要点

· 2016年8月至2018年8月期间，我们在互联网上搜索了与NSO Group的Pegasus间谍软件相关的服务器。找到了1,091个与我们的指纹匹配的IP地址以及1,014个指向它们的域名。我们开发并使用了Athena，这是一种新技术，将我们的发现聚集成36个不同的Pegasus系统，每个系统由一个单独的操作人员运行。

· 我们针对匹配的域名设计并进行了全球DNS缓存探测研究，以确定每个运营商在哪些国家进行间谍活动。我们的技术共识别了Pegasus运营商可能进行监视操作的45个国家。至少有10个Pegasus运营商积极参与跨境监控。

· 我们的研究结果描绘了NSO全球扩散的人权风险。至少有六个具有重要Pegasus业务的国家之前曾滥用间谍软件针对民间社会，包括巴林，哈萨克斯坦，墨西哥，摩洛哥，沙特阿拉伯和阿拉伯联合酋长国。

· Pegasus也被具有可疑人权记录和国家安全部门滥用行为历史的国家所使用。此外，我们在若干国家的目标中发现了可能存在政治的迹象，使人怀疑该技术是否被用作“合法”刑事调查的一部分。

图1：本报告中确定的Pegasus的范围，规模和背景。

1. 概述

以色列的“网络战争”供应商NSO集团生产并销售一种名为Pegasus的手机间谍软件套件。为了监控目标，Pegasus的政府运营商必须说服目标点击特制的漏洞利用链接，点击该链接后，可以提供一系列0 day攻击以渗透手机上的安全功能并在用户不知情或许可的情况下安装Pegasus。一旦手机被利用并安装了Pegasus，它就会开始联系运营商的命令和控制（C&C）服务器，以接收和执行运营商的命令，并发回目标的私人数据，包括密码、联系人列表、日历事件、短信、来自流行的app的现场语音通话。操作人员甚至可以打开手机的摄像头和麦克风来捕捉手机附近的活动。

图2：据称来自NSO Group Pegasus文档的图表，显示了从感染Pegasus的设备收集的信息范围。来源：Hacking Team Emails。

Pegasus利用链接和C＆C服务器使用HTTPS，这要求运营商注册和维护域名。漏洞利用链接的域名有时冒充移动提供商、在线服务、银行和政府服务，这可能会使链接看起来是良性的。运营商拥有在发送的漏洞利用链接中使用的多个域名，并且还有几个用于C＆C的域名。域名通常解析为由NSO Group或运营商租用的基于云的虚拟专用服务器（我们称之为前端服务器）。前端服务器将流量（通过一系列其他服务器）转发到位于运营商场所的服务器（我们称之为后端Pegasus服务器）。

扫描、聚类以及DNS缓存探测

2016年8月，屡获殊荣的阿联酋活动家Ahmed Mansoor成为NSO集团Pegasus间谍软件的目标。我们点击了他发送的链接，获得了Apple iPhone的三个0 day漏洞攻击，以及Pegasus间谍软件的副本。我们对发送给Mansoor的样本中的漏洞链接和C&C服务器的行为进行了指纹识别，并在Internet上扫描了其他匹配的前端服务器。我们总共找到了237台服务器。但在我们8月24日发布调查结果之前，NSO集团显然已经取消了我们检测到的所有Pegasus前端服务器。在报告后的几周内，我们注意到少数Pegasus前端服务器重新上线，但服务器不再符合我们的指纹。我们开发了新的指纹并开始定期进行互联网扫描。

2016年8月至2018年8月期间，我们检测到1,091个IP地址和1,014个与我们的指纹相匹配的域名。我们开发并使用了Athena，一种新颖的指纹识别技术，将我们的大多数结果分组到36个不同的Pegasus系统中，每个系统可能由一个单独的操作人员运行（第2节）。

我们接下来试图确定这些Pegasus系统的使用位置。我们假设感染Pegasus的设备会定期使用其ISP的DNS服务器查找运营商的Pegasus前端服务器的一个或多个域名。我们通过寻找Pegasus域名的DNS转发器定期探测全球数以万计的ISP DNS缓存（第3节）。

发现

我们在45个国家发现疑似NSO Pegasus感染程序与36个Pegasus运营商中的33个相关：阿尔及利亚，巴林，孟加拉国，巴西，加拿大，科特迪瓦，埃及，法国，希腊，印度，伊拉克，以色列，约旦，哈萨克斯坦，肯尼亚，科威特，吉尔吉斯斯坦，拉脱维亚，黎巴嫩，利比亚，墨西哥，摩洛哥，荷兰，阿曼，巴基斯坦，巴勒斯坦，波兰，卡塔尔，卢旺达，沙特阿拉伯，新加坡，南非，瑞士，塔吉克斯坦，泰国，多哥，突尼斯，土耳其，阿联酋，乌干达，英国，美国，乌兹别克斯坦，也门和赞比亚。由于我们的研究结果基于DNS服务器的国家地理定位，因此诸如VPN和卫星互联网远程端口位置等因素可能会引入不准确之处。

图3：疑似NSO Pegasus感染的全球地图

墨西哥

2017年，通过追溯检查短信，发现数十名墨西哥律师、记者、人权维护者、反对派政治家、反腐败倡导者以及一项2016年在墨西哥开展的国际调查，与NSO集团的Pegasus有关联。墨西哥的披露引发了一个重大的政治丑闻，＃GobiernoEspía，以及随后的刑事调查，截至本报告发布之日。即使在我们之前报道墨西哥滥用Pegasus间谍软件之后，截至2018年7月，仍然有三家独立的运营商主要在墨西哥运作。

中东海湾合作委员会成员国

我们确定在中东海湾合作委员会（GCC）成员国Pegasus使用量显著增长。总的来说，我们确定了至少六家拥有重要海湾合作委员会业务的运营商，其中至少有两家主要关注阿联酋，一家主要关注巴林，另一家主要关注沙特。三个运营商可能正在中东和北非地区以外进行监视，如加拿大，法国，希腊，英国和美国。

海湾合作委员会国家以滥用监视工具来追踪持不同政见者而闻名。2016年8月，阿联酋活动家艾哈迈德曼索尔成为NSO集团Pegasus间谍软件的目标，此前他们曾被FinFisher间谍软件攻击。值得注意的是，巴林在2010年至2012年期间使用FinFisher间谍软件攻击记者、律师、反对派政客和支持民主的活动家。2018年5月和6月，国际特赦组织报告说，国际特赦组织的工作人员和驻扎在国外的沙特阿拉伯活动人员成为NSO集团Pegasus间谍软件的目标。负责该目标的同一运营商正在中东以及欧洲和北美进行监控。沙特阿拉伯目前正在寻求五名非暴力人权活动人士，他们被指控在示威活动中高呼口号，并在社交媒体上发布抗议视频。

其它国家

我们确定了五个专注于非洲的运营商，其中一个主要集中在多哥，这是一个坚定的以色列盟友，其长期在位的总统对和平反对派采取酷刑和武力。多哥的运营商使用了名为“nouveau president”（“新总统”）和“politiques infos”（“政治信息”）的来感染间谍软件。一个专注于摩洛哥的独立运营商也可能在监视其他国家的目标，包括阿尔及利亚，法国和突尼斯。我们确定了几家在以色列运营的运营商：其中四家在国内运营，另一家在以色列以及荷兰、巴勒斯坦、卡塔尔、土耳其和美国等其他国家运营。

2. Pegasus基础设施的指纹

本节描述了我们如何追踪Pegasus基础设施，从2016年的最初发现到目前。

背景

阿联酋威胁行为者Stealth Falcon（后来透露为阿联酋网络安全公司DarkMatter）的运营商无意中给了我们机会，通过注册其主页包含Pegasus链接的域名、使用相同的电子邮件作为跟踪单独PC间谍软件产品的域名，我们开始跟踪NSO集团的Pegasus间谍软件。 2016年8月，阿联酋活动家Ahmed Mansoor成为Pegasus的目标，短信发送到他的iPhone。我们点击了消息中提供的链接，获得了Apple iOS 9.3.3的三个0 day攻击，以及Pegasus间谍软件的副本。我们向苹果公司披露了这些漏洞，并迅速发布了阻止Pegasus间谍软件的补丁。根据扫描结果，我们检测到的所有Pegasus服务器（发送给Mansoor的样本中的C＆C服务器除外）在我们发布结果前至少两天都被关闭。

2016年指纹：诱饵页面

在2016年为Pegasus基础设施构建指纹时，我们在互联网上扫描了/redirect.aspx和/Support.aspx，其中Pegasus服务器返回了诱饵页面。诱饵页面是在间谍软件服务器上存在非期望的远程登陆时显示的页面，旨在说服用户他们正在查看正常的良性网站。但是因为显示诱饵页面的功能通常驻留在间谍软件服务器的代码中，并且可能不在其他任何地方，所以研究人员为诱饵页面构建指纹，并在互联网上扫描这些指纹，以识别与同一间谍软件相关联的其他服务器。如果多个运营商使用相同的间谍软件系统，系统可能包括其他运营商的服务器。

2017和2018年指纹：没有诱饵

在我们2016年8月的报告之后，NSO Group删除了/redirect.aspxand/Support.aspx诱饵页面，并进一步修改了他们的服务器代码，除非在服务器上显示有效的漏洞利用链接或其他路径，否则传入连接被关闭而不返回任何数据。在我们披露了如何用诱饵页面指纹识别隐藏的基础设施之后，这一变化与竞争对手FinFisher和Hacking Team的变化一致。

在研究了几个可疑的新Pegasus服务器的行为后，我们开发了指纹ξ1，ξ2和ξ3，以及我们称之为Athena。指纹ξ1是传输层安全性（TLS）指纹。指纹ξ2和ξ3代表我们观察到的两种不同的代理配置。我们认为服务器是NSO集团基础设施的一部分，如果它匹配ξ1，或者ξ2或ξ3中的一个。然后我们使用Athena将指纹匹配分为36个群。我们认为每个群代表NSO Pegasus间谍软件的一个运营商，尽管有些可能代表演示或测试系统。正如我们过去在报告目标恶意软件供应商时所做的那样，我们选择不发布特定指纹和技术，以防止其他人使用这些方法生成NSO Group域列表由此可能导致的损害。

绘制Pegasus的活动时间轴

NSO集团显然告诉商业伙伴，我们2016年8月的报告以及披露了他们对Apple漏洞的利用“……在他们……恢复运营之前大约30分钟就中断了工作。”我们对NSO集团基础设施的扫描显示出不同寻常的情况（图4）。

图4：Pegasus服务器的时间表

在我们发布Million Dollar Dissident（我们称之为版本2服务器）之前关闭的12台服务器，在2016年9月25日的扫描中重新上线，并且大部分时间都在线，一直保持到2017年8月10日。这些可能是希望继续监控旧感染的客户的C&C服务器。我们在2017年9月5日的扫描中看到了第一台第3版服务器，距离Million Dollar Dissident不到两周。在Million Dollar Dissident之后大约一个月，我们看到了七家在线的运营商。报告发布两个月后，我们在网上看到了14家运营商。

3. DNS 缓存探测结果

本节描述了DNS缓存探测研究结果，用于识别疑似Pegasus感染（有关研究详情，请参阅第4节，以及“疑似感染”的定义）。

背景

我们使用Athena的技术将匹配Pegasus指纹的IP地址聚类成我们认为的36个不同运营商;每个运营商都使用多个IP地址。我们为每个运营商提供一个运营商名称，该运营商名称来自国家/地区标志或地理特征。对于运营商使用的每个IP地址，我们从其TLS证书中提取了一个域名。我们对域名进行编码以生成可疑国家/地区焦点，并评估域名中是否存在政治主题，这可能表明出于政治动机的目标。然后，我们执行DNS缓存探测，以生成与运营商相关的可能感染的国家/地区列表。

美洲运营商

我们确定了五到六家我们认为在美洲运营的运营商。

我们称之为MACAW的一个运营商关注洪都拉斯或邻国，因为它使用了两个有趣的域名，显示了与洪都拉斯的可能联系（politica504 [.] com和eltiempo-news [.] com）。但是，我们的DNS缓存探测技术未识别到与此相关的任何可疑感染。

在2017年6月的Reckless Exploit report中，墨西哥滥用NSO集团的Pegasus间谍软件时，有四家运营商使用域名关联到墨西哥：RECKLESS-1，RECKLESS-2，PRICKLYPEAR和AGUILAREAL。RECKLESS-1和RECKLESS-2使用了一些包含政治主题的域名（RECKLESS-1使用universopolitico [.] net及 animal-politico [.] com; RECKLESS-2使用noticiaspoliticos [.] com和politicoportales [.] org）。运营商RECKLESS-1和RECKLESS-2之所以如此命名，是因为在我们的报告发布后它们迅速全部关闭。运营商PRICKLYPEAR和AGUILAREAL部分关闭：每个服务器上有两个或三个服务器保持联机状态。报告发布一个月后，2017年7月，一个专注于墨西哥的新运营商MAYBERECKLESS注册了第一个域名。MAYBERECKLESS域名于2017年9月开始与我们的指纹匹配，可能是RECKLESS-1或RECKLESS-2的延续。同样在2017年9月，PRICKLYPEAR和AGUILAREAL的其余服务器补充了新的服务器。

非洲运营商

我们确定了五家专注于非洲的运营商。我们称之为REDLIONS的运营商使用的前端域名几乎全部用法语编写，包括两个政治主题域名（politiques-infos [.] info和nouveau-president [.] com）。我们在多哥发现了DNS缓存探测命中的REDLIONS。由于在2018年7月之前没有进行DNS缓存探测研究，因此我们没有机会对2017年7月关闭的一个运营商AK47进行调查。运营商ATLAS和GRANDLACS也利用了政治主题域名（ATLAS使用revolution-news[.]co,GRANDLACS使用politicalpress[.]org）。

欧洲运营商

我们确定了五家专注于欧洲的运营商。我们称之为TURUL和CHEQUY的两个系统在他们的前端域名中有匈牙利语和克罗地亚语，但我们没有找到任何针对这些的DNS缓存探测命中。

中东运营商

我们确定了12家运营商，我们认为这些运营商专注于中东地区。一个运营商PEARL专注于巴林。最近，运营商KINGDOM关注国际特赦组织的工作人员和海外的沙特阿拉伯活动家。运营商PEARL使用政治主题域名，包括shia-voice [.] com（指巴林政治压制的宗教团体）和14-tracking [.] com（也许是指2月14日青年联盟，一个领导反政府抗议活动的组织），运营商FALCON使用了nomorewarnow [.] com。

亚洲运营商

我们确定了五家专注于亚洲的运营商。运营商GANGES使用了一个政治主题的域名sign petition [.] co。

高度定制的运营商（重心不明）

我们发现三家运营商的重心不明确，他们都在运营中使用了一定程度的定制。

运营商SUPERSIZE（活跃于2016年9月至今）是迄今为止域名数量最大的Pegasus部署；我们发现有118个域名属于SUPERSIZE。我们在以色列和巴林发现了有趣的DNS缓存命中率，但没有足够的信息来确定这些是否可能是疑似感染。可能的情况是，SUPERSIZE使用相对较少的基础设施监控相对较少的人，或者某些SUPERSIZE的目标可能处于可以通过DNS缓存探测测量的区域之外，或者SUPERSIZE以特别隐蔽的方式运行，在零星而非连续的监视下进行。

运营商SNEAK（2016年10月至今活跃）的基础设施反映了高度的定制，包括在非标准端口上运行C&C服务器，以及利用动态DNS服务。SNEAK是在我们的Million Dollar Dissident报告之后重新使用其旧基础设施的运营商，促进了我们对NSO集团基础设施的持续可见性。在叙利亚，黎巴嫩，卡塔尔，荷兰和美国的这个系统上发现了有趣的DNS缓存命中，但没有足够的信息来确定这些是否可能是疑似感染。

运营商PARTY（2017年5月至今活跃）使用具有极长TTL的域名。我们在叙利亚和黎巴嫩的这个系统上发现了有趣的DNS缓存命中，但没有足够的信息来确定这些是否可能是疑似感染。

在下篇文章中，我们将为大家介绍DNS缓存探测技术。敬请期待！