Skip to main content

Вторя фиаско с Pegasus NSO Group, еще один шпионский инструмент, который может атаковать iPhone, был продан правительствам и обнаружен только сейчас.

Шпионское программное обеспечение часто используется агентствами безопасности и правительствами для наблюдения за интересующими людьми. Наиболее ярко это было продемонстрировано обнаружением Pegasus, шпионского ПО от NSO Group, которое продавалось и использовалось для слежки за политическими оппонентами, активистами и журналистами.

Хотя дискуссия о Pegasus утихла, кажется, что NSO Group была не единственной организацией, продающей заинтересованным сторонам инструменты, способные следить за iPhone.

Отчет Citizen Lab, основанный на анализе образцов, переданных Microsoft Threat Intelligence, выявил существование шпионского инструмента, который во многом был очень похож на Pegasus. Известная как Reign, программа-шпион израильской компании QuaDream предлагает правительствам способы, опять же, следить за своей потенциальной оппозицией.

Как и Pegasus, Reign был продан правительствам, включая Сингапур, Саудовскую Аравию, Мексику и Гану. Он был представлен другим, включая Индонезию и Марокко.

Инструмент также использовался как минимум в пяти случаях. На сегодняшний день он использовался против деятелей политической оппозиции, журналистов и других лиц в Северной Америке, Центральной Азии, Юго-Восточной Азии, Европе и на Ближнем Востоке.

Нулевой щелчок и разрушительный

Двоичные файлы, отсканированные командой, показывают, что шпионское ПО было развернуто на целевых устройствах с использованием предполагаемого эксплойта iOS 14 с нулевым щелчком, в том числе против iOS 14.4 и iOS 14.4.2. Эксплойт, который исследователи называют Endofdays, использовал невидимые приглашения календаря iCloud, отправляемые жертвам.

После установки Reign получил значительный доступ к различным компонентам функций iOS и iPhone, как и Pegasus. Это включало:

Запись звука звонков Запись микрофона Фотосъемка с помощью камер Эксфильтрация и удаление объектов из связки ключей Генерация паролей iCloud 2FA Поиск в файлах и базах данных на устройстве Отслеживание местоположения устройства Удаление следов программного обеспечения для минимизации обнаружения.

Функция самоуничтожения убирала следы шпионского ПО, а также помогала исследователям определить, была ли жертва атакована с помощью инструмента наблюдения.

Постоянная угроза конфиденциальности

QuaDream продолжает работать. Ему удавалось избегать обнаружения в течение значительного периода времени из-за усилий, направленных на то, чтобы избежать проверки.

Фирма также находится в судебном споре с InReach, базирующейся на Кипре компанией, которая продавала продукты QuaDream за пределами Израиля. Спор из-за очевидного отказа от перевода средств в 2019 году помог исследователям узнать больше о компаниях, в том числе об их сотрудниках.

По данным Citizen Lab, QuaDream, как полагают, имеет «общие корни» с NSO Group, а также с другими компаниями израильской индустрии коммерческого шпионского ПО, а также со спецслужбами в правительстве Израиля.

Среди ключевых фигур — соучредитель, бывший израильский военный чиновник, и бывшие сотрудники NSO.

Citizen Lab заявляет, что отчет является «напоминанием о том, что индустрия наемного шпионского ПО больше, чем какая-либо одна компания, и что как исследователям, так и потенциальным целям требуется постоянная бдительность».