In navolging van het Pegasus-debacle van de NSO Group werd een andere spywaretool die de iPhone kon aanvallen, verkocht aan regeringen en nu pas ontdekt.
Spionagesoftware wordt vaak gebruikt door veiligheidsinstanties en overheden om geïnteresseerde personen in de gaten te houden. Dit werd het beroemdst gedemonstreerd door de ontdekking van Pegasus, spyware door NSO Group die werd verkocht en gebruikt om politieke tegenstanders, activisten en journalisten te bespioneren.
Een rapport van Citizen Lab op basis van analyse van voorbeelden gedeeld door Microsoft Threat Intelligence onthulde het bestaan van een spionagetool die in veel opzichten erg op Pegasus leek. Bekend als”Reign”, biedt de spyware van het Israëlische bedrijf QuaDream manieren voor regeringen om hun potentiële oppositie in de gaten te houden.
Net als Pegasus is Reign verkocht aan regeringen, waaronder Singapore, Saoedi-Arabië, Mexico en Ghana. Het werd gepitcht aan anderen, waaronder Indonesië en Marokko.
De tool is ook in zeker vijf gevallen gebruikt. Tot op heden is het gebruikt tegen figuren uit de politieke oppositie, journalisten en anderen in Noord-Amerika, Centraal-Azië, Zuidoost-Azië, Europa en het Midden-Oosten.
Zero-click en verwoestend
Binaries die door het team zijn gescand, onthullen dat de spyware is ingezet om apparaten te targeten met behulp van een vermoedelijke iOS 14 zero-click-exploit, ook tegen iOS 14.4 en iOS 14.4.2. De exploit, die onderzoekers”Endofdays”noemen, maakte gebruik van onzichtbare iCloud-agenda-uitnodigingen die naar de slachtoffers werden gestuurd.
Eenmaal geïnstalleerd, had Reign een aanzienlijke hoeveelheid toegang tot de verschillende componenten van iOS-en iPhone-functies, net als Pegasus. Dit omvatte:
Geluid opnemen van oproepen Microfoon opnemen Foto’s maken met camera’s Items uit de sleutelhanger exfiltreren en verwijderen iCloud 2FA-wachtwoorden genereren Bestanden en databases op het apparaat doorzoeken De locatie van het apparaat volgen Sporen van de software opschonen om detectie te minimaliseren.
Een zelfvernietigingsfunctie wist de sporen van de spyware op, maar hielp onderzoekers ook te identificeren of een slachtoffer was aangevallen met behulp van de bewakingstool.
Een aanhoudend privacygevaar
QuaDream blijft werken. Het slaagde erin om gedurende een aanzienlijke periode te voorkomen dat het werd ontdekt vanwege pogingen om nauwkeurig onderzoek te vermijden.
Het bedrijf heeft ook een juridisch geschil met InReach, een in Cyprus gevestigde entiteit die de producten van QuaDream buiten Israël verkocht. Het geschil, over een kennelijke mislukking om geld over te maken in 2019, hielp onderzoekers meer te ontdekken over de bedrijven, inclusief hun functionarissen.
QuaDream wordt verondersteld”gemeenschappelijke wortels”te hebben met NSO Group, volgens Citizen Lab, samen met andere bedrijven binnen de Israëlische commerciële spyware-industrie, evenals met inlichtingendiensten binnen de Israëlische regering.
Onder de sleutelfiguren bevinden zich een mede-oprichter die een voormalige Israëlische militaire functionaris was, en voormalige NSO-medewerkers.
Citizen Lab zegt dat het rapport”een herinnering is dat de industrie voor huurspyware groter is dan welk bedrijf dan ook, en dat zowel onderzoekers als potentiële doelwitten voortdurend waakzaam moeten zijn.”
