รายงานใหม่จาก Citizen Lab ระบุว่ากลุ่มได้ค้นพบ เครื่องมือสปายแวร์ที่มีเป้าหมายคล้าย Pegasus ใน iPhone ชื่อ “Reign” ซึ่งขายให้กับรัฐบาลและสามารถใช้ตรวจสอบกิจกรรมของบุคคลเป้าหมายได้ สปายแวร์ดังกล่าวมีความคล้ายคลึงกับสปายแวร์ “Pegasus” ของกลุ่ม NSO ซึ่งในอดีตเคยถูกใช้หลายครั้งเพื่อสอดแนมนักข่าว นักกิจกรรม และฝ่ายตรงข้ามทางการเมือง
Citizen Lab กล่าวว่าจากการวิเคราะห์ตัวอย่างที่ได้รับจาก Microsoft Threat Intelligence เครื่องมือสอดแนม Reign นั้นจัดทำโดยบริษัท QuaDream ของอิสราเอล และช่วยให้รัฐบาลสามารถสอดแนมฝ่ายตรงข้ามที่เป็นเป้าหมายได้
QuaDream ดำเนินการมาหลายปีแล้ว โดยพัฒนาผลิตภัณฑ์สปายแวร์ขั้นสูง ดูเหมือนว่าบริษัทจะรวมเอารัฐบาลหลายประเทศทั่วโลกเข้าไว้ด้วยกัน
กลุ่มนี้ระบุว่าได้ระบุกรณีสปายแวร์ที่เป็นเป้าหมายอย่างน้อย 5 กรณีในอเมริกาเหนือ เอเชียกลาง เอเชียตะวันออกเฉียงใต้ ยุโรป และตะวันออกกลาง เหยื่อของการโจมตีด้วยสปายแวร์มีทั้งนักข่าว บุคคลฝ่ายค้านทางการเมือง และแม้แต่เจ้าหน้าที่กลุ่มเอ็นจีโอ
สปายแวร์ถูกติดตั้งบนอุปกรณ์เป้าหมายผ่านช่องโหว่ “Endofdays” iOS 14 แบบ Zero-Click ซึ่งใช้การเชิญปฏิทิน iCloud ที่มองไม่เห็นซึ่งส่งไปยังผู้ที่ตกเป็นเหยื่อ เมื่อติดตั้งบนอุปกรณ์แล้ว สปายแวร์จะอนุญาตให้ผู้ให้บริการเข้าถึงฟีเจอร์ต่างๆ ของ iOS และ iPhone ได้ ซึ่งคล้ายกับที่ Pegasus ของกลุ่ม NGO ทำ
ฟีเจอร์ที่ Reign เข้าถึงได้ ได้แก่:
การบันทึกเสียงการโทร ไมโครโฟนของ iPhone การเข้าถึงกล้องของ iPhone การกรองและการลบรายการออกจากการสร้างพวงกุญแจของรหัสผ่าน iCloud 2FA การค้นหาไฟล์บนอุปกรณ์ การติดตามตำแหน่งของ iPhone ความสามารถในการลบร่องรอยของสปายแวร์เพื่อพยายามลดการตรวจจับ
แม้ว่าสปายแวร์จะมีคุณลักษณะทำลายตัวเองที่สามารถลบร่องรอยของสปายแวร์ได้ แต่คุณลักษณะดังกล่าวช่วยนักวิจัยในการระบุว่าเมื่อใดที่ผู้ใช้ถูกโจมตีด้วยเครื่องมือเฝ้าระวัง
ผู้ติดต่อของ Citizen Lab ในชุมชนข่าวกรองภัยคุกคามให้ตัวบ่งชี้เครือข่ายที่เชื่อมโยงกับสปายแวร์ของ QuaDream Citizen Lab สามารถระบุเซิร์ฟเวอร์มากกว่า 600 เครื่องและชื่อโดเมน 200 ชื่อที่ดูเหมือนจะเชื่อมโยงกับสปายแวร์ของ QuaDream ตั้งแต่ช่วงปลายปี 2564 ถึงต้นปี 2566 ซึ่งเชื่อว่าเซิร์ฟเวอร์ดังกล่าวถูกใช้เพื่อรับข้อมูลจากผู้ที่ตกเป็นเหยื่อของสปายแวร์ เช่นเดียวกับเซิร์ฟเวอร์ที่เป็น ใช้สำหรับการใช้ประโยชน์จากเบราว์เซอร์แบบคลิกเดียวของแอปสปายแวร์
Citizen Lab เชื่อว่าระบบ QuaDream กำลังดำเนินการในประเทศต่อไปนี้:
สาธารณรัฐเช็ก ฮังการี กานา บัลแกเรีย โรมาเนีย อิสราเอล เม็กซิโก สหรัฐอาหรับเอมิเรตส์ (UAE) อุซเบกิสถาน สิงคโปร์
Citizen Lab แชร์ผลลัพธ์กับ Microsoft Threat Intelligence และกลุ่มนั้นทำการสแกนเพิ่มเติมเพื่อระบุชื่อโดเมนที่เชื่อมโยงกับ QuaDream Microsoft Threat Intelligence ได้เผยแพร่ผลลัพธ์ในรายงานของพวกเขา
กลุ่ม QuaDream ยังคงดำเนินการอยู่และเชื่อว่าจะมี”รากเหง้าร่วมกัน”กับกลุ่ม NSO ตามที่ Citizen Lab กล่าว กลุ่มนี้ได้รับการกล่าวขานว่าเชื่อมโยงกับผู้จำหน่ายสปายแวร์เชิงพาณิชย์รายอื่นๆ ของอิสราเอล เช่นเดียวกับหน่วยข่าวกรองของรัฐบาลอิสราเอล
QuaDream ก่อตั้งขึ้นโดยอดีตนายทหารชาวอิสราเอลและอดีตพนักงานของ NSO กลุ่มนี้พยายามอยู่ให้พ้นจากจุดสนใจอยู่พักหนึ่ง
ข้อมูลนี้ปรากฏครั้งแรกใน Mactrast.com