Шпионское ПО-наемник взломало iPhone жертв с помощью мошеннических приглашений в календаре, говорят исследователи

Согласно двум сообщениям, хакеры, использующие шпионское ПО, созданное малоизвестной компанией кибернаемников, использовали вредоносные приглашения в календаре для взлома iPhone журналистов, политических оппозиционеров и сотрудников НПО.

Исследователи из Microsoft и группы по защите цифровых прав Citizen Lab проанализировали образцы вредоносного ПО, которое, по их словам, было создано QuaDream, израильским производителем шпионского ПО, которое, как сообщается, разрабатывает эксплойты с нулевым щелчком мыши, то есть хакерские инструменты, которые не требуют, чтобы цель нажимала на вредоносное ПО. ссылки — для айфонов.

До недавнего времени QuaDream в основном оставался незамеченным. В 2021 году израильская газета Haaretz сообщила, что QuaDream продала свою продукцию Саудовской Аравии. В следующем году агентство Reuters сообщило, что QuaDream продала эксплойт для взлома iPhone, аналогичный эксплойту, предоставленному NSO Group, и что шпионским ПО управляет не компания, а ее государственные заказчики — обычная практика в индустрии технологий наблюдения.

Согласно сканированию Интернета, проведенному Citizen Lab, клиенты QuaDream управляли серверами из нескольких стран мира: Болгарии, Чехии, Венгрии, Румынии, Ганы, Израиля, Мексики, Сингапура, Объединенных Арабских Эмиратов (ОАЭ) и Узбекистана.

Во вторник и Citizen Lab, и Microsoft опубликовали новые новаторские технические отчеты о предполагаемом шпионском ПО QuaDream.

Microsoft заявила, что нашла оригинальные образцы вредоносного ПО, а затем поделилась ими с исследователями Citizen Lab, которые смогли идентифицировать более пяти жертв — сотрудника НПО, политиков и журналистов — чьи iPhone были взломаны. Эксплойт, используемый для взлома этих целей, был разработан для iOS 14 и на тот момент не был исправлен и неизвестен Apple, что делало его так называемым нулевым днем. По данным Citizen Lab, правительственные хакеры, оснащенные эксплойтом QuaDream, использовали вредоносные приглашения из календаря с датами в прошлом для доставки вредоносного ПО.

Эти приглашения не вызывали уведомления на телефоне, что делало их невидимыми для цели, рассказал TechCrunch Билл Марчак, старший научный сотрудник Citizen Lab, работавший над отчетом.

Представитель Apple Скотт Рэдклифф заявил, что нет никаких доказательств того, что эксплойт, обнаруженный Microsoft и Citizen Lab, использовался после марта 2021 года, когда компания выпустила обновление.

Citizen Lab не называет имена жертв, потому что они не хотят, чтобы их идентифицировали. Марчак рассказал, что все они находятся в разных странах, из-за чего пострадавшим сложнее выйти наружу.

«Никто не обязательно хочет быть первым в своем сообществе, кто выйдет и скажет: «Да, на меня напали», — сказал он, добавив, что обычно легче, если все жертвы находятся в одной стране и являются частью одного сообщества. или группа.

Прежде чем Microsoft связалась с Citizen Lab, Марчак сказал, что он и его коллеги идентифицировали нескольких человек, подвергшихся эксплойту, похожему на тот, который использовался клиентами NSO Group в 2021 году и известный как FORCEDENTRY. Тогда Марчак и его коллеги пришли к выводу, что на этих людей был направлен инструмент, созданный другой компанией, а не NSO Group.

Кредиты изображений:Гражданская лаборатория

Анализируемые образцы включают в себя первоначальную полезную нагрузку, которая предназначена для последующей загрузки реального вредоносного ПО — второго образца — если оно находится на устройстве намеченной цели. По данным Citizen Lab и Microsoft, последняя полезная нагрузка записывает телефонные звонки, тайно записывает звук с помощью микрофона телефона, фотографирует, крадет файлы, точно отслеживает местоположение человека и удаляет судебно-медицинские следы его собственного существования, а также другие функции.

Тем не менее, исследователи Citizen Lab заявили, что вредоносное ПО оставляет определенные следы, которые позволяют им отслеживать шпионское ПО QuaDream. Исследователи заявили, что не хотят раскрывать, что это за следы, чтобы сохранить возможность отслеживать вредоносное ПО. Они назвали следы вредоносного ПО «Фактором эктоплазмы», название, которое, по словам Марчака, было вдохновлено квестом в популярной игре Stardew Valley, в которую, по его словам, он играет.