Un nuevo informe de Citizen Lab dice que el grupo ha descubierto un Herramienta de spyware dirigida a iPhone similar a Pegasus llamada”Reign”que se ha vendido a los gobiernos y que se puede utilizar para monitorear las actividades de las personas objetivo. Se dice que el software espía es similar al software espía”Pegasus”de NSO Group, que en el pasado se ha utilizado varias veces para espiar a periodistas, activistas y opositores políticos.
Citizen Lab dice que, según el análisis de las muestras que les proporcionó Microsoft Threat Intelligence, la herramienta de espionaje Reign es proporcionada por la empresa israelí QuaDream y permite a los gobiernos espiar a los oponentes específicos.
QuaDream existe desde hace varios años, desarrollando productos avanzados de spyware. La empresa parece incluir entre sus clientes a varios gobiernos de todo el mundo.
El grupo dice que ha identificado al menos cinco casos de software espía dirigidos en América del Norte, Asia Central, el Sudeste Asiático, Europa y Oriente Medio. Las víctimas de los ataques de spyware incluyeron periodistas, figuras de la oposición política e incluso un trabajador del Grupo de ONG.
El software espía se implementa en los dispositivos objetivo a través de la vulnerabilidad de cero clics de iOS 14″Endofdays”, que utiliza invitaciones de calendario invisibles de iCloud enviadas a las víctimas. Una vez instalado en un dispositivo, el software espía permite a los operadores acceder a múltiples funciones de iOS y iPhone, de forma similar a como lo hizo Pegasus de NGO Group.
Las funciones accesibles por Reign incluyen:
Grabaciones de audio de llamadas Acceso al micrófono del iPhone Acceso a la cámara del iPhone Exfiltración y eliminación de elementos del llavero Generación de contraseñas 2FA de iCloud Búsqueda en archivos en el dispositivo Seguimiento de la ubicación de el iPhone La capacidad de eliminar los rastros del spyware en un intento de minimizar la detección.
Si bien el software espía contaba con una función de autodestrucción que podía eliminar los rastros del software espía, la función en realidad ayudó a los investigadores a identificar cuándo un usuario fue atacado con la herramienta de vigilancia.
Los contactos de Citizen Lab en la comunidad de inteligencia de amenazas proporcionaron un indicador de red vinculado al spyware de QuaDream. Citizen Lab pudo identificar más de 600 servidores y 200 nombres de dominio que parecían estar vinculados al software espía de QuaDream desde finales de 2021 hasta principios de 2023. Se cree que los servidores incluidos se utilizan para recibir datos de las víctimas del software espía, así como servidores que son utilizado para las vulnerabilidades del navegador con un solo clic de la aplicación de spyware.
Citizen Lab cree que los sistemas QuaDream se están utilizando en los siguientes países:
República Checa Hungría Ghana Bulgaria Rumania Israel México Emiratos Árabes Unidos (EAU) Uzbekistán Singapur
Citizen Lab compartió sus resultados con Microsoft Threat Intelligence, y ese grupo realizó un análisis adicional para identificar los nombres de dominio vinculados a QuaDream. Microsoft Threat Intelligence ha publicado sus resultados en su informe.
El grupo QuaDream todavía está en funcionamiento y se cree que comparte”raíces comunes”con el Grupo NSO, según Citizen Lab. También se dice que el grupo está conectado con otros proveedores de spyware comerciales israelíes, así como con las agencias de inteligencia del gobierno israelí.
QuaDream fue cofundado por un ex militar israelí y ex empleados de NSO. El grupo logró mantenerse fuera del centro de atención durante bastante tiempo.
Esta información apareció por primera vez en Mactrast.com
