Az NSO Group Pegasus bukását visszhangozva egy másik, az iPhone-t támadni képes kémprogram-eszközt eladtak a kormányoknak, és csak most fedezték fel.
A biztonsági ügynökségek és a kormányok gyakran használnak kémszoftvert az érdeklődő személyek megfigyelésére. Ezt a leghíresebben a Pegasus, az NSO Group kémprogramjának felfedezése bizonyította, amelyet politikai ellenfelek, aktivisták és újságírók utáni kémkedésre adtak el és használtak.
Bár a Pegasus-vita elhalt, úgy tűnik, hogy nem az NSO Group volt az egyetlen olyan szervezet, amely iPhone megfigyelésére alkalmas eszközöket értékesített az érdeklődőknek.
Enalízisen alapuló jelentés a Citizen Lab-tól A Microsoft Threat Intelligence által megosztott mintákból kiderült, hogy létezik egy kémeszköz, amely sok tekintetben nagyon hasonlít a Pegasushoz. Az izraeli QuaDream cég „Reign” néven ismert kémprogramja lehetőséget kínál a kormányok számára, hogy figyelemmel kísérjék potenciális ellenállásukat.
A Pegasushoz hasonlóan a Reignt is eladták olyan kormányoknak, mint Szingapúr, Szaúd-Arábia, Mexikó és Ghána. Másoknak is bemutatták, köztük Indonéziának és Marokkónak.
Az eszközt legalább öt esetben használták. A mai napig politikai ellenzéki személyiségek, újságírók és mások ellen használták Észak-Amerikában, Közép-Ázsiában, Délkelet-Ázsiában, Európában és a Közel-Keleten.
Nulla kattintás és pusztító
A csapat által átvizsgált bináris fájlokból kiderül, hogy a kémprogramot az iOS 14 feltételezett nulla kattintásos kihasználásával telepítették a céleszközökre, többek között iOS 14.4 és iOS 14.4.2 ellen. A kutatók”Endofdays”néven emlegetett kihasználás során láthatatlan iCloud-naptári meghívókat használtak, amelyeket az áldozatoknak küldtek.
A telepítést követően a Reign jelentős mértékben hozzáfért az iOS és iPhone funkciók különböző összetevőihez, hasonlóan a Pegasushoz. Ez magában foglalta:
Hívások hangjának rögzítése Mikrofon rögzítése Fényképezés kamerákkal Elemek kiszűrése és eltávolítása a kulcstartóból iCloud 2FA jelszavak generálása Keresés az eszközön lévő fájlok és adatbázisok között Az eszköz helyének követése A szoftver nyomainak eltávolítása az észlelés minimalizálása érdekében.
Egy önmegsemmisítő funkció eltüntette a kémprogram nyomait, de segített a kutatóknak azonosítani, ha egy áldozatot megtámadtak a megfigyelőeszköz segítségével.
Folyamatosan fennálló adatvédelmi veszély
A QuaDream továbbra is működik. A vizsgálat elkerülésére tett erőfeszítések miatt jelentős ideig sikerült elkerülni, hogy felfedezzék.
A cég jogi vitában áll az InReach-al is, amely egy ciprusi székhelyű entitás, amely a QuaDream termékeit Izraelen kívül értékesítette. A 2019-es pénzátutalások nyilvánvaló kudarca körüli vita segített a kutatóknak többet felfedezni a vállalatokról, beleértve azok tisztviselőit is.
A Citizen Lab szerint a QuaDreamnek”közös gyökerei”vannak az NSO Csoporttal, valamint az izraeli kereskedelmi kémprogram-ipar más vállalataival, valamint az izraeli kormányon belüli hírszerző ügynökségekkel.
A kulcsfontosságú személyek között van egy társalapító, aki egykori izraeli katonai tisztviselő volt, valamint az NSO korábbi alkalmazottai.
A Citizen Lab szerint a jelentés”emlékeztető arra, hogy a zsoldos kémprogramok iparága nagyobb, mint bármelyik vállalat, és folyamatos éberségre van szükség a kutatóktól és a potenciális célpontoktól egyaránt.”