與 NSO Group 的 Pegasus 崩潰相呼應,另一種可以攻擊 iPhone 的間諜軟件工具被賣給了政府,直到現在才被發現。

安全機構和政府經常使用間諜軟件來監視感興趣的個人。最著名的證據是 Pegasus 的發現,這是 NSO Group 出售的間諜軟件,用於監視政治對手、活動家和記者。

雖然關於 Pegasus 的討論已經平息,但似乎 NSO Group 並不是唯一向感興趣的各方銷售能夠監控 iPhone 的工具的組織。

報告公民實驗室基於分析Microsoft Threat Intelligence 共享的大量樣本揭示了一種在許多方面與 Pegasus 非常相似的間諜工具的存在。以色列公司 QuaDream 開發的間諜軟件被稱為“Reign”,它為政府提供了監視潛在反對派的途徑。

與 Pegasus 非常相似,Reign 已被出售給包括新加坡、沙特阿拉伯、墨西哥和加納在內的政府。它被推銷給其他國家,包括印度尼西亞和摩洛哥。

該工具也已在至少五個案例中使用。迄今為止,它已被用來對付北美、中亞、東南亞、歐洲和中東的政治反對派人物、記者和其他人。

零點擊和破壞性

團隊掃描的二進製文件顯示,間諜軟件是通過使用可疑的 iOS 14 零點擊漏洞部署到目標設備的,包括針對 iOS 14.4 和 iOS 14.4.2。這個被研究人員稱為“Endofdays”的漏洞使用了發送給受害者的隱形 iCloud 日曆邀請。

安裝後,Reign 可以大量訪問 iOS 和 iPhone 功能的各種組件,就像 Pegasus 一樣。這包括:

錄製通話音頻 錄製麥克風 使用相機拍照 從鑰匙串中竊取和刪除項目 生成 iCloud 2FA 密碼 搜索設備上的文件和數據庫 跟踪設備的位置 清理軟件痕跡以盡量減少檢測.

自毀功能清除了間諜軟件的痕跡,還幫助研究人員確定受害者是否受到使用監視工具的攻擊。

持續的隱私危險

QuaDream 繼續運營。由於努力避免審查,它在相當長的一段時間內設法避免被發現。

該公司還與 InReach 發生法律糾紛,InReach 是一家位於塞浦路斯的實體,曾在以色列境外銷售 QuaDream 的產品。這場因 2019 年資金轉移明顯失敗而引發的爭議幫助研究人員更多地了解了這些公司,包括它們的管理人員。

據 Citizen Lab 稱,QuaDream 與 NSO Group、以色列商業間諜軟件行業的其他公司以及以色列政府的情報機構都有“共同根源”。

在關鍵人物中有一位聯合創始人,他曾是以色列前軍事官員和前國家統計局僱員。

Citizen Lab 表示,該報告“提醒我們,僱傭間諜軟件行業比任何一家公司都要大,研究人員和潛在目標都需要持續保持警惕。”

Categories: IT Info