Хакерите, използващи хакерски инструменти от израелски доставчик на софтуер за наблюдение на име QuaDream, са се насочили към поне петима членове на гражданското общество в Северна Америка, Централна Азия, Югоизточна Азия, Европа и Близкия изток.

Според констатациите на група изследователи от Гражданската лаборатория кампанията с шпионски софтуер е била насочена срещу журналисти, представители на политическата опозиция и служител на НПО през 2021 г. Имената на жертвите не бяха разкрити.

Има и подозрения, че компанията е злоупотребила с експлойт с нулеви кликвания, наречен ENDOFDAYS в iOS 14, за да разположи шпионски софтуер като нулев ден във версии 14.4 и 14.4.2. Няма доказателства, че експлойтът е бил използван след март 2021 г.

ENDOFDAYS „изглежда използва невидими покани за календара на iCloud, изпратени от оператора на шпионския софтуер до жертвите“, казват изследователите, като добавят, че .ics файловете съдържат покани за две събития със задна дата и припокриващи се, така че да не предупреждават потребителите.

Предполага се, че атаките са използвали странност в iOS 14, според която всяка покана за календара на iCloud със задна дата, получена от телефона, се обработва автоматично и се добавя към календара на потребителите без никакво известие или подкана.

Екипът на Microsoft Threat Intelligence проследява QuaDream като DEV-0196, като го описва като атакуваща организация от частния сектор (PSOA). Макар че компанията кибер наемник не участва пряко в атаки срещу цели, за нея е известно, че продава своите „услуги за експлоатация и зловреден софтуер“ на правителствени клиенти, оценява с висока степен на достоверност технологичният гигант.

Зловредният софтуер, наречен KingsPawn, съдържа агент за наблюдение и основен агент за зловреден софтуер, като и двата са Mach-O файлове, написани съответно на Objective-C и Go.

Докато мониторният агент отговаря за намаляването на криминалистичния отпечатък на злонамерения софтуер, за да избегне откриване, основният агент идва с възможности за събиране на информация за устройството, клетъчни и Wi-Fi данни, събиране на файлове, достъп до камерата във фонов режим, достъп до местоположението, регистрите на повикванията и iOS Keychain и дори генериране на еднократна парола за iCloud, базирана на времето (TOTP).

Други образци поддържат запис на аудио от телефонни разговори и микрофона, изпълнение на заявки в SQL бази данни и почистване на съдебни следи, като например изтриване на всички събития от календара от две години преди текущия момент. Данните се ексфилтрират чрез HTTPS POST заявки.

Сканирането на интернет, извършено от Гражданската лаборатория, разкрива, че клиентите на QuaDream са управлявали 600 сървъра от няколко държави по света между края на 2021 г. и началото на 2023 г., включително България, Чехия, Унгария, Румъния, Гана, Израел, Мексико, Сингапур, ОАЕ и Узбекистан.

Въпреки опитите на шпионския софтуер да прикрие следите си, интердисциплинарната лаборатория заяви, че е успяла да открие неуточнени следи от това, което тя нарича „Фактор Ектоплазма“, които могат да бъдат използвани за проследяване на набора от инструменти на QuaDream в бъдеще.

Това не е първият случай, в който QuaDream привлича внимание. През февруари 2022 г. Ройтерс съобщи, че компанията е въоръжила експлойта FORCEDENTRY с нулево кликване в iMessage, за да внедри шпионско решение, наречено REIGN.

След това през декември 2022 г. Meta разкри, че е свалила мрежа от 250 фалшиви акаунта във Facebook и Instagram, контролирани от QuaDream, за да заразяват устройства с Android и iOS и да извличат лични данни.

Ако не друго, това е още един показател, че въпреки известността, която привлече NSO Group, търговските фирми за шпионски софтуер продължават да летят под радара и да разработват сложни шпионски продукти за използване от правителствени клиенти.

„Докато не бъде успешно ограничено неконтролируемото разпространение на комерсиален шпионски софтуер чрез системни правителствени регулации, броят на случаите на злоупотреби вероятно ще продължи да расте, подхранван както от компании с разпознаваеми имена, така и от други, които все още действат в сянка“, заявиха от Гражданската лаборатория.

Наричайки разрастването на наемните компании за шпионски софтуер като заплаха за демокрацията и правата на човека, Microsoft заяви, че борбата с подобни офанзивни субекти изисква „колективни усилия“ и „сътрудничество с много заинтересовани страни“.

„Освен това е само въпрос на време използването на продаваните от тях инструменти и технологии да се разпространи още повече“, заяви Ейми Хоган-Бърни, заместник-главен съветник на компанията по въпросите на политиката и защитата на киберсигурността.

„Това представлява реален риск за правата на човека онлайн, но също така и за сигурността и стабилността на по-широката онлайн среда. Услугите, които те предлагат, изискват от кибер наемниците да трупат уязвимости и да търсят нови начини за достъп до мрежи без разрешение.“

Източник: The Hacker News

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
24 януари 2025

Верижно свързани уязвимости на Ivanti в кибератаки

Кибератакистите използват нов вектор на заплаха, включващ няколко у...
24 януари 2025

Axoflow набира 7 млн. долара за платформа за ку...

Платформата за куриране на данни за сигурността Axoflow обяви в сря...
Бъдете социални
Още по темата
23/01/2025

Рекорден брой рансъмуер ата...

В сряда NCC Group публикува доклада...
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
20/01/2025

HPE разследва твърдения за ...

HPE започна разследване, след като известен...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!