Isang bagong ulat mula sa Citizen Lab ang nagsasabing natuklasan ng grupo ang isang Pegasus-like iPhone-targeted spyware tool na pinangalanang”Reign”na naibenta na sa mga gobyerno at magagamit para subaybayan ang mga aktibidad ng mga naka-target na indibidwal. Sinasabing ang spyware ay kapareho ng NSO Group’s”Pegasus”spyware, na dati ay ginamit nang maraming beses upang tiktikan ang mga mamamahayag, aktibista, at mga kalaban sa pulitika.
Sinasabi ng Citizen Lab na batay sa pagsusuri ng mga sample na ibinigay sa kanila ng Microsoft Threat Intelligence, ang tool sa pag-espiya ng Reign ay ibinigay ng kumpanya ng Israel na QuaDream at pinapayagan ang mga pamahalaan na tiktikan ang mga naka-target na kalaban.
Ang QuaDream ay nasa loob ng ilang taon, na bumubuo ng mga advanced na produkto ng spyware. Ang kumpanya ay lumilitaw na kasama sa mga kliyente nito ang ilang mga pamahalaan sa buong mundo.
Sinasabi ng grupo na natukoy nito ang hindi bababa sa limang naka-target na kaso ng spyware sa North America, Central Asia, Southeast Asia, Europe, at Middle East. Kabilang sa mga biktima ng pag-atake ng spyware ang mga mamamahayag, mga oposisyon sa pulitika, at maging isang manggagawa ng NGO Group.
Naka-deploy ang spyware sa mga naka-target na device sa pamamagitan ng”Endofdays”iOS 14 zero-click exploit, na gumagamit ng invisible na mga imbitasyon sa kalendaryo ng iCloud na ipinadala sa mga biktima. Kapag na-install na sa isang device, pinapayagan ng spyware ang mga operator na ma-access ang maraming feature ng iOS at iPhone, katulad ng ginawa ng Pegasus ng NGO Group.
Ang mga feature na naa-access ng Reign ay kinabibilangan ng:
Mga audio recording ng mga tawag iPhone microphone access iPhone camera access Exfiltration at pagtanggal ng mga item mula sa Keychain Generation ng iCloud 2FA password Naghahanap sa mga file sa device Pagsubaybay sa lokasyon ng ang iPhone Ang kakayahang mag-alis ng mga bakas ng spyware sa pagtatangkang mabawasan ang pagtuklas.
Habang ipinagmamalaki ng spyware ang tampok na self-destruct na nakapag-alis ng mga bakas ng spyware, talagang tinulungan ng feature ang mga mananaliksik sa pagtukoy kung kailan inatake ang isang user gamit ang surveillance tool.
Nagbigay ang mga contact ng Citizen Lab sa threat intelligence community ng indicator ng network na naka-link sa spyware ng QuaDream. Natukoy ng Citizen Lab ang 600+ server at 200 domain name na lumilitaw na naka-link sa spyware ng QuaDream mula sa huling bahagi ng 2021 hanggang unang bahagi ng 2023. Kasama rito ang mga server na pinaniniwalaang ginagamit upang makatanggap ng data mula sa mga biktima ng spyware, pati na rin ang mga server na ginagamit para sa isang-click na pagsasamantala sa browser ng spyware app.
Naniniwala ang Citizen Lab na ang mga QuaDream system ay pinapatakbo sa mga sumusunod na bansa:
Czech Republic Hungary Ghana Bulgaria Romania Israel Mexico United Arab Emirates (UAE) Uzbekistan Singapore
Ibinahagi ng Citizen Lab ang mga resulta nito sa Microsoft Threat Intelligence, at ang pangkat na iyon ay nagsagawa ng karagdagang pag-scan upang matukoy ang mga domain name na naka-link sa QuaDream. Na-publish ng Microsoft Threat Intelligence ang mga resulta nito sa kanilang ulat.
Ang grupong QuaDream ay nasa operasyon pa rin at pinaniniwalaang nagbabahagi ng”mga karaniwang ugat”sa NSO Group, ayon sa Citizen Lab. Ang grupo ay sinasabing konektado din sa iba pang Israeli commercial spyware vendors, pati na rin sa Israeli government intelligence agencies.
Ang QuaDream ay kapwa itinatag ng isang dating opisyal ng militar ng Israel at mga dating empleyado ng NSO. Nagawa ng grupo na manatiling wala sa spotlight nang medyo matagal.
Ang impormasyong ito ay unang lumabas sa Mactrast.com
