Um novo relatório do Citizen Lab diz que o grupo descobriu um Ferramenta de spyware direcionada ao iPhone semelhante a Pegasus chamada “Reign” que foi vendida para governos e que pode ser usada para monitorar as atividades de indivíduos visados. Diz-se que o spyware é semelhante ao spyware”Pegasus”do NSO Group, que já foi usado várias vezes para espionar jornalistas, ativistas e oponentes políticos.
O Citizen Lab diz que, com base na análise de amostras fornecidas a eles pela Microsoft Threat Intelligence, a ferramenta de espionagem Reign é fornecida pela empresa israelense QuaDream e permite que os governos espionem os oponentes visados.
A QuaDream existe há vários anos, desenvolvendo produtos avançados de spyware. A empresa parece incluir entre seus clientes vários governos ao redor do mundo.
O grupo diz ter identificado pelo menos cinco casos de spyware direcionado na América do Norte, Ásia Central, Sudeste Asiático, Europa e Oriente Médio. As vítimas dos ataques de spyware incluíam jornalistas, figuras da oposição política e até mesmo um funcionário do grupo de ONG.
O spyware é implantado em dispositivos visados por meio da exploração de clique zero do iOS 14 “Endofdays”, que usa convites de calendário invisíveis do iCloud enviados às vítimas. Uma vez instalado em um dispositivo, o spyware permite que os operadores acessem vários recursos do iOS e do iPhone, de maneira semelhante à Pegasus, do grupo de ONGs.
Os recursos acessíveis pelo Reign incluem:
Gravações de áudio de chamadas Acesso ao microfone do iPhone Acesso à câmera do iPhone Exfiltração e remoção de itens do chaveiro Geração de senhas 2FA do iCloud Pesquisa de arquivos no dispositivo Rastreamento da localização de o iPhone A capacidade de remover vestígios do spyware em uma tentativa de minimizar a detecção.
Embora o spyware ostentasse um recurso de autodestruição capaz de remover vestígios do spyware, o recurso realmente ajudou os pesquisadores a identificar quando um usuário foi atacado com a ferramenta de vigilância.
Os contatos do Citizen Lab na comunidade de inteligência de ameaças forneceram um indicador de rede vinculado ao spyware da QuaDream. O Citizen Lab conseguiu identificar mais de 600 servidores e 200 nomes de domínio que pareciam estar vinculados ao spyware da QuaDream do final de 2021 ao início de 2023. Acredita-se que os servidores incluídos sejam usados para receber dados das vítimas do spyware, bem como servidores que são usado para explorações de navegador de um clique do aplicativo de spyware.
A Citizen Lab acredita que os sistemas QuaDream estão sendo operados nos seguintes países:
República Tcheca Hungria Gana Bulgária Romênia Israel México Emirados Árabes Unidos (EAU) Uzbequistão Cingapura
A Citizen Lab compartilhou seus resultados com a Microsoft Threat Intelligence, e esse grupo realizou varredura adicional para identificar nomes de domínio vinculados ao QuaDream. O Microsoft Threat Intelligence publicou seus resultados em seu relatório.
O grupo QuaDream ainda está em operação e acredita-se que compartilhe “raízes comuns” com o NSO Group, de acordo com o Citizen Lab. O grupo também está conectado a outros fornecedores de spyware comercial israelense, bem como a agências de inteligência do governo israelense.
A QuaDream foi co-fundada por um ex-oficial militar israelense e ex-funcionários da NSO. O grupo conseguiu ficar fora dos holofotes por um bom tempo.
Esta informação apareceu pela primeira vez em Mactrast.com
