Skip to main content

Исследователи из Citizen Lab из Munk School Университета Торонто опубликовали новый отчет, объясняющий, как был возможен эксплойт программного обеспечения iPhone с нулевым щелчком мыши и кто стал его мишенью. Впервые мы узнали об эксплойте и загадочной компании, стоящей за ним, в прошлом году. QuaDream, которая продает шпионское ПО, продолжает работать.

Что такое Квадрим?

Читатели могут быть знакомы с израильской компанией NSO Group и ее шпионским ПО Pegasus. Apple подает в суд на NSO Group за «злоупотребление и причинение вреда» своим пользователям. Такие компании, как NSO Group, продают шпионское ПО клиентам, в том числе правительствам, которые используют дыры в безопасности в программном обеспечении iPhone и Android.

QuaDream, которая отвечает за эксплойт с нулевым кликом в iOS 14, похожа на NSO Group, но поддерживает гораздо меньшее публичное присутствие. По словам Citizen Lab, QuaDream не имеет широкого освещения в СМИ, у нее нет веб-сайта или учетных записей в социальных сетях.

Однако у QuaDream есть свои юридические проблемы. Компания находится в судебном споре с базирующейся на Кипре фирмой InReach. Судебная тяжба раскрыла информацию о QuaDream, которая ранее не была публичной.

В отчете Citizen Lab описаны ключевые лица, связанные с каждой компанией. Среди них бывший израильский военный чиновник Ян Дабельштейн и израильский бизнесмен из Калифорнии Рой Галсберг Келлер.

ENDOFDAYS и фактор эктоплазмы

Несмотря на сомнительный и платный заголовок «Утверждается, что новая фирма-шпион, которая помогла взломать iPhone по всему миру» от Wall Street Journal, новость дня в первую очередь заключается в том, что Citizen Lab поделилась своим анализом эксплойта iOS, о котором сообщило агентство Reuters в феврале 2022 года.

Хотя сам эксплойт не нов, фирма, стоящая за ним, продолжает продавать шпионское ПО клиентам, готовым заплатить.

ENDOFDAYS, как Citizen Lab называет эксплойт iOS 14, в прошлом использовали невидимые приглашения на события календаря для перекрывающихся событий.

«Вредоносные события календаря имеют дополнительные отличительные характеристики, которые кажутся всегда одинаковыми», — говорят в Citizen Lab. «Файл .ics содержит приглашения на два перекрывающихся мероприятия, датированных задним числом. В iOS 14 любое приглашение календаря iCloud с задним числом, полученное телефоном, автоматически обрабатывается и добавляется в календарь пользователя без запроса или уведомления, обращенного к пользователю. Мы не уверены, почему события перекрываются, хотя может быть определенное поведение, вызванное перекрывающимися событиями».

Предполагается, что эксплойт использовался в период с января 2021 года по ноябрь 2021 года.

Microsoft Threat Intelligence помогла Citizen Lab понять, что может сделать шпионское ПО QuaDream после проникновения в iPhone с помощью эксплойта с нулевым щелчком мыши.

Microsoft Threat Intelligence поделилась с Citizen Lab двумя образцами шпионского ПО для iOS, которые они называют KingsPawn и с высокой степенью уверенности приписывают QuaDream.

Впоследствии мы проанализировали эти двоичные файлы, стремясь разработать индикаторы, которые можно было бы использовать для идентификации устройства, скомпрометированного шпионским ПО QuaDream.

Список выявленных шпионских функций QuaDream включает в себя запись звонков и микрофонов, отслеживание местоположения и фотосъемку и даже генерацию паролей iCloud 2FA.

Где это происходит?

«Мы обнаружили, что шпионское ПО также содержит функцию самоуничтожения, которая удаляет различные следы, оставленные самим шпионским ПО. Наш анализ функции самоуничтожения выявил имя процесса, используемое шпионским ПО, которое мы обнаружили на устройствах-жертвах», — говорится в сообщении Citizen Lab.

Один из двух образцов шпионского ПО «иногда оставляет следы на зараженных устройствах после удаления шпионского ПО», которые Citizen Lab называет «фактором эктоплазмы».

«Мы опускаем обсуждение фактора эктоплазмы в нашем отчете, так как считаем, что это может быть полезно для отслеживания шпионского ПО QuaDream в будущем».

В отчете также содержится анализ того, кто является мишенью и какие страны вызывают беспокойство.

На основе анализа образцов, предоставленных нам службой Microsoft Threat Intelligence, мы разработали индикаторы, которые позволили нам выявить как минимум пять жертв гражданского общества от шпионского ПО и эксплойтов QuaDream в Северной Америке, Центральной Азии, Юго-Восточной Азии, Европе и на Ближнем Востоке. Среди жертв — журналисты, деятели политической оппозиции и работник НПО. На данный момент мы не называем имена жертв.

То, что вы должны знать

В то время как обновление до iOS 14 устранило эксплойт с нулевым щелчком, на который нацелены клиенты QuaDream, Apple более агрессивно относится к предотвращению повторных случаев с неизвестными дырами в безопасности.

А именно, Apple добавила в iOS 16 опцию безопасности под названием Lockdown Mode. Любой пользователь может включить режим блокировки через приложение «Настройки». При использовании режима блокировки вносится ряд изменений, чтобы предотвратить влияние шпионских программ на ваш телефон:

Сообщения. Большинство типов вложений сообщений, кроме изображений, заблокированы. Некоторые функции, такие как предварительный просмотр ссылок, отключены. Просмотр веб-страниц: некоторые сложные веб-технологии, такие как JIT-компиляция JavaScript, отключаются, если пользователь не исключит доверенный сайт из режима блокировки. Сервисы Apple: Входящие приглашения и запросы на обслуживание, в том числе вызовы FaceTime, блокируются, если пользователь ранее не отправил инициатору вызов или запрос. FaceTime: входящие вызовы FaceTime от людей, которым вы ранее не звонили, блокируются. Общие альбомы будут удалены из приложения «Фотографии», а новые приглашения в общие альбомы будут заблокированы. Проводные соединения с компьютером или аксессуаром блокируются, когда iPhone заблокирован. Профили конфигурации не могут быть установлены, и устройство не может зарегистрироваться в системе управления мобильными устройствами (MDM), пока включен режим блокировки.

Apple также теперь предупреждает клиентов, которые могли стать мишенью для шпионских фирм.

Кроме того, Apple пожертвовала 10 миллионов долларов некоммерческой организации The Dignity and Justice Fund. Группа использует деньги для финансирования ряда мероприятий:

Наращивание организационного потенциала и усиление координации на местах новых и существующих групп гражданского общества, занимающихся исследованиями и защитой интересов кибербезопасности. Поддержка разработки стандартизированных методов судебной экспертизы для обнаружения и подтверждения проникновения шпионского ПО, соответствующих стандартам доказывания. Предоставление гражданскому обществу возможности более эффективно сотрудничать с производителями устройств, разработчиками программного обеспечения, коммерческими фирмами по обеспечению безопасности и другими соответствующими компаниями для выявления и устранения уязвимостей. Повышение осведомленности инвесторов, журналистов и политиков о глобальной индустрии наемнического шпионского ПО. Наращивание потенциала правозащитников по выявлению атак шпионского ПО и реагированию на них, включая аудит безопасности для организаций, которые сталкиваются с повышенными угрозами для своих сетей.

Прочтите полный отчет Citizen Lab, чтобы узнать больше о результатах исследования QuaDream и эксплойта iOS 14.