Как и в случае с Pegasus от NSO Group, ещё один шпионский инструмент, способный атаковать iPhone, был продан правительствам и обнаружен только сейчас.
Шпионское программное обеспечение часто используется агентствами безопасности и правительствами для наблюдения за интересующими их личностями. Наиболее известным примером этого стало обнаружение Pegasus, шпионского ПО компании NSO Group, которое продавалось и использовалось для слежки за оппозиционерами, активистами и журналистами.
Несмотря на то, что дискуссия о Pegasus утихла, похоже, что NSO Group была не единственной организацией, продававшей заинтересованным лицам инструменты, способные осуществлять слежку через iPhone.
Отчёт Citizen Lab, основанный на анализе образцов, предоставленных Microsoft Threat Intelligence, показал существование инструмента шпионажа, который во многом похож на Pegasus. Шпионское ПО израильской компании QuaDream, известное под названием Reign, предлагает правительствам способы, опять же, следить за потенциальной оппозицией.
Как и Pegasus, Reign продавался правительственным структурам, включая Сингапур, Саудовскую Аравию, Мексику и Гану. Кроме того, его предлагали другим странам, включая Индонезию и Марокко.
На сегодняшний день он использовался против политических оппозиционеров, журналистов и других лиц в Северной Америке, Центральной Азии, Юго-Восточной Азии, Европе и на Ближнем Востоке. Пока известно всего о пяти случаях.
Бинарные файлы, отсканированные командой, показывают, что шпионское ПО было развёрнуто на целевых устройствах с помощью предполагаемой уязвимости нулевого дня в iOS 14, в том числе на iOS 14.4 и iOS 14.4.2. Эксплойт использовал невидимые приглашения в календаре iCloud, отправленные жертвам.
Умеет многое
После установки Reign получал значительный доступ к различным компонентам iOS и функциям iPhone, подобно Pegasus. К ним относятся:
- Запись звонков;
- Запись с микрофона;
- Съёмка фотографий с помощью камер;
- Извлечение и удаление элементов из «Связки ключей»;
- Генерация 2FA-паролей для iCloud;
- Поиск в файлах и базах данных на устройстве;
- Отслеживание местоположения устройства;
- Очистка следов программного обеспечения для минимизации обнаружения.
Функция самоуничтожения убирает следы шпионского ПО, но также помогает исследователям определить, была ли жертва атакована с помощью инструмента слежения.
Опасность для конфиденциальности
На сегодняшний день компания QuaDream продолжает работать. В течение значительного периода времени ей удавалось не быть обнаруженной благодаря попыткам избежать проверок.
Компания также ведёт судебный спор с InReach, кипрской организацией, используемой для продажи продукции QuaDream за пределами Израиля. Этот спор, связанный с невыполнением обязательств по переводу средств в 2019 году, помог исследователям узнать больше о двух фирмах, включая их руководителей.
По данным Citizen Lab, QuaDream имеет общие корни с NSO Group, а также с другими израильскими компаниями, работающими в сфере коммерческого шпионского ПО, а также с разведывательными службами израильского правительства.
Ещё по теме: