NSO 그룹의 iPhone 해킹 익스플로잇 작동 방식

Dec 23 2021

수년 동안 이스라엘 스파이웨어 공급업체인 NSO Group은 해킹 제품으로 국제 사회의 마음에 두려움과 매혹을 불러일으켰습니다. 이러한 해킹 제품은 전 세계의 권위주의 정부에 판매되어 언론인, 활동가, 정치인 등 누구에게나 사용되었습니다. 그렇지 않으면 표적이 될 만큼 불행합니다. 스캔들에 자주 휘말린 이 회사는 피싱이 필요 없는 상업적 악용 공격과 모든 것을 볼 수 있고 가장 사적인 디지털 공간에 도달할 수 있는 맬웨어를 사용하여 디지털 주문처럼 작동하는 것처럼 보였습니다.

수년 동안 이스라엘 스파이웨어 공급업체인 NSO Group은 해킹 제품으로 국제 사회의 마음에 두려움과 매혹을 불러일으켰습니다. 이러한 해킹 제품 은 전 세계의 권위주의 정부 에 판매 되어 언론인, 활동가, 정치인 등 누구에게나 사용되었습니다. 그렇지 않으면 표적이 될 만큼 불행합니다. 종종 스캔들에 휘말린 이 회사는 피싱이 필요 없는 상업적 악용 공격과 모든 것을 볼 수 있고 가장 사적인 디지털 공간에 도달할 수 있는 맬웨어를 사용하여 디지털 주문처럼 작동하는 것처럼 보였습니다.

그러나 NSO의 어두운 비밀 중 일부는 지난 주에 연구원들이 NSO의 악명 높은 "제로 클릭" 공격 중 하나가 작동하는 방식을 기술적으로 해체하면서 매우 공개적으로 드러났습니다. 실제로 Google의 Project Zero의 연구원 은 "FORCEDENTRY"라고 불리는 NSO 익스플로잇이 전화를 신속하고 조용히 장악할 수 있는 방법을 보여주는 상세한 분석을 발표했습니다.

Apple iPhone을 대상으로 설계된 이 익스플로잇은 우간다에서 근무 하는 여러 미 국무부 관리 를 포함하여 여러 국가에서 기기를 해킹 한 것으로 생각됩니다. NSO의 활동과 관련된 연구를 자주 발표한 토론토 대학의 연구 부서인 Citizen Lab 에서 이에 대한 초기 세부 정보를 수집했습니다 . Citizen Lab 연구원들은 회사의 "제로 클릭" 공격을 받은 전화기를 가까스로 확보했으며 9월에 작동 방식에 대한 초기 연구 를 발표 했습니다. 같은 시기 에 Apple은 NSO를 고소 하고 문제를 패치하기 위한 보안 업데이트도 게시 했다고 발표했습니다. 익스플로잇과 관련이 있습니다.

Citizen Lab은 궁극적으로 그 결과를 Google의 연구원들과 공유했으며, 이들은 지난주에 마침내 공격에 대한 분석을 발표했습니다. 예상할 수 있듯이 매우 놀랍고 두려운 일입니다.

"우리의 연구와 발견을 기반으로 우리는 이것이 우리가 본 것 중 가장 기술적으로 정교한 익스플로잇 중 하나라고 평가하고 NSO가 이전에 소수의 국가에서만 액세스할 수 있다고 생각했던 것과 경쟁할 수 있는 기능을 추가로 보여줍니다." 연구원 Ian Beer와 Samuel Groß.

아마도 FORCEDENTRY에 대한 가장 무서운 점은 Google의 연구원에 따르면 사람을 해킹하는 데 필요한 유일한 것은 전화번호 또는 AppleID 사용자 이름이라는 것입니다.

이러한 식별자 중 하나를 사용하여 NSO의 익스플로잇 사용자는 원하는 모든 장치를 아주 쉽게 손상시킬 수 있습니다. 공격 과정은 간단했습니다. GIF로 보이는 것이 iMessage를 통해 피해자의 전화로 문자 메시지를 보냈습니다. 그러나 문제의 이미지는 실제로 GIF가 아니었습니다. 대신 .gif 확장자로 위장된 악성 PDF였습니다. 파일 내에는 Apple의 이미지 처리 소프트웨어의 취약점을 가로채고 이를 사용하여 대상 장치 내의 귀중한 리소스를 빠르게 탈취할 수 있는 매우 정교한 악성 페이로드가 있었습니다. 수신자는 유해한 기능을 활성화하기 위해 이미지를 클릭할 필요조차 없었습니다.

기술적으로 말하자면, FORCEDENTRY는 Apple의 이미지 렌더링 라이브러리인 CoreGraphics (iOS가 기기 내 이미지 및 미디어를 처리하는 데 사용하는 소프트웨어) 내의 제로 데이 취약점을 악용했습니다. 공식적으로 CVE-2021-30860 으로 추적되는 이 취약점 은 iOS가 PDF 파일을 인코딩 및 디코딩하기 위해 분명히 활용하고 있던 오래된 무료 오픈 소스 코드 (JBIG2 의 Xpdf 구현)와 관련이 있습니다.

여기에서 공격이 정말 거칠어집니다. FORCEDENTRY는 이미지 처리 취약점을 악용하여 대상 장치에 침투하여 전화기 자체 메모리를 사용하여 기본적으로 "컴퓨터 안의 컴퓨터"인 기본적인 가상 머신 을 구축할 수 있었습니다. 거기에서 시스템은 내부에서 NSO의 Pegasus 악성코드를 "부트스트랩"하여 궁극적으로 익스플로잇을 배포한 사람에게 데이터를 다시 전달할 수 있습니다.

Gizmodo와의 이메일 교환에서 Beer와 Groß는 이 모든 것이 어떻게 작동하는지 자세히 설명했습니다. 연구원들은 이 공격이 "원래 데이터 압축을 풀기 위한 수천 개의 기본 수학 연산을 수행하는 JBIG2 압축 파일을 제공합니다"라고 말했습니다. "이러한 작업을 통해 먼저 JBIG2의 '메모리 손상' 취약점을 트리거하고, 이를 통해 후속 작업에서 관련 없는 메모리 내용에 대한 액세스를 허용하는 방식으로 메모리를 수정합니다."

거기에서 프로그램은 "기본적으로 이러한 기본 수학 연산 위에 작은 컴퓨터를 구축하고, 이제 공격받은 iPhone의 다른 메모리에 액세스할 수 있는 코드를 실행하는 데 사용합니다."라고 연구원은 설명했습니다. 미니 컴퓨터가 대상 전화 내에서 실행되고 나면 NSO가 이를 사용하여 실제 장치 내부에서 "(Apple 대신) 자체 코드를 실행하고 이를 사용하여 멀웨어를 부트스트랩"한다고 덧붙였습니다.

간단히 말해서 NSO 익스플로잇은 피해자의 전화를 안팎으로 지휘하고 장치의 자체 리소스를 사용하여 감시 작업을 설정하고 실행할 수 있습니다.

이 익스플로잇과 관련된 취약점은 Apple의 iOS 14.8 업데이트 (9월에 발표됨)에서 수정되었지만 일부 컴퓨터 연구원 들은 업데이트 이전에 Pegasus에 의해 사람의 전화가 손상된 경우 패치가 침입자를 유지하기 위해 그다지 많은 역할을 하지 못할 수 있다고 경고했습니다. 밖.

NSO의 맬웨어와 그 신비한 해킹 방법은 수년 동안 두려움과 추측의 대상이었기 때문에 Google이 마침내 이 컴퓨팅 흑마법이 실제로 어떻게 작동하는지 정확히 밝히는 막을 내리게 된 것은 놀라운 일입니다.

그러나 이 무시무시한 도구의 내부 작동이 마침내 밝혀진 동안 도구 제작자는 현재 생존을 위해 고군분투하고 있습니다. 실제로 NSO는 회사가 하나의 비참한 스캔들에서 다음 스캔들로 씨름하면서 힘든 한 해를 보냈습니다. 고객 기반의 명백한 불법 행위에 대한 지속적인 언론 조사는 세계 최대 기업의 여러 소송, 정부 조사, 미국의 강력한 제재, 도피하는 투자자 및 재정 지원과 짝을 이루었습니다.

수정: 이 이야기의 이전 버전에서는 Apple이 10월에 패치를 발표했다고 말했습니다. 보안 업데이트는 9월에 발표되었습니다.