今年夏天，作為Citizens Lab高級安全研究員的伯克利碩士Bill Marczak，偶然發現了蘋果超級間諜軟件Pegasus。美國《名利場》雜志以此為主線，采訪事件相關人，揭露那些隱藏在人們生活暗處的間諜軟件公司。

事情起因

Bill Marczak，一頭棕色頭發，留有標志性的胡須，伯克利大學計算機系碩士剛畢業，即將攻讀博士學位。不像伯克利大多數研究生那樣多話和夸夸其談，他話不多，比較安靜。Bill Marczak專注于中東地區民主人士與專制政權之間的網絡攻擊研究，他是這個新興網絡戰領域的優秀分析師。同時，Marczak還是加拿大多倫多大學公民實驗室(Citizens Lab)的高級研究員。

事情發生8月10日的晚上，BillMarczak和女友在埃爾塞里托簡陋的公寓里熬夜收看著《星際迷航》的電視劇重播。睡覺前，Marczak像平常一樣，習慣性的看了一眼手機短信，他突然全身興奮地大叫起來，“哦，天哪！”，女朋友詫異地問道“怎么了？”，Marczak說“我想我發現大事了！”。隨后，他快速起身來到客廳打開電腦開始研究。

第二天早上，當女友起床時，Marczak還在電腦旁。他確實發現了件“大事”：阿聯酋的一位人權活動家朋友給他轉發了一條短信，短信包含了一個網絡鏈接，點擊該鏈接后，將會向iPhone手機隱秘植入一個超強的間諜軟件。他正嘗試著從該間諜軟件中逆向出一部分底層代碼，但由于難度太大，所以他決定把短信內容轉發給網絡安全公司Lookout的工程師進行協助分析。Lookout的辦公室坐落于舊金山市區的摩天大樓內，從那里，可以看到金門大橋到奧克蘭的全景。

Lookout把任務交到了移動安全專家Andrew Blaich和來自烏克蘭的代碼研究員Max Bazaliy手上，Blaich急迫地問Bazaliy：“你覺得這是什么東西？”，Bazaliy一臉發懵，用他那厚重的烏克蘭腔調回答到“還不清楚，但可以肯定的是，這非常嚴重。”

最終，兩人用了將近一天的時間把這個惡意軟件和其相關技術細節大致研究清楚。傍晚時分，Blaich和Bazaliy還在盯著代碼分析，“太不可思議了，它能實現麥克風、郵件、短信等所有手機數據監聽竊取，這絕對是有組織有目的的間諜軟件。”，Blaich說道。而Bazaliy認為，這是他見過最厲害最完美的攻擊代碼。

Marczak發現的惡意軟件涉及iOS系統的3個0-day漏洞，很難發現且前所未見。iOS用戶點擊短信內的鏈接后，攻擊者就會利用這3個漏洞，對用戶實現“遠程越獄”，并安裝持久化間諜軟件。

曾幾何時，網絡戰武器一直被強力國家機構用于復雜的網絡戰較量中，如NSA、以色列和俄羅斯等，如2013年斯諾登曝光的大規模監控丑聞，讓人震驚。雖然大部分普通公民認為，只要自己不是罪犯或間諜，類似監控事件似乎永遠不可能發生在自己身上，但這僅只是個人認為而已。自斯諾登事件以來，甚至更早以前，網絡安全專家就發現，少數隱秘的安全公司已經研發并向一些特殊機構高價銷售其“政府級”間諜軟件。

眾所周知，iOS遠程越獄不但能實現遠程對蘋果設備的破解，還能對目標iOS系統進行遠程控制并安裝任意軟件，對黑客來說，這簡直就是完美夢想：能實時監控用戶通信、監聽麥克風、記錄通話內容等。

在Marczak發現該惡意軟件之前的兩個星期，中國的盤古團隊公布了針對iOS 9.2和9.3.3的非完美越獄，這是最近5個月內的首個公開的越獄方法。但是對于那些研究蘋果設備的黑客來說，“遠程越獄”才是最完美的破解目標。在早期的iOS系統中，jailbreakme工具可以實現一些版本的遠程越獄；2015年9月，安全公司Zerodium以100萬美元的懸賞實現了對iOS 9.1和iOS 9.2的遠程越獄。

今年8月，在Marczak和Lookout的研究發現之后，蘋果公司確認：在“野生的”網絡攻擊環境中存在一種真實的遠程越獄方法。然而讓人吃驚的是，這種遠程越獄方法已經存在了多年。

Lookout安全研究副總裁 Mike Murray說，“這簡直就是一個詹姆斯·邦德的故事，這是真實世界中網絡軍火商與個人異見者的典型案例，在這之前，網絡武器還未被發現用來對付相關個體。Lookout研究員Seth Hardy強調，這就像隱形轟炸機，你雖然知道它的存在，但是不知道什么時候它會對你進行轟炸。

0-day漏洞

如今，最有價值的黑客武器就是0-day漏洞，對于黑客來說，對于0-day漏洞的保密最為重要，一旦其攻擊代碼被曝光，無論是微軟、蘋果等其它涉及漏洞的公司將會立即釋放更新補丁，讓攻擊代碼毫無用處。Seth Hardy說，黑客要么對自己手上的0-day漏洞極為保密，要么把它們用來進行黑市交易。

2010年，0-day漏洞交易在黑市極為活躍，這一切還要從法國安全研究公司VUPEN說起，當時，VUPEN對單個0-day漏洞的賞金和銷售價格一度達到了25萬美金，盡管其對外堅稱的目的是為了使軟件行業更安全，但許多人對此非常質疑，而像HP和微軟都曾出錢向VUPEN購買其受影響產品的漏洞。此后，漏洞交易和漏洞眾測業務的概念迅速在安全市場興起。而對于許多白帽黑客來說，雖然其挖掘的一些漏洞賞金遠遠不及VUPEN那樣高昂，但這也催生了一條即不違法但又能賺錢的途徑，另外，有些黑客還可能因此從事利潤豐厚的安全咨詢工作。

“VUPEN對0-day漏洞的銷售導致了黑客領域的一個分水嶺。如果你手頭有0-day漏洞，你會把它們賣個高價錢還是愿意保持沉默？顯而易見，很多黑客會把它賣掉，只有極少數真正的黑帽黑客不會這樣做”，Hardy說。

在如今的黑市中，你不知道誰才是真正的漏洞賣家，但人們會普遍懷疑政府才會通過這種高科技手段對公民進行監控。美國公民自由聯盟（ACLU）的技術專家Chris Soghoian說，“在2011到2012年期間，市面上流行大肆吹噓0-day漏洞的價格，而一些使用0-day漏洞對民主人士進行監控的政府機構卻不愿對此承認，這或許是0-day漏洞由明轉暗的一個市場轉折點。”

年，《福布斯》報道了一名身處泰國，在業內化名“The Grugq”的南非籍安全研究員，他在黑客朋友與政府買家間牽線搭橋，從每筆交易總額中收取15%的傭金。他向記者透露，到2012年底的時候，他已經賺到了大約100萬美元的傭金，出價最高的通常為美國政府部門或歐洲政府部門。媒體還刊登了一張他拍攝于曼谷某酒吧的照片，照片中，他的腳邊放著一個裝滿現金的小背包，顯然是某個賣家付給他的傭金。The Grugq 在Twitter上被稱為“網絡軍火商”。Soghoian說，這或許是一個里程碑，因為在此之前還沒有對黑客軍火商的相關公開報道，這讓這個行業備受關注。同時，也為黑客向政府販賣漏洞工具的社會認可起到了一些宣傳作用。

>

政府間諜

Bill Marczak剛上研究生時的方向是大數據分析，對網絡安全行業了解甚少。Marczak出生于紐約，由于父親從事國際金融行業，全家曾從紐約輾轉香港，再到后來的巴林，在那里，Marczak度過了自己的高中時代。2010年，在阿拉伯之春的浪潮下，巴林成為了一個暴動地區，在伯克利上學的Marczak通過互聯網了解到了政府對民眾的暴力鎮壓，于是，他開始以寫博客的方式來參與了這場民主運動。2012年，他與另外兩名人權活動家成立了名為“巴林觀察”的網絡組織。

轉變發生在2012年5月，Marczak在巴林的同事都收到了一封來自不明身份記者的可疑郵件，Marczak和來自Citizen Lab的安全研究者Morgan Marquis-Boire共同對這封郵件進行了分析。分析發現，郵件附件的word文檔會向受害者電腦或手機植入秘密的間諜監控程序，經過對可疑程序的深入挖掘研究，他們發現了一個在程序代碼中被反復引用的單詞“FinSpy”。

很快，他們便發現FinSpy間諜程序的另外一個名稱“FinFisher”，一款由英國安全監控公司Gamma Group開發銷售的一體化間諜軟件，Gamma Group聲稱FinSpy是合法監控工具，主要用于政府犯罪和間諜執法工作。而據去年某些民主人士曝料的文件顯示，埃及政府曾出價353,000美元采購了FinFisher軟件監控異議人士，這些發現表明，Gamma的軟件產品不只針對特定的政府執法，還被用到針對異見者的監控活動中。Marczak和Citizen Lab最終研究發現，全球25個國家都發現了FinSpy感染的蹤跡，而Gamma公司卻矢口否認，聲稱那些軟件只是被竊取的程序副本。

同時，安全公司Rapid7的研究員Claudio Guarnieri通過對FinFisher的代碼進行分析后發現，FinFisher的C&C服務器IP地址只要被執行ping命令之后，都會附帶一個奇怪的回應：Hallo Steffi，于是，Guarnieri便以此為出發點開發了一個程序探測互聯網上作此回應的服務器，數周后，Guarnieri發現在10多個國家都存在此類服務器，其中中東地區國家尤為廣泛，包括卡塔爾、埃塞俄比亞和阿聯酋等。

然而，有很多安全公司和Gamma一樣，在我們看不見的陰暗處。2012年7月，就在Citizen Lab發布對FinSpy的報告之后幾天，摩洛哥維權組織Mamfakinch就發文聲稱，他們收到了一封可疑的釣魚郵件，該郵件與阿聯酋民主人士Ahmed Mansoor曾經收到的釣魚郵件高度相似，都會向電腦植入鍵盤和應用程序監控的間諜程序。

俄羅斯殺毒軟件公司Dr Web經過分析，確認Mamfakinch 和Mansoor的電腦設備上被植入了意大利Hacking Team公司的間諜軟件。與Gamma不同，Hacking Team由兩個意大利程序員于2003年成立，在安全圈小有名氣，可以算是第一批銷售商業黑客工具和監控產品的安全公司，它的早期軟件曾被米蘭警方大規模用于民眾監控。Hacking Team在美國在內的三個國家都設有辦事處，隨著其不斷的市場拓展，已經成為全球知名的網絡武器經銷商。Hacking Team的客戶包括各國執法機構，以及聯合國武器禁運（NATO)清單上的國家，包括摩洛哥、阿聯酋政府等。

比較諷刺的是，后來名為“Phineas Fisher”的黑客在網上泄露了Hacking Team 400多G的內部文件，這些文件中曝光的郵件記錄和合同發票顯示，Hacking Team的客戶包括摩洛哥、馬來西亞、沙特阿拉伯、烏干達、埃及、阿曼、土耳其、烏茲別克斯坦、尼日利亞、埃塞俄比亞、蘇丹、哈薩克斯坦、阿塞拜疆、巴林、阿爾巴尼亞等大部分中東國家，以及三個美國執法機構：FBI、DEA、DoD。

Chris Soghoian說，Hacking Team被黑事件影響很大，因為在這之前研究人員只能通過FinFisher的C&C服務器來作出間接判斷，并沒有其它確鑿證據。盡管曝光事件發生后，Hacking Team的業務量有所減少，但對整個間諜軟件和監控行業的影響不是太大，其它秘密安全公司一直在不斷擴展業務，像Gamma的全球市值已經超過50億美元。

Hacking Team數據泄露事件之后一個月，由VUPEN共同投資人成立的Zerodium公司對外懸賞100美金征集iOS遠程越獄工具。在Zerodium公布賞金之后的幾天，中東之眼的倫敦人權作者Rori Donaghy收到了一封釣魚郵件，他把郵件轉發給了Marczak。郵件大致內容為邀請參加名為“斗爭權利”（the Right to Fight）的論壇會議，在其中包含了一個下載執行word文檔的網頁鏈接，點擊鏈接執行word文檔后，將會向電腦隱秘植入間諜軟件。Marczak經過分析確認，很多波斯灣地區的民主人士都受到了同樣釣魚郵件的攻擊，之后，Marczak和Citizen Lab把這波攻擊命名為：Stealth Falcon。

Marczak分析發現郵件發送服務器涉及數百個IP地址，每個IP都具有包含虛假注冊信息的特定域名。另外，這些域名中有三個假冒阿拉伯新聞網站，并且都包含有“SMSer.net”字段，Marczak通過域名比對發現有120多個移動公司域名與此類似，大部分以色列街道名稱與這些域名字段相關。

Marczak回憶說，那時他高度懷疑是NSO Group,但沒有明確證據。作為一家以色列間諜軟件監控公司，NSO Group沒有官方網站，非常低調，曾把其公司的某項控股權以1億兩千萬美元賣給舊金山某私募基金。第二年初，在Citizen Lab實驗室，他發現Stealth Falcon前后從67個不同服務器上進行部署攻擊，有400多名全球受害者，在24名阿聯酋受害者中，至少有三人在遭到間諜軟件攻擊開始不久后被捕；另一人被判因侮辱阿聯酋統治者罪名。但是在Citizen Lab對外發布的報告中，并沒有提到NSO Group。

而對Marczak本人來說，事情還沒完。

繼續調查

8月10日，Marczak在伯克利收到的郵件來自阿聯酋異見者Ahmed Mansoor，他被控侮辱當局政府，并因此受到監禁毆打和沒收護照，他的車莫名其妙被偷，銀行賬戶被置空。

非常讓Marczak興奮的是，Mansoor轉發給他的釣魚郵件中包含了一個域名“sms.webadv.co”，他突然想起來這與Stealth Falcon攻擊事件中他懷疑是NSO公司，用來進行郵件發送和控制回連的域名高度相似。在客廳里，Marczak用程序把電腦模擬成手機客戶端，對釣魚郵件植入的間諜軟件進行監測。

當Marczak點擊了釣魚郵件鏈接之后，他的Safari瀏覽器出現了閃退現象，在此監測過程中，他發現了間諜軟件成功利用Safari瀏覽器實施了第一階段感染行為。由于Marczak 使用Ios 9.3.3進行模擬測試，而在Ios 9.3.4中，Safari沒有任何更新，Marczak敏銳地意識到這是一個0-day漏洞。當深入研究植入間諜軟件釋放的相關javascript時，大部分都是加密代碼，非常難懂，令人費解，在Citizen Lab協調下，Marczak找到了手機安全架構的頂級供應商LookOut。

LookOut于2007年由三位南加洲大學的安全成立，JohnHering，Kevin Mahaffey和JamesBurgess。成立初期，他們曾發現了Nokia 3610手機藍牙連接無線耳機的一個漏洞，漏洞對數百萬部手機造成影響，當他們告知Nokia時，Nokia卻以藍牙通信超出30英尺范圍內將受限制為由，拒絕對漏洞作出修補。出于不服，他們開發了一款名為“BlueSniper rifle”的藍牙范圍擴大嗅探器，并把它帶到了2005年奧斯卡頒獎禮現場，結合漏洞，他們輕易獲取到了很多娛樂圈名流的個人手機信息。最終，Nokia總算屈服了。

LookOut的Seth Hardy回憶道，“Marczak在一大早打電話給我，告訴我通過這個鏈接結合0-day漏洞可以向iPhone植入間諜程序，那時候，我想，這非常罕見，出大事了。”

Hardy首先想到了LookOut 29歲，來自基輔理工學院的碩士生Max Bazaliy，他是公司唯一一個對越獄有深入研究的人。于是Max Bazaliy和Andrew Blaich共同對Marczak發來的捕獲代碼展開研究。電腦屏幕上，1400多行彩色代碼像是一大團沙拉醬，讓人頭暈。LookOut安全研究負責人Mike Murray說，“當時事態非常嚴重，但我們不確定真正的原因，最終，我們選擇按最壞的場景-遠程越獄來分析”。

代碼分析

許多間諜軟件分三個階段執行惡意行為，第一階段為感染滲透目標用戶設備，第二階段為執行監控準備，最后，通過遠程控制服務器下載安裝間諜程序包，一些分發和配置行為也在此階段完成。LookOut工程師最后分析認為，間諜程序使用了Safari的0-day漏洞。Mike Murray說，通過此0-day漏洞，可以攻擊滲透世界上任何一部蘋果的設備。

Marczak發現的代碼被完全加密混淆，Blaich 和Bazaliy花了幾個小時才把間諜程序的各個組件識別出來，之后，找到了程序執行監控行為的入口，但是，由于Marczak在間諜程序還未被完全植入之后就切斷了網絡連接，更糟糕的是，Marczak點擊的釣魚鏈接還是“一次性使用”的鏈接。

但是，Blaich 和 Bazaliy認為可以通過程序第一階段代碼中的URL信息追溯到遠程C&C服務器，但當他們把疑似C&C地址分析出來時，卻發現IP被限制訪問，最終他們通過VPN方式連接上了這個C&C地址。

Bazaliy回憶到，“還有一個問題就是，它看起來是一種加密的越獄方式，但我們當時完全不知道它的解密算法”。

他們花了幾個小時尋找解密方法，最終意識到了真正的答案：程序的第一階段行為需要知道解密方法，才能實施第二階段植入！于是，他們在第一階段的大量代碼中慢慢拼湊出了完整的解密方法。

Mike Murray解釋說，iPhone和其它系統程序都會通過“隨機化”應用來保護內核，黑客越獄需要準確捕捉到其內核地址，而程序第二階段的代碼行為總是在尋找內核程序，原因只有一個，它想嘗試進行越獄。

令他們吃驚的是，該間諜程序的子程序中還包含了另外一個0-day漏洞，兩個0-day漏洞同時出現在一個可疑程序中，這非常罕見。雖然Bazaliy斷定這是遠程越獄，但因為沒有第三階段代碼，而點擊鏈接又是失效狀態，所以不能明確證明，分析一度陷入停滯狀態。

意外轉機

意外的是，沒過幾天，Marczak就又從Mansoor那里收到了另外一封類似的轉發郵件，令人難以置信的是，其中又包含了一個sms.webadv.co的網頁鏈接。Marczak覺得阿聯酋政府如此盲目自大，非常明目張膽。

這一次，Marczak不想錯過任何機會。他意識到Mansour使用的是運行iOS 9.3.3的iPhone 5，如果使用其它版本的系統來監測間諜程序，可能會出現異常，之后，Marczak便開始在伯克利實驗室尋找iOS9.3.3的iPhone手機，最終，一個同事把他女朋友擱置的專門用來聽音樂的iPhone5手機拿給了Marczak。

第二天早上，Marczak在實驗室里搭建了一個無線網絡，把清除數據的手機和筆記本電腦接入網絡，為了便于觀察，他把手機系統網絡運行流量監測窗口轉換到了筆記本電腦，并用VPN把網絡設置為阿聯酋地區的IP地址。Marczak屏住呼吸把釣魚郵件鏈接粘貼到了手機的Safari瀏覽器中，點擊運行，短暫的10秒之后，Safari出現了閃退，Marczak高興地大叫起來。然而，他意識到，此時可能一個惡意程序已經被植入到了手機中，下一步，惡意程序可能會對手機實行“遠程越獄”操作，這對普通黑客來說，從來沒人親眼見過。

突然，幾行對手機進行入侵的彩色代碼出現在了電腦屏幕上，Marczak回憶到，“當時手機沒有一點異常反應，如果第一階段是執行exploit的話，這一階段應該是突破內核保護，實現遠程越獄，真正植入監控程序的過程”，一切沒有出乎竟料，當所有攻擊代碼執行完畢后，網絡監測窗口顯示，手機正試圖與一個阿聯酋政府控制的服務器IP進行聯系，但其網絡連接似乎并沒有成功。Marczak只好把此次捕獲的相關代碼發送給了LookOut公司共同研究，隨后，他們在逆向過程中發現，間諜軟件開發者在攻擊代碼中暴露了很多“Pegasus Protocol”字符串，他們追蹤到了試圖與手機通訊的服務器 IP 地址，并匹配到了 Stealth Falcon 的基礎設施中也包含這一服務器和 IP 地址，更巧的是，他們發現一位 NSO 員工注冊的域名也指向同一IP 地址。所有跡象都明顯指向以色列的間諜軟件公司NSO，而此次被發現的間諜程序也被Citizen Lab和LookOut共同命名為“Pegasus”。

Mike Murray說，Pegasus幾乎能執行所有監控功能，在這之前，絕無僅有。而Blaich則強調，中招Pegasus后，手機可能會出現耗電量增加的情況，持續耗電一段時間后，Pegasus還會自動關閉程序，有時，它甚至會等待手機連接到WI-FI之后，才會向外傳輸大容量數據，非常智能。

LookOut認為蘋果用戶面臨極大的安全風險，在公司內部商議之后，決定立刻聯系蘋果公司。而據Hardy回憶，他們剛開始聯系蘋果公司，有點搞笑，當告知了蘋果設備存在遠程越獄的信息后，蘋果公司卻趾高氣揚地作出回應“是的，是的，這些我們之前就有所了解，你們說的是什么？”，當LookOut把部分漏洞報告發送過去后，幾個小時之后，蘋果公司回了電話，表示這非常嚴重，并要求LookOut把所有相關細節發送給他們。最終，蘋果公司用了 10 天時間來開發補丁，并及時把更新加入到 iOS9.3.5的升級包中。

這是一個繁雜而又振奮人心的故事，在與黑客的較量中，蘋果和其它電子設備制造商可能正在慢慢輸掉這場斗爭。就像最近發生的僵尸網絡DDoS攻擊一樣，我們永遠也無法想像黑客的下一個究竟目標是什么。而與此相比，一些間諜軟件公司卻花費精力研究如何監控普通民眾。