«Шпионские игры» Cellebrite и NSO Group. Чем заканчиваются истории со взломами

Cellebrite — израильская компания, которая занимается цифровой криминалистикой и разведкой, разработчик ПО для взлома мобильных устройств, в том числе и iPhone. Компания оказывает услуги многим правоохранительным органам по всему миру, в том числе и российским силовым структурам до марта 2021 года. Еще в 2016 году глава Следственного комитета А. Бастрыкин заявил, что ведомство использует в своей работе Cellebrite. Их устройство использовалось, например, для взлома iPad экс–министра экономики Алексея Улюкаева. В США услугами Cellebrite пользуются спецслужбы, полицейские и частные детективы. Флагманский продукт Cellebrite UFED извлекает данные из мобильного устройства, а приложение Physical Analyzer их анализирует.

В декабре 2020 года Cellebrite объявляет о взломе защиты флагманского мессенджера Signal, но через некоторое время удаляют слова о взломе и заменяют их на «доступ к данным». Что дальше?

Логично, что все ждали, какой ответ последует от Signal. И не ошиблись в своих ожиданиях: в апреле 2021 года Мокси Марлинспайк, создатель Signal, получил доступ к программно–аппаратному комплексу Cellebrite и взломал его, выявив уязвимость при экспорте данных. Ирония состояла в том, что система, которую полиция использует для выявления слабых мест в современных смартфонах, сама уязвима для эксплойтов. Signal выявила не только технические, но и юридические проблемы программ Cellebrite. Например для работы с ioS-устройствами утилита UFED использует библиотеки iTunes, на что Apple разрешения не давало. Надо отметить, что это был не первый взлом программы Cellebrite — в 2017 году хакер взломал серверы компании и похитил 900 ГБ данных и передал их компании Motherboard.

Противостояние нарастало. Signal объявила о включении в свое приложение файлов, которые могли повредить все текущие и будущие данные, собранные утилитой Cellebrite. Защитники прав конфиденциальности могут ликовать. Но так ли это на самом деле?

Примечательно, что Cellebrite действительно ответили — компания не признала уязвимость, на которую указали Signal.

При этом Cellebrite временно отключила сообщения для инструмента Physical Analyzer, ссылаясь на то, что подобные эксплойты существуют и для Physical Analyzer. При том, что Signal указывали на уязвимость программного обеспечения UFED. Со стороны это могло выглядеть так, что теперь iPhone защищены от извлечения данных системой Cellebrite. Но не все так просто. Пользователи Cellebrite по прежнему могут использовать приложение UFED для извлечения данных и отправки их в Physical Analyzer.

А тем временем, наблюдая за всей этой «мышиной возней», исследователь Мэтт Бергин из ИБ-компании KoreLogic придумал Android–приложение LockAp — оно сбрасывает смартфон до заводских настроек с удалением всех данных, если его пытаются взломать с помощью программ Cellebrite. Но есть у нее и минус — она иногда неправильно считывает сопряжение с компьютером, путая его с Cellebrite. Приложение анализирует каждую устанавливаемую на смартфон программу на предмет «маркеров» Cellebrite: хешей, файлов, сертификатов и других данных. Если оно видит любой код, связанный с Cellebrite, то автоматически полностью «обнуляет» гаджет.

Если внимательно проанализировать противостояние Cellebrite и Signal, то создается впечатление, что они действительно словно подмигивали друг другу: «Ты мне показал мою, а я тебе покажу твою». Программы Cellebrite по сей день используются силовыми структурами многих стран. За исключением России — компания объявила о прекращении продаж из-за использования приложения спецслужбами России для преследования оппозиционеров, ЛГБТ– активистов и представителей этнических меньшинств. Signal Messenger считается наиболее защищенным приложением для зашифрованного общения. Особенно если учитывать, что для доступа к сообщениям Signal требуется физический доступ к устройствам. Дуэль состоялась, противники обменялись «ударами шпагами» и разошлись, сделав выводы без глобальных перемен.

Но не все «шпионские войны» заканчиваются так мирно. В октябре 2019 года Facebook подал иск против израильской компании по наблюдению за мобильными устройствами — NSO Group. Суть иска состоит в том, что NSO Group активно участвовала во взломе пользователей службы обмена сообщениями WhatsApp со сквозным шифрованием.

NSO Group — производитель шпионского ПО Pegasus. Программа позволяет правительственным клиентам тайно красть файлы и фотографии, прослушивать разговоры и тайно отслеживать местонахождение своих жертв. Pegasus использует эксплойты с нулевым кликом, отправленные через приложения для обмена сообщениями. Программа заражает iPhone и устройства Android, не требуя от жертвы нажатия на ссылки или выполнения каких-либо других действий. Интересно то, что телефонные номера в США недоступны для этих целей.

Уязвимость переполнения буфера в стеке WhatsApp VOIP позволяла шпионскому ПО Pegasus выполнять произвольный код на целевых телефонах, отправляя специально созданную серию пакетов SRTCP. Уязвимость можно было использовать для установки ПО сделав простой звонок жертве в WhatsApp, даже если на звонок не ответили. После этого ПО Pegasus стирала информацию о входящем звонке из журналов.

История с WhatsApp примечательна тем, что это был первый случай, когда поставщик службы зашифрованных сообщений подал в суд на частную организацию, которая делала атаки на пользователей его услуг. Чем закончится такой прецедент еще неизвестно. Судебные разбирательства продолжаются. NSO Group пытается выкрутиться всеми силами, но пока безуспешно. Так в ноябре 2021 года 9-й окружной апелляционный суд США в Сан–Франциско отклонил иммунитет NSO Group и разрешил Facebook возобновить иск против израильской компании.

А пока Facebook судится с NSO Group, на израильскую компанию сыпятся очередные неприятности. В декабре 2021 года Apple уведомила нескольких сотрудников посольства и Государственного департамента США о том, что их iPhone, очевидно, стали мишенью для злоумышленников, которые используют шпионское ПО Pegasus. К тому же, Министерство торговли США в ноябре 2021г. поместило компанию в черный список по экономическим причинам. Давление на NSO Group усиливается.

Истории с Cellebrite и NSO Group наглядно показывают, что только в сказочном Багдаде все спокойно, а в мире кибербезопасности бушуют шпионские страсти. Информационная безопасность — бич современного человека. И мы еще не раз узнаем о громких разоблачениях и какие наказания за этим последуют. Самое эффективное средство борьбы с вмешательством туда, куда не следует — сделать такие вмешательства дорогостоящими с точки зрения денег, времени, ресурсов и исследований.

Автор статьи: Елена Жасан

Редактор: Полина Чакур

Будем благодарны вашему лайку!