Шпионската фирма QuaDream удря високорискови iPhone-и

Хакерите, използващи хакерски инструменти от израелски доставчик на софтуер за наблюдение на име QuaDream, са се насочили към поне петима членове на гражданското общество в Северна Америка, Централна Азия, Югоизточна Азия, Европа и Близкия изток.

Според констатациите на група изследователи от Гражданската лаборатория кампанията с шпионски софтуер е била насочена срещу журналисти, представители на политическата опозиция и служител на НПО през 2021 г. Имената на жертвите не бяха разкрити.

Има и подозрения, че компанията е злоупотребила с експлойт с нулеви кликвания, наречен ENDOFDAYS в iOS 14, за да разположи шпионски софтуер като нулев ден във версии 14.4 и 14.4.2. Няма доказателства, че експлойтът е бил използван след март 2021 г.

ENDOFDAYS „изглежда използва невидими покани за календара на iCloud, изпратени от оператора на шпионския софтуер до жертвите“, казват изследователите, като добавят, че .ics файловете съдържат покани за две събития със задна дата и припокриващи се, така че да не предупреждават потребителите.

Предполага се, че атаките са използвали странност в iOS 14, според която всяка покана за календара на iCloud със задна дата, получена от телефона, се обработва автоматично и се добавя към календара на потребителите без никакво известие или подкана.

Екипът на Microsoft Threat Intelligence проследява QuaDream като DEV-0196, като го описва като атакуваща организация от частния сектор (PSOA). Макар че компанията кибер наемник не участва пряко в атаки срещу цели, за нея е известно, че продава своите „услуги за експлоатация и зловреден софтуер“ на правителствени клиенти, оценява с висока степен на достоверност технологичният гигант.

Зловредният софтуер, наречен KingsPawn, съдържа агент за наблюдение и основен агент за зловреден софтуер, като и двата са Mach-O файлове, написани съответно на Objective-C и Go.

Докато мониторният агент отговаря за намаляването на криминалистичния отпечатък на злонамерения софтуер, за да избегне откриване, основният агент идва с възможности за събиране на информация за устройството, клетъчни и Wi-Fi данни, събиране на файлове, достъп до камерата във фонов режим, достъп до местоположението, регистрите на повикванията и iOS Keychain и дори генериране на еднократна парола за iCloud, базирана на времето (TOTP).

Други образци поддържат запис на аудио от телефонни разговори и микрофона, изпълнение на заявки в SQL бази данни и почистване на съдебни следи, като например изтриване на всички събития от календара от две години преди текущия момент. Данните се ексфилтрират чрез HTTPS POST заявки.

Сканирането на интернет, извършено от Гражданската лаборатория, разкрива, че клиентите на QuaDream са управлявали 600 сървъра от няколко държави по света между края на 2021 г. и началото на 2023 г., включително България, Чехия, Унгария, Румъния, Гана, Израел, Мексико, Сингапур, ОАЕ и Узбекистан.

Въпреки опитите на шпионския софтуер да прикрие следите си, интердисциплинарната лаборатория заяви, че е успяла да открие неуточнени следи от това, което тя нарича „Фактор Ектоплазма“, които могат да бъдат използвани за проследяване на набора от инструменти на QuaDream в бъдеще.

Това не е първият случай, в който QuaDream привлича внимание. През февруари 2022 г. Ройтерс съобщи, че компанията е въоръжила експлойта FORCEDENTRY с нулево кликване в iMessage, за да внедри шпионско решение, наречено REIGN.

След това през декември 2022 г. Meta разкри, че е свалила мрежа от 250 фалшиви акаунта във Facebook и Instagram, контролирани от QuaDream, за да заразяват устройства с Android и iOS и да извличат лични данни.

Ако не друго, това е още един показател, че въпреки известността, която привлече NSO Group, търговските фирми за шпионски софтуер продължават да летят под радара и да разработват сложни шпионски продукти за използване от правителствени клиенти.

„Докато не бъде успешно ограничено неконтролируемото разпространение на комерсиален шпионски софтуер чрез системни правителствени регулации, броят на случаите на злоупотреби вероятно ще продължи да расте, подхранван както от компании с разпознаваеми имена, така и от други, които все още действат в сянка“, заявиха от Гражданската лаборатория.

Наричайки разрастването на наемните компании за шпионски софтуер като заплаха за демокрацията и правата на човека, Microsoft заяви, че борбата с подобни офанзивни субекти изисква „колективни усилия“ и „сътрудничество с много заинтересовани страни“.

„Освен това е само въпрос на време използването на продаваните от тях инструменти и технологии да се разпространи още повече“, заяви Ейми Хоган-Бърни, заместник-главен съветник на компанията по въпросите на политиката и защитата на киберсигурността.

„Това представлява реален риск за правата на човека онлайн, но също така и за сигурността и стабилността на по-широката онлайн среда. Услугите, които те предлагат, изискват от кибер наемниците да трупат уязвимости и да търсят нови начини за достъп до мрежи без разрешение.“

Източник: The Hacker News

Подобни публикации

Глобиха Amazon с 30 млн. долара заради домофона...

Amazon ще плати 30 млн. долара глоби за уреждане на обвиненията в н...
1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
Бъдете социални
Още по темата
01/06/2023

Глобиха Amazon с 30 млн. до...

Amazon ще плати 30 млн. долара...
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
Последно добавени
01/06/2023

Глобиха Amazon с 30 млн. до...

Amazon ще плати 30 млн. долара...
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!