Stručnjaci za sigurnost upozorili su na pojavu dosad nepoznatog špijunskog softvera s mogućnostima hakovanja uporedivim s “Pegasusom NSO Group” koji su klijenti već koristili za ciljanje novinara, političkih opozicionih osoba i zaposlenika nevladinih organizacija.

Istraživači iz Citizen Laba na Mank školi Univerziteta u Torontu rekli su da je špijunski softver, koji je izradila izraelska kompanija QuaDream, zarazio telefone nekih lica slanjem pozivnice iCloud kalendara mobilnim korisnicima od operatera špijunskog softvera, koji su vjerovatno bili vladini klijenti. Žrtve nisu bile obaviještene o kalendarskim pozivnicama jer su bile poslane za događaje zabilježene u prošlosti, što ih je činilo nevidljivima za mete hakovanja. Takvi napadi poznati su kao “zero-click” jer korisnici mobilnog telefona ne moraju kliknuti na bilo koju zlonamjernu poveznicu ili preduzeti bilo kakvu radnju da bi bili zaraženi.

Prema izvještaju Citizen Laba, alat za hakovanje prodaje QuaDream pod imenom Reign. Otkriveni hakerski napadi dogodili su se između 2019. i 2021. godine.

Istraživanje naglašava da, iako je NSO Group, proizvođač jednog od najsofistikovanijih sajber oružja na svijetu, suočen s intenzivnim nadzorom i stavljen na crnu listu od strane Bajdenove administracije, vjerovatno ograničavajući svoj pristup novim klijentima, prijetnja koju predstavlja slično i visoko sofisticirano hakovanje alati nastavljaju proliferisati.

Kao i kod NSO-ovog Pegasusa, telefon zaražen Reignom od strane QuaDream klijenta može snimati razgovore koji se odvijaju u blizini telefona kontrolišući telefonski snimač, čitati poruke u šifrovanim aplikacijama, slušati telefonske razgovore i pratiti lokaciju korisnika, prema Citizen Labu. Istraživači su otkrili da se Reign takođe može koristiti za generisanje dvofaktorskih autentifikacionih kodova na iPhoneu za infiltraciju u korisnikov iCloud račun, omogućujući operateru špijunskog softvera da eksfiltrira podatke direktno iz korisnikovog iClouda.

Nova otkrića označavaju još jedan udarac Appleu, koji je svoje sigurnosne aplikacije plasirao među najbolje na svijetu. Sada se čini da je Reign nova i moćna prijetnja integritetu mobilnih telefona kompanije.

U izjavi za “The Guardian”, Apple je rekao da “konstantno unapređuje sigurnost iOS-a” i da nema naznaka da je QuaDream-ov program korišten od 2021. godine.

Kompanija je rekla da napadi koje sponzoriše država poput onih opisanih u izvještaju Citizen Laba koštaju milione za razvoj, imaju kratak vijek trajanja i koriste se za ciljanje određenih pojedinaca “zbog toga ko su ili šta rade”.

“Velika većina korisnika iPhonea nikada neće biti žrtve vrlo ciljanih sajber napada i neumorno ćemo raditi na zaštiti malog broja korisnika koji jesu”, rekli su iz kompanije.

Citizen Lab nije imenovao pojedince za koje je utvrđeno da su bili meta klijenata koji koriste Reign. Ali, navodi se da se više od pet žrtava – opisanih kao novinari, političke opozicione osobe i jedan zaposlenik nevladine organizacije – nalaze u Sjevernoj Americi, centralnoj Aziji, jugoistočnoj Aziji, Evropi i na Bliskom istoku. Citizen Lab je takođe rekao da je uspio otkriti lokacije operatera za špijunski softver u Bugarskoj, Češkoj, Mađarskoj, Gani, Izraelu, Meksiku, Rumuniji, Singapuru, UAE i Uzbekistanu.

Za razliku od NSO grupe, QuaDream ima relativno nizak javni profil.

Ime kompanije ukratko je spomenuto u sigurnosnom izvještaju iz decembra 2022. koje je izdala Meta, matična kompanija Facebooka, u kojem je QuaDream opisan kao kompanija sa sjedištem u Izraelu koju su osnovali bivši zaposlenici NSO-a. U to je vrijeme Meta rekla da je uklonila 250 računa na Facebooku i Instagramu koji su bili povezani s QuaDreamom i da vjeruje da su računi korišteni za testiranje sposobnosti proizvođača špijunskog softvera pomoću lažnih računa, uključujući eksfiltraciju podataka kao što su poruke, slike, video i audio datoteke.

Citizen Lab je rekao da je identifikovao ključne pojedince povezane s QuaDreamom kroz pregled korporativnih dokumenata i baza podataka, a oni uključuju bivšeg izraelskog vojnog zvaničnika i prijašnje zaposlenike NSO grupe.

QuaDream nije odgovorio na zahtjev za komentar poslan e-poštom pojedincu koji je u korporativnim dokumentima naveden kao advokat kompanije. Firma nema veb stranicu niti navodi druge podatke za kontakt. Citizen Lab je rekao da takođe nije dobio odgovor na upite koje je poslao advokatu firme.

Analiza Citizen Laba djelimično se temeljila na uzorcima koje je Microsoft Threat Intelligence podijelio s istraživačima. U postu na blogu objavljenom u utorak, kompanija je rekla da su njeni analitičari procijenili s “velikom pouzdanošću” da je grupa prijetnji koju je pratila povezana s QuaDreamom te da dijeli detaljne informacije o prijetnji korisnicima, industrijskim partnerima i javnosti kako bi se podigla svijest o tome kako kompanije za špijunski softver rade, prenosi “The Guardian“.