Οι ειδικοί σε θέματα ασφάλειας έχουν προειδοποιήσει για την εμφάνιση άγνωστου μέχρι στιγμής κατασκοπευτικού λογισμικού, με ικανότητες hacking συγκρίσιμες με το «Pegasus» της NSO Group, το οποίο έχει ήδη χρησιμοποιηθεί από πελάτες για να στοχοποιήσει δημοσιογράφους, στελέχη της πολιτικής αντιπολίτευσης και έναν υπάλληλο μιας ΜΚΟ.
Μάλιστα, οι ερευνητές του Citizen Lab στο Πανεπιστήμιο του Τορόντο δήλωσαν ότι το spyware, το οποίο κατασκευάζεται από μια ισραηλινή εταιρεία με την ονομασία QuaDream, μόλυνε τα τηλέφωνα ορισμένων θυμάτων, στέλνοντας μια πρόσκληση ημερολογίου iCloud σε χρήστες κινητών τηλεφώνων από τους χειριστές του spyware, οι οποίοι είναι πιθανό να είναι κυβερνητικοί πελάτες.
Τα θύματα δεν ειδοποιήθηκαν για τις προσκλήσεις ημερολογίου επειδή εστάλησαν για γεγονότα που είχαν καταγραφεί στο παρελθόν, καθιστώντας τα αόρατα για τους στόχους της πειρατείας. Τέτοιες επιθέσεις είναι γνωστές ως «μηδενικού κλικ», επειδή οι χρήστες του κινητού τηλεφώνου δεν χρειάζεται να κάνουν κλικ σε κακόβουλο σύνδεσμο ή να προβούν σε οποιαδήποτε ενέργεια προκειμένου να μολυνθούν.
Σύμφωνα με την έκθεση του Citizen Lab, το εργαλείο hacking διατίθεται στην αγορά από την QuaDream με την ονομασία «Reign». Οι επιθέσεις hacking που έχουν ανακαλυφθεί σημειώθηκαν μεταξύ 2019 και 2021, όπως επισημαίνει ο «Guardian».
Η έρευνα υπογραμμίζει ότι, ακόμη και καθώς η NSO Group, η κατασκευάστρια εταιρεία ενός από τα πιο εξελιγμένα κυβερνο-όπλα στον κόσμο, έχει αντιμετωπίσει έντονο έλεγχο και έχει μπει στη μαύρη λίστα της αμερικανικής κυβέρνησης του Τζο Μπάιντεν, περιορίζοντας πιθανώς την πρόσβασή της σε νέους πελάτες, η απειλή που προέρχεται από παρόμοια και εξαιρετικά εξελιγμένα εργαλεία hacking, συνεχίζει να πολλαπλασιάζεται.
Ποιες οι ικανότητες του «Reign»
Όπως και με το «Pegasus» της NSO, ένα τηλέφωνο που έχει μολυνθεί με το «Reign» μπορεί να καταγράφει συνομιλίες που συμβαίνουν κοντά στη συσκευή, ελέγχοντας το καταγραφικό του τηλεφώνου, να διαβάζει μηνύματα σε κρυπτογραφημένες εφαρμογές, να ακούει τηλεφωνικές συνομιλίες και να εντοπίζει την τοποθεσία ενός χρήστη, σύμφωνα με το Citizen Lab.
Επίσης, οι ερευνητές διαπίστωσαν ότι το «Reign» μπορεί να χρησιμοποιηθεί για τη δημιουργία κωδικών ελέγχου ταυτότητας δύο παραγόντων σε ένα iPhone, για τη διείσδυση στον λογαριασμό iCloud ενός χρήστη, επιτρέποντας στον χειριστή κατασκοπευτικού λογισμικού να εξαφανίσει δεδομένα απευθείας από το iCloud του χρήστη.
Οι νέες αποκαλύψεις σηματοδοτούν ένα ακόμα πλήγμα για την Apple, η οποία έχει διαφημίσει τα χαρακτηριστικά ασφαλείας της ως «από τα καλύτερα στον κόσμο». Τώρα, το «Reign» φαίνεται να αποτελεί μια νέα και ισχυρή απειλή για την ακεραιότητα των κινητών τηλεφώνων της εταιρείας.
Σε δήλωσή της στον «Guardian», η Apple δήλωσε ότι «προωθεί συνεχώς την ασφάλεια του iOS» και ότι δεν υπάρχει καμία ένδειξη ότι το λογισμικό της QuaDream έχει χρησιμοποιηθεί από το 2021.
Η εταιρεία δήλωσε ότι οι επιθέσεις που χρηματοδοτούνται από το κράτος, όπως αυτές που περιγράφονται στην έκθεση της Citizen Lab, κοστίζουν εκατομμύρια για να αναπτυχθούν, έχουν σύντομο χρόνο ζωής και χρησιμοποιούνται για να στοχεύσουν συγκεκριμένα άτομα «λόγω της ταυτότητάς τους ή των ενεργειών τους».
«Η συντριπτική πλειονότητα των χρηστών iPhone δεν θα πέσει ποτέ θύμα εξαιρετικά στοχευμένων κυβερνοεπιθέσεων και θα εργαστούμε ακούραστα για να προστατεύσουμε τον μικρό αριθμό χρηστών που πέφτουν» δήλωσε η εταιρεία.
Η Citizen Lab δεν κατονόμασε τα άτομα που βρέθηκαν να έχουν γίνει στόχοι από πελάτες που χρησιμοποιούν το «Reign». Είπε, όμως, ότι περισσότερα από πέντε θύματα – που περιγράφονται ως δημοσιογράφοι, στελέχη της αντιπολίτευσης και ένας υπάλληλος ΜΚΟ – βρίσκονταν στη Βόρεια Αμερική, στην Κεντρική Ασία, στη Νοτιοανατολική Ασία, στην Ευρώπη και στη Μέση Ανατολή.
Βέβαια, η Citizen Lab δήλωσε ότι ήταν σε θέση να εντοπίσει τοποθεσίες χειριστών του spyware στη Βουλγαρία, στην Τσεχία, στην Ουγγαρία, στην Γκάνα, στο Ισραήλ, στο Μεξικό, στη Ρουμανία, στη Σιγκαπούρη, στα Ηνωμένα Αραβικά Εμιράτα και στο Ουζμπεκιστάν.
Ποια είναι η εταιρεία QuaDream
Σε αντίθεση με την NSO Group, η QuaDream έχει σχετικά χαμηλό δημόσιο προφίλ.
Το όνομα της εταιρείας αναφέρθηκε εν συντομία σε μια έκθεση ασφαλείας του Δεκεμβρίου 2022 που εξέδωσε η Meta, η μητρική εταιρεία του Facebook, η οποία περιέγραφε την QuaDream ως «μια εταιρεία με έδρα το Ισραήλ που ιδρύθηκε από πρώην υπαλλήλους της NSO».
Εκείνη την εποχή, η Meta δήλωσε ότι είχε αφαιρέσει 250 λογαριασμούς από το Facebook και το Instagram που συνδέονταν με την QuaDream και ότι πίστευε ότι οι λογαριασμοί χρησιμοποιούνταν για τη δοκιμή των δυνατοτήτων της κατασκευάστριας εταιρείας spyware με τη χρήση ψεύτικων λογαριασμών.
Η Citizen Lab δήλωσε ότι εντόπισε άτομα που σχετίζονται με την QuaDream μέσω της εξέτασης εταιρικών εγγράφων και βάσεων δεδομένων και σε αυτά περιλαμβάνονταν ένας πρώην Ισραηλινός στρατιωτικός αξιωματούχος και προηγούμενοι υπάλληλοι της NSO Group.
Από την πλευρά της, η QuaDream δεν ανταποκρίθηκε σε αίτημα σχολιασμού που εστάλη σε άτομο που αναφέρεται στα εταιρικά έγγραφα ως δικηγόρος της εταιρείας. Η εταιρεία δεν διαθέτει ιστότοπο ούτε παραθέτει άλλα στοιχεία επικοινωνίας. Επίσης, η Citizen Lab δήλωσε δεν έλαβε απάντηση στα ερωτήματα που έστειλε στον δικηγόρο της εταιρείας.
Μάλιστα, η ανάλυση της Citizen Lab βασίστηκε εν μέρει σε δείγματα που μοιράστηκε με τους ερευνητές η Microsoft Threat Intelligence. Σε μια ανάρτηση που δημοσιεύτηκε την Τρίτη (11/04), η εταιρεία δήλωσε ότι οι αναλυτές της είχαν εκτιμήσει με «υψηλή εμπιστοσύνη» ότι μια ομάδα απειλών που είχε παρακολουθήσει συνδεόταν με την QuaDream και ότι μοιράζεται πληροφορίες σχετικά με την απειλή με πελάτες, βιομηχανικούς εταίρους και το κοινό, προκειμένου να ευαισθητοποιήσει το κοινό σχετικά με τον τρόπο λειτουργίας των εταιρειών spyware.