Facendo eco alla debacle di Pegasus di NSO Group, un altro strumento spyware che potrebbe attaccare l’iPhone è stato venduto ai governi ed è stato scoperto solo ora.
Il software di spionaggio viene spesso utilizzato dalle agenzie di sicurezza e dai governi per monitorare le persone di interesse. Ciò è stato notoriamente dimostrato dalla scoperta di Pegasus, uno spyware di NSO Group venduto e utilizzato per spiare oppositori politici, attivisti e giornalisti.
Anche se la discussione su Pegasus si è spenta, sembra che NSO Group non fosse l’unica organizzazione a vendere strumenti in grado di sorvegliare un iPhone alle parti interessate.
Un rapporto di Citizen Lab basato sull’analisi di campioni condivisi da Microsoft Threat Intelligence ha rivelato l’esistenza di uno strumento di spionaggio molto simile a Pegasus sotto molti aspetti. Conosciuto come”Reign”, lo spyware della società israeliana QuaDream offre ai governi modi per tenere d’occhio, ancora una volta, la loro potenziale opposizione.
Proprio come Pegasus, Reign è stato venduto a governi tra cui Singapore, Arabia Saudita, Messico e Ghana. È stato presentato ad altri, tra cui Indonesia e Marocco.
Lo strumento è stato utilizzato anche in almeno cinque casi. Ad oggi è stato utilizzato contro esponenti dell’opposizione politica, giornalisti e altri in Nord America, Asia centrale, Sud-est asiatico, Europa e Medio Oriente.
Zero clic e devastante
I file binari scansionati dal team rivelano che lo spyware è stato distribuito sui dispositivi di destinazione utilizzando un sospetto exploit zero clic di iOS 14, anche contro iOS 14.4 e iOS 14.4.2. L’exploit, che i ricercatori chiamano”Endofdays”, ha utilizzato gli inviti del calendario iCloud invisibili inviati alle vittime.
Una volta installato, Reign ha avuto una notevole quantità di accesso ai vari componenti delle funzionalità di iOS e iPhone, proprio come ha fatto Pegasus. Ciò includeva:
Registrazione dell’audio delle chiamate Registrazione del microfono Scattare fotografie utilizzando le fotocamere Esfiltrazione e rimozione di elementi dal portachiavi Generazione di password iCloud 2FA Ricerca tra file e database sul dispositivo Tracciamento della posizione del dispositivo Eliminazione delle tracce del software per ridurre al minimo il rilevamento.
Una funzione di autodistruzione ha ripulito le tracce dello spyware, ma ha anche aiutato i ricercatori a identificare se una vittima è stata attaccata utilizzando lo strumento di sorveglianza.
Un continuo pericolo per la privacy
QuaDream continua a funzionare. È riuscito a evitare di essere scoperto per un considerevole periodo di tempo a causa degli sforzi per evitare il controllo.
L’azienda è anche in una controversia legale con InReach, un’entità con sede a Cipro utilizzata per vendere i prodotti QuaDream al di fuori di Israele. La disputa, per un apparente mancato trasferimento di fondi nel 2019, ha aiutato i ricercatori a scoprire di più sulle società, compresi i loro funzionari.
Si ritiene che QuaDream abbia”radici comuni”con NSO Group, secondo Citizen Lab, insieme ad altre società dell’industria dello spyware commerciale israeliano, nonché agenzie di intelligence all’interno del governo israeliano.
Tra le persone chiave c’è un co-fondatore che era un ex ufficiale militare israeliano ed ex dipendenti della NSO.
Citizen Lab afferma che il rapporto è”un promemoria del fatto che l’industria dello spyware mercenario è più grande di qualsiasi azienda e che è richiesta una vigilanza continua sia dai ricercatori che dai potenziali bersagli”.