Un nuovo rapporto di Citizen Lab afferma che il gruppo ha scoperto un Strumento spyware mirato all’iPhone simile a Pegasus denominato”Reign”che è stato venduto ai governi e che può essere utilizzato per monitorare le attività delle persone prese di mira. Si dice che lo spyware sia simile allo spyware”Pegasus”del gruppo NSO, che in passato è stato utilizzato più volte per spiare giornalisti, attivisti e oppositori politici.
Citizen Lab afferma che, sulla base dell’analisi dei campioni forniti loro da Microsoft Threat Intelligence, lo strumento di spionaggio Reign è fornito dalla società israeliana QuaDream e consente ai governi di spiare gli avversari presi di mira.
QuaDream è in circolazione da diversi anni, sviluppando prodotti spyware avanzati. L’azienda sembra annoverare tra i propri clienti diversi governi di tutto il mondo.
Il gruppo afferma di aver identificato almeno cinque casi di spyware mirati in Nord America, Asia centrale, Sud-est asiatico, Europa e Medio Oriente. Le vittime degli attacchi spyware includevano giornalisti, esponenti dell’opposizione politica e persino un lavoratore del gruppo ONG.
Lo spyware viene distribuito sui dispositivi mirati attraverso l’exploit zero-click”Endofdays”per iOS 14, che utilizza gli inviti del calendario iCloud invisibili inviati alle vittime. Una volta installato su un dispositivo, lo spyware consente agli operatori di accedere a più funzioni iOS e iPhone, in modo simile a come ha fatto Pegasus di ONG Group.
Le funzionalità accessibili da Reign includono:
Registrazioni audio delle chiamate Accesso al microfono dell’iPhone Accesso alla fotocamera dell’iPhone Esfiltrazione e rimozione di elementi dal portachiavi Generazione di password 2FA iCloud Ricerca tra i file sul dispositivo Tracciamento della posizione di l’iPhone La capacità di rimuovere le tracce dello spyware nel tentativo di ridurre al minimo il rilevamento.
Sebbene lo spyware vantasse una funzione di autodistruzione in grado di rimuovere le tracce dello spyware, la funzione in realtà ha aiutato i ricercatori a identificare quando un utente è stato attaccato con lo strumento di sorveglianza.
I contatti di Citizen Lab nella comunità di informazioni sulle minacce hanno fornito un indicatore di rete collegato allo spyware di QuaDream. Citizen Lab è stato in grado di identificare oltre 600 server e 200 nomi di dominio che sembravano essere collegati allo spyware di QuaDream dalla fine del 2021 all’inizio del 2023. Ciò includeva i server che si ritiene fossero utilizzati per ricevere dati dalle vittime dello spyware, così come i server che sono utilizzato per gli exploit del browser con un clic dell’app spyware.
Citizen Lab ritiene che i sistemi QuaDream vengano utilizzati nei seguenti paesi:
Repubblica Ceca Ungheria Ghana Bulgaria Romania Israele Messico Emirati Arabi Uniti (UAE) Uzbekistan Singapore
Citizen Lab ha condiviso i suoi risultati con Microsoft Threat Intelligence e quel gruppo ha eseguito ulteriori scansioni per identificare i nomi di dominio collegati a QuaDream. Microsoft Threat Intelligence ha pubblicato i suoi risultati nel reportage.
Il gruppo QuaDream è ancora operativo e si ritiene che condivida”radici comuni”con il gruppo NSO, secondo Citizen Lab. Si dice anche che il gruppo sia collegato ad altri venditori di spyware commerciali israeliani, nonché alle agenzie di intelligence del governo israeliano.
QuaDream è stata co-fondata da un ex ufficiale militare israeliano e da ex dipendenti della NSO. Il gruppo è riuscito a rimanere fuori dai riflettori per un bel po’.
Queste informazioni sono apparse per la prima volta su Mactrast.com