Toistaen NSO Groupin Pegasus-kriisin, toinen vakoiluohjelma, joka voisi hyökätä iPhoneen, myytiin hallituksille, ja se on löydetty vasta nyt.
Turvallisuusvirastot ja hallitukset käyttävät usein vakoiluohjelmistoja kiinnostavien henkilöiden valvontaan. Tämän tunnetuimmin osoitti Pegasus, NSO Groupin vakoiluohjelma, jota myytiin ja jota käytettiin poliittisten vastustajien, aktivistien ja toimittajien vakoomiseen.
Vaikka Pegasus-keskustelu on laantunut, näyttää siltä, että NSO Group ei ollut ainoa organisaatio, joka myi iPhonen valvontaan kykeneviä työkaluja kiinnostuneille osapuolille.
Analyyseihin perustuva raportti Citizen Labilta Microsoft Threat Intelligencen jakamista näytteistä paljasti vakoilutyökalun olemassaolon, joka oli hyvin samanlainen kuin Pegasus monin tavoin. Israelilaisen QuaDreamin vakoiluohjelma, joka tunnetaan nimellä”Reign”, tarjoaa hallituksille tapoja seurata mahdollista vastustustaan.
Pegasuksen tapaan Reign on myyty hallituksille, kuten Singaporelle, Saudi-Arabialle, Meksikolle ja Ghanalle. Se esitettiin muille, kuten Indonesialle ja Marokolle.
Työkalua on myös käytetty ainakin viidessä tapauksessa. Tähän mennessä sitä on käytetty poliittisia oppositiohahmoja, toimittajia ja muita vastaan Pohjois-Amerikassa, Keski-Aasiassa, Kaakkois-Aasiassa, Euroopassa ja Lähi-idässä.
Nolla-napsautus ja tuhoisa
Tiimin skannaamat binaarit paljastavat, että vakoiluohjelmat käytettiin kohdelaitteisiin käyttämällä epäiltyä iOS 14:n nolla-napsautuksen hyväksikäyttöä. mukaan lukien iOS 14.4 ja iOS 14.4.2 vastaan. Hyödynnässä, jota tutkijat kutsuvat”Endofdays”, käytettiin näkymättömiä iCloud-kalenterikutsuja, jotka lähetettiin uhreille.
Asennuksen jälkeen Reignillä oli huomattava määrä pääsyä iOS-ja iPhone-ominaisuuksien eri osiin, aivan kuten Pegasus. Tähän sisältyi:
Puheluiden äänen nauhoittaminen mikrofonin nauhoittaminen Valokuvien ottaminen kameroilla Kohteiden poistaminen avaimenperästä iCloud 2FA-salasanojen luominen iCloud 2FA-salasanojen etsiminen laitteen tiedostoista ja tietokannoista Laitteen sijainnin seuraaminen ohjelmiston jälkien puhdistaminen havaitsemisen minimoimiseksi.
Itsetuhotoiminto siivosi vakoiluohjelmien jäljet, mutta auttoi myös tutkijoita tunnistamaan, joutuiko uhrin kimppuun valvontatyökalulla.
Jatkuva tietosuojavaara
QuaDream jatkaa toimintaansa. Se onnistui välttämään sen löytämisen huomattavan pitkään, koska yritettiin välttää tarkastelua.
Yritys on myös oikeudellisessa kiistassa InReachin kanssa, Kyproksella toimivan yrityksen kanssa, joka myy QuaDreamin tuotteita Israelin ulkopuolelle. Kiista, joka koski ilmeistä epäonnistumista varojen siirtämisessä vuonna 2019, auttoi tutkijoita löytämään enemmän yrityksistä, mukaan lukien niiden virkailijat.
QuaDreamin uskotaan olevan”yhteiset juuret”NSO Groupin kanssa Citizen Labin mukaan muiden Israelin kaupallisen vakoiluohjelmateollisuuden yritysten sekä Israelin hallituksen tiedustelupalveluiden kanssa.
Avainhenkilöiden joukossa on yksi perustajista, joka oli entinen Israelin armeijan virkamies, ja entisiä NSO:n työntekijöitä.
Citizen Lab sanoo, että raportti on”muistutus siitä, että palkkasotilaiden vakoiluohjelmien ala on suurempi kuin yksikään yritys ja että tutkijat ja mahdolliset kohteet vaativat jatkuvaa valppautta.”