Шпионската фирма QuaDream удря високорискови iPhone-и

Хакерите, използващи хакерски инструменти от израелски доставчик на софтуер за наблюдение на име QuaDream, са се насочили към поне петима членове на гражданското общество в Северна Америка, Централна Азия, Югоизточна Азия, Европа и Близкия изток.

Според констатациите на група изследователи от Гражданската лаборатория кампанията с шпионски софтуер е била насочена срещу журналисти, представители на политическата опозиция и служител на НПО през 2021 г. Имената на жертвите не бяха разкрити.

Има и подозрения, че компанията е злоупотребила с експлойт с нулеви кликвания, наречен ENDOFDAYS в iOS 14, за да разположи шпионски софтуер като нулев ден във версии 14.4 и 14.4.2. Няма доказателства, че експлойтът е бил използван след март 2021 г.

ENDOFDAYS „изглежда използва невидими покани за календара на iCloud, изпратени от оператора на шпионския софтуер до жертвите“, казват изследователите, като добавят, че .ics файловете съдържат покани за две събития със задна дата и припокриващи се, така че да не предупреждават потребителите.

Предполага се, че атаките са използвали странност в iOS 14, според която всяка покана за календара на iCloud със задна дата, получена от телефона, се обработва автоматично и се добавя към календара на потребителите без никакво известие или подкана.

Екипът на Microsoft Threat Intelligence проследява QuaDream като DEV-0196, като го описва като атакуваща организация от частния сектор (PSOA). Макар че компанията кибер наемник не участва пряко в атаки срещу цели, за нея е известно, че продава своите „услуги за експлоатация и зловреден софтуер“ на правителствени клиенти, оценява с висока степен на достоверност технологичният гигант.

Зловредният софтуер, наречен KingsPawn, съдържа агент за наблюдение и основен агент за зловреден софтуер, като и двата са Mach-O файлове, написани съответно на Objective-C и Go.

Докато мониторният агент отговаря за намаляването на криминалистичния отпечатък на злонамерения софтуер, за да избегне откриване, основният агент идва с възможности за събиране на информация за устройството, клетъчни и Wi-Fi данни, събиране на файлове, достъп до камерата във фонов режим, достъп до местоположението, регистрите на повикванията и iOS Keychain и дори генериране на еднократна парола за iCloud, базирана на времето (TOTP).

Други образци поддържат запис на аудио от телефонни разговори и микрофона, изпълнение на заявки в SQL бази данни и почистване на съдебни следи, като например изтриване на всички събития от календара от две години преди текущия момент. Данните се ексфилтрират чрез HTTPS POST заявки.

Сканирането на интернет, извършено от Гражданската лаборатория, разкрива, че клиентите на QuaDream са управлявали 600 сървъра от няколко държави по света между края на 2021 г. и началото на 2023 г., включително България, Чехия, Унгария, Румъния, Гана, Израел, Мексико, Сингапур, ОАЕ и Узбекистан.

Въпреки опитите на шпионския софтуер да прикрие следите си, интердисциплинарната лаборатория заяви, че е успяла да открие неуточнени следи от това, което тя нарича „Фактор Ектоплазма“, които могат да бъдат използвани за проследяване на набора от инструменти на QuaDream в бъдеще.

Това не е първият случай, в който QuaDream привлича внимание. През февруари 2022 г. Ройтерс съобщи, че компанията е въоръжила експлойта FORCEDENTRY с нулево кликване в iMessage, за да внедри шпионско решение, наречено REIGN.

След това през декември 2022 г. Meta разкри, че е свалила мрежа от 250 фалшиви акаунта във Facebook и Instagram, контролирани от QuaDream, за да заразяват устройства с Android и iOS и да извличат лични данни.

Ако не друго, това е още един показател, че въпреки известността, която привлече NSO Group, търговските фирми за шпионски софтуер продължават да летят под радара и да разработват сложни шпионски продукти за използване от правителствени клиенти.

„Докато не бъде успешно ограничено неконтролируемото разпространение на комерсиален шпионски софтуер чрез системни правителствени регулации, броят на случаите на злоупотреби вероятно ще продължи да расте, подхранван както от компании с разпознаваеми имена, така и от други, които все още действат в сянка“, заявиха от Гражданската лаборатория.

Наричайки разрастването на наемните компании за шпионски софтуер като заплаха за демокрацията и правата на човека, Microsoft заяви, че борбата с подобни офанзивни субекти изисква „колективни усилия“ и „сътрудничество с много заинтересовани страни“.

„Освен това е само въпрос на време използването на продаваните от тях инструменти и технологии да се разпространи още повече“, заяви Ейми Хоган-Бърни, заместник-главен съветник на компанията по въпросите на политиката и защитата на киберсигурността.

„Това представлява реален риск за правата на човека онлайн, но също така и за сигурността и стабилността на по-широката онлайн среда. Услугите, които те предлагат, изискват от кибер наемниците да трупат уязвимости и да търсят нови начини за достъп до мрежи без разрешение.“

Източник: The Hacker News

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
Бъдете социални
Още по темата
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
26/09/2023

Разликите между локалната и...

Разликата между управлението на киберсигурността в...
25/09/2023

Хакери от Gelsemium са забе...

При атаките, насочени към правителство в...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!