Експерти по сигурността предупредиха за появата на неизвестен досега шпионски софтуер с хакерски възможности, сравним с Pegasus на NSO Group, който вече е бил използван от клиенти за атакуване на журналисти, политически опозиционери и служител на неправителствена организация.
Изследователите от Citizen Lab към Munk School към Университета в Торонто заявиха, че шпионският софтуер, който е произведен от израелска компания на име QuaDream, е заразил телефоните на няколко жертви, като е изпратил покана за календар в iCloud на мобилни потребители от оператори на шпионския софтуер, които вероятно са правителствени клиенти. Жертвите не са били уведомени за поканите за календара, тъй като те са били изпратени за събития, регистрирани в миналото, което ги прави невидими за целите на хакерската атака. Такива атаки са известни като "zero-click", тъй като потребителите на мобилни телефони не трябва да кликват върху злонамерена връзка или да предприемат някакво действие, за да бъдат заразени. Според доклада на Citizen Lab, инструментът за хакване се продава от QuaDream под името Reign. Откритите хакерски атаки са извършени между 2019 и 2021 г.
Високопоставени служители на ЕС са следени с шпионския софтуеър Pegasus?
Изследването подчертава, че дори когато NSO Group, производителят на едно от най-усъвършенстваните кибернетични оръжия в света, е подложен на интензивен контрол и е включен в черния списък на администрацията на Байдън, което вероятно ограничава достъпа му до нови клиенти, заплахата, която представляват подобни и много усъвършенствани хакерски инструменти, продължава да се разпространява.
Както и при Pegasus на NSO, телефон, заразен с Reign от клиент на QuaDream, може да записва разговори, които се случват в близост до телефона, като контролира диктофона на телефона, да чете съобщения в криптирани приложения, да слуша телефонни разговори и да проследява местоположението на потребителя, твърди Citizen Lab. Изследователите са установили, че Reign може да се използва и за генериране на кодове за двуфакторна проверка на iPhone, за да се проникне в акаунта на потребителя в iCloud, което позволява на оператора на шпионски софтуер да ексфилтрира данни директно от iCloud на потребителя.
Новите разкрития са поредният удар по Apple, която рекламира своите функции за сигурност като едни от най-добрите в света. Сега Reign се оказва нова и мощна заплаха за целостта на мобилните телефони на компанията.
В изявление за „Гардиън” Apple заяви, че "непрекъснато усъвършенства сигурността на iOS" и че няма индикации експлойтът на QuaDream да е бил използван от 2021 г. насам.
Компанията заяви, че спонсорираните от държавата атаки като тези, описани в доклада на Citizen Lab, струват милиони за разработване, имат кратък срок на годност и се използват за насочване към конкретни лица "заради това кои са те или какво правят".
"Огромното мнозинство от потребителите на iPhone никога няма да станат жертви на високоцелеви кибератаки и ние ще работим неуморно, за да защитим малкия брой потребители, които са такива", заяви компанията.
Citizen Lab не назовава имената на лицата, за които е установено, че са били обект на посегателство от страна на клиенти, използващи Reign. Но тя заяви, че повече от пет жертви - журналисти, политически опозиционери и един служител на неправителствена организация - са се намирали в Северна Америка, Централна Азия, Югоизточна Азия, Европа и Близкия изток. Citizen Lab заяви също така, че е успяла да открие местоположението на операторите на шпионския софтуер в България, Чешката република, Унгария, Гана, Израел, Мексико, Румъния, Сингапур, ОАЕ и Узбекистан.
За разлика от NSO Group, QuaDream има сравнително ниска обществена популярност.
Името на компанията е споменато за кратко в доклад за сигурността от декември 2022 г., издаден от Meta, компанията майка на Facebook, в който QuaDream е описана като базирана в Израел компания, основана от бивши служители на NSO. По това време Meta заяви, че е премахнала 250 акаунта във Facebook и Instagram, които са били свързани с QuaDream, и че смята, че акаунтите са били използвани за тестване на възможностите на производителя на шпионски софтуер с помощта на фалшиви акаунти, включително за ексфилтриране на данни като съобщения, изображения, видео и аудио файлове.
Citizen Lab заяви, че е идентифицирала ключови лица, свързани с QuaDream, чрез преглед на корпоративни документи и бази данни, и те включват бивш израелски военен служител и предишни служители на NSO Group.
QuaDream не отговори на искането за коментар, изпратено по електронна поща до лице, което е посочено в корпоративните документи като адвокат на компанията. Дружеството няма уебсайт, нито други данни за контакт. Citizen Lab заяви, че също не е получила отговор на запитванията, които е изпратила до адвоката на дружеството.
Анализът на Citizen Lab се основава отчасти на образци, споделени с изследователите от Microsoft Threat Intelligence. В публикация в блога си компанията заяви, че нейните анализатори са оценили с "висока степен на увереност", че проследената от нея група за заплахи е свързана с QuaDream, и че споделя подробна информация за заплахата с клиенти, партньори от индустрията и обществеността, за да повиши осведомеността за това как работят компаниите за шпионски софтуер.
