In Anlehnung an das Pegasus-Debakel der NSO Group wurde ein weiteres Spyware-Tool, das das iPhone angreifen könnte, an Regierungen verkauft und erst jetzt entdeckt.
Spionagesoftware wird häufig von Sicherheitsbehörden und Regierungen eingesetzt, um interessierte Personen zu überwachen. Dies wurde am bekanntesten durch die Entdeckung von Pegasus, einer Spyware der NSO Group, die verkauft und verwendet wurde, um politische Gegner, Aktivisten und Journalisten auszuspionieren.
Obwohl die Pegasus-Diskussion abgeebbt ist, scheint es, dass die NSO Group nicht die einzige Organisation war, die Tools zur Überwachung eines iPhones an interessierte Parteien verkaufte.
Ein Bericht von Citizen Lab basierend auf einer Analyse von Proben, die von Microsoft Threat Intelligence geteilt wurden, enthüllten die Existenz eines Spionagetools, das Pegasus in vielerlei Hinsicht sehr ähnlich war. Die als „Reign“ bekannte Spyware des israelischen Unternehmens QuaDream bietet Regierungen Möglichkeiten, ihre potenzielle Opposition im Auge zu behalten.
Ähnlich wie Pegasus wurde Reign an Regierungen wie Singapur, Saudi-Arabien, Mexiko und Ghana verkauft. Es wurde anderen zugespielt, darunter Indonesien und Marokko.
Das Tool wurde außerdem in mindestens fünf Fällen verwendet. Bis heute wurde es gegen politische Oppositionelle, Journalisten und andere in Nordamerika, Zentralasien, Südostasien, Europa und dem Nahen Osten eingesetzt.
Zero-Click und verheerend
Vom Team gescannte Binärdateien zeigen, dass die Spyware mithilfe eines mutmaßlichen Zero-Click-Exploits für iOS 14 auf Zielgeräten bereitgestellt wurde. einschließlich gegen iOS 14.4 und iOS 14.4.2. Der Exploit, den Forscher als „Endofdays“ bezeichnen, verwendete unsichtbare iCloud-Kalendereinladungen, die an die Opfer gesendet wurden.
Nach der Installation hatte Reign einen beträchtlichen Zugriff auf die verschiedenen Komponenten von iOS-und iPhone-Funktionen, ähnlich wie Pegasus. Dazu gehörten:
Tonaufzeichnung von Anrufen Mikrofonaufnahme Aufnahme von Fotos mit Kameras Exfiltration und Entfernung von Gegenständen aus dem Schlüsselbund Generierung von iCloud 2FA-Passwörtern Durchsuchen von Dateien und Datenbanken auf dem Gerät Verfolgung des Gerätestandorts Bereinigung von Softwarespuren zur Minimierung der Erkennung.
Eine Selbstzerstörungsfunktion bereinigte die Spuren der Spyware, half den Forschern aber auch zu erkennen, ob ein Opfer mit dem Überwachungstool angegriffen wurde.
Eine anhaltende Gefahr für die Privatsphäre
QuaDream ist weiterhin in Betrieb. Es gelang ihm, eine Entdeckung für einen beträchtlichen Zeitraum zu vermeiden, weil er sich bemühte, eine Überprüfung zu vermeiden.
Das Unternehmen befindet sich außerdem in einem Rechtsstreit mit InReach, einem in Zypern ansässigen Unternehmen, das die Produkte von QuaDream außerhalb Israels verkauft. Der Streit über ein offensichtliches Versäumnis, Gelder im Jahr 2019 zu überweisen, half den Forschern, mehr über die Unternehmen, einschließlich ihrer leitenden Angestellten, zu erfahren.
QuaDream hat laut Citizen Lab „gemeinsame Wurzeln“ mit der NSO Group, mit anderen Unternehmen der kommerziellen israelischen Spyware-Industrie sowie mit Geheimdiensten innerhalb der israelischen Regierung.
Zu den Schlüsselpersonen gehören ein Mitbegründer, der ein ehemaliger israelischer Militärbeamter war, und ehemalige NSO-Mitarbeiter.
Citizen Lab sagt, der Bericht sei”eine Erinnerung daran, dass die Industrie für Söldner-Spyware größer ist als jedes einzelne Unternehmen und dass Forscher und potenzielle Ziele gleichermaßen wachsam sein müssen.”
