Хакерите, използващи хакерски инструменти от израелски доставчик на софтуер за наблюдение на име QuaDream, са се насочили към поне петима членове на гражданското общество в Северна Америка, Централна Азия, Югоизточна Азия, Европа и Близкия изток.

Според констатациите на група изследователи от Гражданската лаборатория кампанията с шпионски софтуер е била насочена срещу журналисти, представители на политическата опозиция и служител на НПО през 2021 г. Имената на жертвите не бяха разкрити.

Има и подозрения, че компанията е злоупотребила с експлойт с нулеви кликвания, наречен ENDOFDAYS в iOS 14, за да разположи шпионски софтуер като нулев ден във версии 14.4 и 14.4.2. Няма доказателства, че експлойтът е бил използван след март 2021 г.

ENDOFDAYS „изглежда използва невидими покани за календара на iCloud, изпратени от оператора на шпионския софтуер до жертвите“, казват изследователите, като добавят, че .ics файловете съдържат покани за две събития със задна дата и припокриващи се, така че да не предупреждават потребителите.

Предполага се, че атаките са използвали странност в iOS 14, според която всяка покана за календара на iCloud със задна дата, получена от телефона, се обработва автоматично и се добавя към календара на потребителите без никакво известие или подкана.

Екипът на Microsoft Threat Intelligence проследява QuaDream като DEV-0196, като го описва като атакуваща организация от частния сектор (PSOA). Макар че компанията кибер наемник не участва пряко в атаки срещу цели, за нея е известно, че продава своите „услуги за експлоатация и зловреден софтуер“ на правителствени клиенти, оценява с висока степен на достоверност технологичният гигант.

Зловредният софтуер, наречен KingsPawn, съдържа агент за наблюдение и основен агент за зловреден софтуер, като и двата са Mach-O файлове, написани съответно на Objective-C и Go.

Докато мониторният агент отговаря за намаляването на криминалистичния отпечатък на злонамерения софтуер, за да избегне откриване, основният агент идва с възможности за събиране на информация за устройството, клетъчни и Wi-Fi данни, събиране на файлове, достъп до камерата във фонов режим, достъп до местоположението, регистрите на повикванията и iOS Keychain и дори генериране на еднократна парола за iCloud, базирана на времето (TOTP).

Други образци поддържат запис на аудио от телефонни разговори и микрофона, изпълнение на заявки в SQL бази данни и почистване на съдебни следи, като например изтриване на всички събития от календара от две години преди текущия момент. Данните се ексфилтрират чрез HTTPS POST заявки.

Сканирането на интернет, извършено от Гражданската лаборатория, разкрива, че клиентите на QuaDream са управлявали 600 сървъра от няколко държави по света между края на 2021 г. и началото на 2023 г., включително България, Чехия, Унгария, Румъния, Гана, Израел, Мексико, Сингапур, ОАЕ и Узбекистан.

Въпреки опитите на шпионския софтуер да прикрие следите си, интердисциплинарната лаборатория заяви, че е успяла да открие неуточнени следи от това, което тя нарича „Фактор Ектоплазма“, които могат да бъдат използвани за проследяване на набора от инструменти на QuaDream в бъдеще.

Това не е първият случай, в който QuaDream привлича внимание. През февруари 2022 г. Ройтерс съобщи, че компанията е въоръжила експлойта FORCEDENTRY с нулево кликване в iMessage, за да внедри шпионско решение, наречено REIGN.

След това през декември 2022 г. Meta разкри, че е свалила мрежа от 250 фалшиви акаунта във Facebook и Instagram, контролирани от QuaDream, за да заразяват устройства с Android и iOS и да извличат лични данни.

Ако не друго, това е още един показател, че въпреки известността, която привлече NSO Group, търговските фирми за шпионски софтуер продължават да летят под радара и да разработват сложни шпионски продукти за използване от правителствени клиенти.

„Докато не бъде успешно ограничено неконтролируемото разпространение на комерсиален шпионски софтуер чрез системни правителствени регулации, броят на случаите на злоупотреби вероятно ще продължи да расте, подхранван както от компании с разпознаваеми имена, така и от други, които все още действат в сянка“, заявиха от Гражданската лаборатория.

Наричайки разрастването на наемните компании за шпионски софтуер като заплаха за демокрацията и правата на човека, Microsoft заяви, че борбата с подобни офанзивни субекти изисква „колективни усилия“ и „сътрудничество с много заинтересовани страни“.

„Освен това е само въпрос на време използването на продаваните от тях инструменти и технологии да се разпространи още повече“, заяви Ейми Хоган-Бърни, заместник-главен съветник на компанията по въпросите на политиката и защитата на киберсигурността.

„Това представлява реален риск за правата на човека онлайн, но също така и за сигурността и стабилността на по-широката онлайн среда. Услугите, които те предлагат, изискват от кибер наемниците да трупат уязвимости и да търсят нови начини за достъп до мрежи без разрешение.“