.
Malware supostamente desenvolvido por um fabricante de spyware comercial israelense pouco conhecido foi encontrado em dispositivos de jornalistas, políticos e funcionários de uma ONG em vários países, dizem pesquisadores.
Relatórios de Microsoft e da Universidade de Toronto laboratório cidadão ambos concluem que o fabricante de spyware QuaDream, que atende ao governo, usou uma exploração de clique zero visando dispositivos Apple executando o iOS 14 para fornecer spyware comercializado sob o nome Reign aos telefones das vítimas.
Parece que a exploração de clique zero envolveu o abuso de uma falha no aplicativo de calendário do iOS que permitiria que alguém adicionasse automaticamente eventos retroativos ao calendário de um alvo, enviando-lhes um convite, sem que a marca percebesse.
O Citizen Lab acredita que a QuaDream escondeu algum tipo de código malicioso ou dados dentro de arquivos iCal para entregar seu spyware aos dispositivos de destino: quando um convite de calendário especialmente criado foi enviado a uma vítima, provavelmente foi processado automaticamente por seu dispositivo iOS e uma carga útil nesse convite foi ativado silenciosamente. O método exato de infecção ainda não é totalmente compreendido.
Uma vez instalado e funcionando por meio desse método, o spyware foi capaz de exfiltrar vários elementos do dispositivo, operadora e informações de rede; procurar e recuperar arquivos; usar a câmera em segundo plano; monitorar chamadas; acessar o chaveiro do iOS; gerar senhas únicas do iCloud; e muito mais, disse a Microsoft.
De acordo com o Citizen Lab, a QuaDream usa uma subsidiária conhecida como InReach para vender o Reign a clientes do governo fora de Israel e tem clientes como Cingapura, Arábia Saudita, México e Gana. Servidores de comando e controle suspeitos para o malware da empresa foram detectados nos países mencionados, bem como na Romênia, Emirados Árabes Unidos, Israel, Hungria e outras nações.
“A QuaDream opera com uma presença pública mínima, sem um site, ampla cobertura da mídia ou presença na mídia social”, disse o Citizen Lab em seu relatório. Muitas das informações que conseguiu extrair sobre o QuaDream vêm de disputas legais entre ele e a InReach sobre a tentativa desta última de esconder o dinheiro devido à empresa de software israelense.
Se tudo isso soa familiar, é porque o caso da QuaDream é surpreendentemente semelhante ao que o fabricante de spyware israelense NSO Group, fabricantes do spyware Pegasus usado por vários governos para espião sobre jornalistas, políticos da oposição e dissidentes, foi acusado de.
“A empresa tem raízes comuns com o NSO Group, bem como com outras empresas da indústria de spyware comercial israelense e com as próprias agências de inteligência do governo israelense”, disse o Citizen Lab.
Aqui é onde este fio fica um pouco retorcido.
Reuters relatado no ano passado que Pegasus e Reign em um ponto ambos abusaram do mesmo bug do iOS para infiltrar dispositivos. A exploração da Pegasus, conhecida como ForcedEntry, envolvia tirar proveito de como o iOS processava imagens para que arquivos maliciosos cuidadosamente elaborados pudessem obter execução arbitrária de código uma vez entregue ao computador de mão da vítima.
A exploração do QuaDream, conforme detalhado esta semana pela Microsoft e pelo Citizen Lab – o último dos quais apelidado de técnica EndOfDays – depende de eventos de calendário. Agora, pode ser que o EndOfDays tenha explorado a mesma falha do ForcedEntry como parte de um processo de infecção em várias etapas: um convite de calendário pode fazer com que dados de imagem incorporados sejam processados, o que levaria à execução do código. Não está totalmente claro nos relatórios desta semana se esse é o caso, provavelmente porque os pesquisadores envolvidos não têm acesso a toda a cadeia de exploração do EndOfDays.
Dito isso, a Apple em 2021 eliminou a vulnerabilidade usada pelo ForcedEntry, que aparentemente também impediu que o spyware do QuaDream funcionasse corretamente. Portanto, é possível que a correção de 2021 tenha interrompido EndOfDays porque EndOfDays e ForcedEntry realmente estavam contando com a mesma falha. Como alternativa, QuaDream tinha outro exploit no momento que foi interrompido pela correção da Apple, e EndOfDays é um exploit separado. Tentamos buscar esclarecimentos sobre esse ponto.
O Citizen Lab disse que identificou dois casos em 2021 em que alvos na América do Norte e na Ásia Central mostraram evidências de EndOfDays sendo executados em seus dispositivos. “Pelo menos um alvo que foi notificado pela Apple testou positivo para o spyware da QuaDream e negativo para o Pegasus”, disse o Citizen Lab em seu relatório.
Tanto a Microsoft quanto o Citizen Lab incluíram indicadores de comprometimento em seus relatórios, mas a Microsoft observou que esses ataques de clique zero podem ser difíceis de prevenir ou detectar depois que um dispositivo foi comprometido. Seus relatórios detalham os métodos usados pelo malware para remover vestígios de sua existência, como a remoção de entradas de calendário usadas para iniciar o ataque após a ocorrência da infecção.
A Microsoft recomendou que qualquer pessoa que acredite estar em risco de ser alvo de spyware comercial habilite o iOS modo de bloqueioque a Apple lançou no ano passado para combater ataques de spyware comercial como o Pegasus.
Apesar das tentativas do spyware de se esconder, o Citizen Lab disse que encontrou evidências de que o malware deixou alguns rastros para trás, que não foram cobertos em seu relatório “pois acreditamos que isso pode ser útil para rastrear o spyware da QuaDream daqui para frente”.
“Em última análise, este relatório é um lembrete de que a indústria de spyware mercenário é maior do que qualquer outra empresa e que a vigilância contínua é exigida por pesquisadores e alvos em potencial”, concluiu o Citizen Lab. Acrescentou que a proliferação de spyware comercial é um problema “fora de controle” que dificilmente diminuirá sem que os governos tomem medidas para impedir o uso de tais ferramentas – e todas elas, não apenas as que são politicamente conveniente. ®
.
