前欧洲议会议员斯特利奥斯・库洛格卢(Stelios Kouloglou)在任职于飞马间谍软件滥用调查委员会(PEGA 委员会)期间,多次遭到 NSO 集团“飞马”(Pegasus)间谍软件的定向入侵。
库洛格卢的设备在 PEGA 委员会工作的关键节点被植入间谍软件,攻击者极有可能窃取了委员会的非公开工作信息,该行为可能突破了欧盟议会保密规则与议员特权框架。此次攻击首次入侵时间与此前已披露的一起针对流w欧洲的俄语、白俄罗斯语记者及活D人士的飞马攻击行动高度重合,表明实施攻击的是一家获授权可在多个欧洲国家开展监控的飞马客户。

库洛格卢其设备分别在 2022 年 10 月 21 日前后、2023 年 3 月 6 日至 7 日两次被成功植入飞马间谍软件。
首次设备入侵当日(2022 年 10 月 21 日),库洛格卢因择期手术在希腊当地医院住院治疗,希腊资深调查记者塔纳西斯・库卡基斯前往病房与其会面交流。库卡基斯长期深耕希腊雇佣型间谍软件滥用议题,曾于上月在 PEGA 委员会作证,且其个人设备已于 2022 年 3 月被实验室证实遭到英特尔莱克斯公司捕食者间谍软件的定向入侵。
2022 年 10 月 21 日 10:16,设备出现针对 HomeKit 关联邮箱rauharepo888[@]gmail.com的查询记录;两分钟后,一个飞马进程调用了移动数据。因此判定,设备此时通过PWNYOURHOME 零点击漏洞被攻破。

该漏洞利用的攻击路径为:攻击者先向目标发送构造后的恶意 NSKeyedArchive 数据包,载荷落地于 HomeKit 组件,后续恶意内容再注入 MessagesBlastDoorService 服务。
苹果在 iOS 16.3.1 中通过调整 HomeKit 机制缓解了首个漏洞,而 MessagesBlastDoorService 的相关问题修复时间更早,大概率在 iOS 16.1 版本中完成。

PWNYOURHOME 是公民实验室(Citizen Lab) 对以色列 NSO 集团飞马(Pegasus)间谍软件专属双阶段零点击漏洞利用链的命名,2022 年 10 月首次被捕获并披露,专门针对iOS 15、iOS 16系列系统实施无交互远程设备劫持。
零点击漏洞(Zero-Click Exploit),受害者无需点开短信、链接、附件,仅接收特制 iMessage 消息即触发入侵;
2022 年 NSO 推出的三条新一代 iOS 入侵链之一,另外两条为 FINDMYPWN、LATENTIMAGE;
该漏洞链同时击穿HomeKit 智能家居框架与苹果 iMessage 安全沙箱 BlastDoor,分两步递进提权,最终落地 Pegasus 间谍软件完整持久化载荷。
阶段 1:HomeKit 前置突破(初始入口)
攻击者发送携带恶意序列化包
NSKeyedArchive的特制 iMessage;iOS 后台自动解析消息,恶意载荷触发 HomeKit 守护进程(home daemon)内存损坏、程序崩溃;
绕过基础权限校验,获取系统底层内存读写原语,为第二阶段沙箱逃逸铺路;
取证特征:设备日志出现攻击者预设恶意 HomeKit 关联邮箱查询记录(本次攻击中为
rauharepo888@gmail.com)。
阶段 2:BlastDoor 沙箱逃逸与间谍软件部署
依托 HomeKit 漏洞拿到的内存权限,在 iMessage 子进程
MessagesBlastDoorService中解析恶意 PNG 图片载荷;图片解析逻辑漏洞导致 BlastDoor 隔离沙箱崩溃、安全边界失效;
突破沙箱限制后劫持
mediaserverd媒体系统进程,完成内核级提权;静默下发、驻留 Pegasus 间谍软件,实现麦克风录音、摄像头调用、短信 / 邮件 / 通讯录窃取、定位追踪、读取加密会议记录等全量监控能力。
关键安全机制绕过点
- 绕过 BlastDoor 沙箱
苹果为 iMessage 独立设计 BlastDoor 隔离环境,隔离消息解析代码与主系统,PWNYOURHOME 是早期可稳定击穿该防护的商用间谍软件漏洞链;
- 规避指针完整性校验(PAC)
漏洞复用设备内存中合法程序指针篡改执行流,绕过 iOS ARM 架构 PAC 内存防护机制;
- 完全无交互
全程后台静默执行,无弹窗、无通知、无用户操作痕迹,受害者无法自主感知入侵;
- 跨业务组件联动攻击
打通智能家居 HomeKit 与即时通讯 iMessage 两大独立组件,单一条消息即可串联两处高危漏洞。
同时发现,2023 年 3 月 6 日 09:49 至 3 月 7 日 07:30 期间,库洛格卢的设备上再次出现飞马活动痕迹,判定大概率与同一漏洞相关。两次入侵发生时,设备均运行 iOS 15.5(19F77)系统。
进一步验证定向攻击结论的是:取证分析显示,库洛格卢曾三次收到苹果发送的雇佣型间谍软件定向攻击威胁通知,时间分别为 2023 年 3 月 2 日、2023 年 8 月 29 日、2024 年 4 月 10 日。需要说明的是,苹果及其他厂商的威胁通知并非实时告警,通常为批量推送,往往滞后于攻击发生数月甚至更久。库洛格卢本人表示,对设备中记录的这些苹果通知没有印象。
2023 年 3 月 6 日至 7 日,库洛格卢的设备再次遭到飞马间谍软件入侵。根据其本人提供的行程与工作记录,该时段正处于 PEGA 委员会最终报告起草的集中研讨阶段。2023 年 3 月 6 日,库洛格卢从雅典启程前往布鲁塞尔,入侵事件发生时其本人正身处布鲁塞尔境内。
另一个值得关注的时间重合点在于,同期 PEGA 委员会报告人因特费尔德正随欧洲议会公民自由、司法与内政委员会(LIBE 委员会)代表团在希腊开展调研。该代表团在本次行程中,就希腊间谍软件丑闻相关问题质询了国家透明度管理局负责人及其他政府官员。
2022 年公民实验室首次披露库卡基斯设备遭捕食者间谍软件入侵事件后,希腊政府长期深陷针对民间社会的滥用监控丑闻。但现有技术证据与公开信息均未显示本次攻击由希腊政府实施:暂无公开记录表明希腊是 NSO 集团的付费客户,或曾采购、使用飞马间谍软件。尽管已证实希腊政府曾大规模滥用英特尔莱克斯公司的捕食者雇佣型间谍软件。
声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。