes_backup_decrypted/com.apple.CrashReporter (крэши процессов imagent, mediaserverd - индикаторы срабатывания эксплойтов).Для sysdiagnose-дампа (доступен без jailbreak: Настройки -> Конфиденциальность -> Аналитика и улучшения -> Данные аналитики -> файл, начинающийся с
sysdiagnose):
Bash:
mvt-ios check-iocs \
--iocs ~/mvt-indicators/pegasus.stix2 \
--output ./sysdiag_results \
~/sysdiagnose_export/- Процессы с аномальным сетевым трафиком. Pegasus внедряется в легитимные процессы (
mediaserverd,locationd,CommCenter). Если DataUsage показывает нетипичные объёмы от системных демонов - красный флаг. - Серия крэшей
imagentилиIMTranscoderAgent. Неудачные попытки эксплуатации iMessage оставляют crash-логи. Несколько крэшей за короткий период - паттерн подбора параметров эксплойта. - Timeline входящих iMessage. Сообщения от неизвестных контактов с вложениями - вектор атаки для BLASTPASS и аналогичных цепочек.
- Подозрительные конфигурационные профили. Stalkerware уровнем ниже Pegasus часто ставится через MDM-профили, для чего нужен физический доступ к устройству.
[Применимо: incident response, корпоративный аудит iOS-устройств, mobile threat intelligence. Не заменяет sandbox-аналитику для неизвестных семплов]
Lockdown Mode и аппаратные митигации Apple
Мне как практику принципиально разграничивать два класса угроз (и это различие обычно теряется в публичных обсуждениях). Государственный deployment - таргетированная установка через zero-click, бюджет в миллионы, конкретная цель из списка. Криминальный deployment - stalkerware через фишинг или физический доступ, бюджет на порядки ниже, массовый охват. Первый сценарий обходит любую пассивную защиту: если NSO находит новый zero-day быстрее, чем Apple закрывает предыдущий, Lockdown Mode - вопрос времени, а не гарантия. Второй детектируется MVT и базовой гигиеной: обновления, Lockdown Mode, отказ от jailbreak, проверка установленных профилей.
Граница между классами размывается - и это неудобная правда, о которой индустрия предпочитает не говорить. Утечки исходников, ротация инженеров между surveillance-вендорами и юридическое давление на крупных игроков (NSO, Intellexa) выталкивают экспертизу на серый рынок. Predator от Intellexa, по данным отчёта Citizen Lab 2023 года, использовался рядом правительств - если хотя бы одна инсталляция утекла к третьей стороне, мы получаем APT-инструментарий без APT-бюджета. В пентест-отчётах по мобильной безопасности я начал выделять отдельный раздел под commercial surveillance threat model - не потому что каждый клиент является целью NSO, а потому что спектр заказчиков расширился, и для компании с конкурентно-чувствительными данными эта модель стала такой же актуальной, как ransomware. Стандартная рекомендация "обновляйте iOS" необходима, но недостаточна: BLASTPASS эксплуатировался на актуальных версиях до выхода патча, а окно между обнаружением zero-day и реакцией Apple измеряется днями, иногда неделями. По мере того как spyware-as-a-service движется к модели RaaS с партнёрскими программами, проверка мобильных устройств через MVT станет таким же обязательным шагом в мобильном пентесте, как
nmap на внешнем периметре. Если хочешь разобрать мобильные артефакты от бэкапа до IOC на живых задачах - на HackerLab (https://hackerlab.pro) есть категория forensics, где анализ и интерпретацию можно отработать без риска для продакшн-устройств.
Последнее редактирование модератором:
