12.04.2023 Скопје
Безбедносните експерти предупредија на појавата на претходно непознат шпионски софтвер со хакерски способности споредливи со Pegasus на NSO Group, кој клиентите веќе го користеа за да таргетираат новинари, личности од политичката опозиција и вработени во невладините организации.
Истражувачите од Citizen Lab на Универзитетот во Торонто, Munk School, рекоа дека шпионскиот софтвер, развиен од израелската компанија QuaDream, ги заразил телефоните на некои поединци со испраќање покана за календарот на iCloud до мобилните корисници од операторите на шпионскиот софтвер, кои најверојатно биле владини клиенти. Жртвите не беа известени за поканите од календарот бидејќи беа испратени за настани снимени во минатото, што ги прави невидливи за хакерските цели. Ваквите напади се познати како „нулти клик“ бидејќи корисниците на мобилни телефони не треба да кликнуваат на некоја злонамерна врска или да преземаат какви било активности за да бидат заразени.
Според извештајот на Citizen Lab, алатката за хакерство ја продава QuaDream под името Reign. Откриените хакерски напади се случија помеѓу 2019 и 2021 година.
Истражувањето нагласува дека додека NSO Group, производител на едно од најсофистицираните сајбер оружја во светот, се соочи со интензивна контрола и се најде на црната листа од администрацијата на Бајден, што веројатно го ограничува нејзиниот пристап до нови клиенти, заканата од слични и високософистицирани хакерски алатки продолжува. да се размножуваат.
Како и со Pegasus на NSO, телефонот заразен со Reign од клиентот QuaDream може да снима разговори што се одвиваат во близина на телефонот со контролирање на телефонскиот рекордер, да чита пораки во шифрирани апликации, да слуша телефонски разговори и да ја следи локацијата на корисникот, според Citizen Lab. Истражувачите открија дека Reign може да се користи и за генерирање на двофакторни кодови за автентикација на iPhone за да се инфилтрира во iCloud сметката на корисникот, дозволувајќи му на операторот на шпионски софтвер да ексфилтрира податоци директно од iCloud на корисникот.
Новите откритија претставуваат уште еден удар за Apple, кој ги рангираше своите безбедносни апликации меѓу најдобрите во светот. Сега Reign се чини дека е нова и моќна закана за интегритетот на мобилните телефони на компанијата.
Apple рече дека „постојано ја подобрува безбедноста на iOS“ и дека нема индикации дека програмата на QuaDream се користи од 2021 година. Компанијата рече дека нападите спонзорирани од државата, како оние опишани во извештајот на Citizen Lab, чинат милиони за развој, имаат краток век на траење и се користат за таргетирање на одредени поединци „заради тоа кои се или што прават“.
„Огромното мнозинство на корисници на iPhone никогаш нема да станат жртви на високо насочени сајбер напади и ние ќе работиме неуморно за да го заштитиме малиот број корисници кои го прават тоа“, велат од компанијата.
Citizen Lab не ги именуваше лицата идентификувани дека биле мета на клиентите кои користат Reign. Но, повеќе од пет жртви – опишани како новинари, личности од политичката опозиција и вработен во невладина организација – се вели дека се во Северна Америка, Централна Азија, Југоисточна Азија, Европа и Блискиот Исток. Citizen Lab, исто така, соопшти дека успеала да ги открие локациите на операторите на шпионски софтвер во Бугарија, Чешка, Унгарија, Гана, Израел, Мексико, Романија, Сингапур, ОАЕ и Узбекистан.
За разлика од NSO Group, QuaDream има релативно низок јавен профил.
Името на компанијата беше накратко споменато во безбедносниот извештај од декември 2022 година, издаден од матичната компанија на Фејсбук, Мета, во која се опишани QuaDream како компанија со седиште во Израел, основана од поранешни вработени во NSO. Во тоа време, Мета рече дека отстранила 250 сметки на Facebook и Instagram поврзани со QuaDream и верува дека сметките биле користени за тестирање на можностите на производителот на шпионски софтвер користејќи лажни сметки, вклучително и ексфилтрација на податоци како што се пораки, слики, видео и аудио датотеки.
Citizen Lab соопшти дека ги идентификувала клучните поединци поврзани со QuaDream преку преглед на корпоративни документи и бази на податоци, а меѓу нив има и поранешен израелски воен функционер и поранешни вработени во NSO Group.
QuaDream не одговори на барањето за коментар испратено преку е-пошта до поединец наведен во корпоративните поднесоци како адвокат на компанијата. Компанијата нема веб-страница или не дава други информации за контакт. Citizen Lab рече дека исто така не добила одговор на прашањата што ги испратила до адвокатот на фирмата.
Анализата на Citizen Lab беше делумно заснована на примероци споделени со истражувачите од Microsoft Threat Intelligence. Во блогот објавен во вторникот, компанијата рече дека нејзините аналитичари процениле со „висока доверба“ дека групата за закани што ја следела била поврзана со QuaDream и дека споделува детални информации за заканите со корисниците, индустриските партнери и јавноста за да ја подигне свеста за заканата за тоа како работат компаниите за шпионски софтвер.
Подготвено од А.Ѓ.