A Citizen Lab új jelentése szerint a csoport felfedezett egy Pegasus-szerű iPhone-ra célzott „Reign” nevű kémprogram-eszköz, amelyet kormányoknak adtak el, és amellyel a megcélzott személyek tevékenységét lehet nyomon követni. A kémprogram állítólag hasonlít az NSO Group „Pegasus” kémprogramjához, amelyet a múltban többször is használtak újságírók, aktivisták és politikai ellenfelek utáni kémkedésre.
A Citizen Lab azt állítja, hogy a Microsoft Threat Intelligence által rendelkezésükre bocsátott minták elemzése alapján a Reign kémeszközt az izraeli QuaDream cég biztosítja, és lehetővé teszi a kormányok számára, hogy megcélzott ellenfelek után kémkedjenek.
A QuaDream több éve létezik, és fejlett kémprogramokat fejleszt. Úgy tűnik, hogy a vállalat több kormányt is felvesz ügyfelei közé szerte a világon.
A csoport azt állítja, hogy legalább öt célzott kémprogram-esetet azonosított Észak-Amerikában, Közép-Ázsiában, Délkelet-Ázsiában, Európában és a Közel-Keleten. A kémprogram-támadások áldozatai között voltak újságírók, politikai ellenzéki személyiségek, sőt még egy NGO Group dolgozó is.
A kémprogram a megcélzott eszközökön az „Endofdays” iOS 14 nulla kattintásos exploitján keresztül kerül telepítésre, amely az áldozatoknak küldött láthatatlan iCloud-naptári meghívókat használ. Miután telepítették az eszközre, a spyware lehetővé teszi az üzemeltetők számára, hogy több iOS és iPhone funkcióhoz is hozzáférjenek, hasonlóan ahhoz, ahogy az NGO Group Pegasusa tette.
A Reign által elérhető funkciók a következők:
Hívások hangfelvételei iPhone mikrofon hozzáférés iPhone kamera hozzáférés Elemek kiszűrése és eltávolítása a kulcstartóból Az iCloud 2FA jelszavak generálása Keresés a készüléken lévő fájlok között A telefon helyének nyomon követése az iPhone A kémprogram nyomainak eltávolításának képessége az észlelés minimalizálása érdekében.
Míg a kémprogram önmegsemmisítő funkcióval büszkélkedhetett, amely képes volt eltávolítani a kémprogram nyomait, a funkció valójában segített a kutatóknak annak azonosításában, hogy mikor támadtak meg egy felhasználót a megfigyelőeszközzel.
A Citizen Lab fenyegetés-felderítési közösségbeli kapcsolatai hálózati jelzőt biztosítottak a QuaDream kémprogramjaihoz kapcsolódóan. A Citizen Lab több mint 600 szervert és 200 domain nevet tudott azonosítani, amelyek 2021 végétől 2023 elejéig úgy tűnt, hogy a QuaDream kémprogramjaihoz kapcsolódnak. Ezek között a szervereken is feltételezhető, hogy adatokat fogadnak a kémprogram áldozataitól, valamint olyan szervereket, amelyek a spyware alkalmazás egykattintásos böngészőjeihez használják.
A Citizen Lab véleménye szerint a QuaDream rendszereket a következő országokban üzemeltetik:
Cseh Köztársaság Magyarország Ghána Bulgária Románia Izrael Mexikó Egyesült Arab Emírségek (EAE) Üzbegisztán Szingapúr
A Citizen Lab megosztotta eredményeit a Microsofttal Threat Intelligence, és ez a csoport további vizsgálatokat végzett a QuaDreamhez kapcsolódó tartománynevek azonosítására. A Microsoft Threat Intelligence eredményeit jelentésében tette közzé.
A QuaDream csoport továbbra is működik, és vélhetően „közös gyökerekkel” rendelkezik az NSO csoporttal a Citizen Lab szerint. A csoport állítólag más izraeli kereskedelmi kémprogram-szállítókkal, valamint izraeli kormányzati hírszerző ügynökségekkel is kapcsolatban áll.
A Quadream alapítója egy volt izraeli katonatiszt és az NSO volt alkalmazottai. A csoportnak sikerült egy ideig távol maradnia a reflektorfénytől.
Ez az információ először a Mactrast.com webhelyen jelent meg
