Mało znana izraelska firma zajmująca się zaawansowanym oprogramowaniem szpiegowskim wykorzystała podejrzany dzień zerowy do inwigilacji dziennikarzy, działaczy opozycji politycznej i pracownika organizacji pozarządowej na wielu kontynentach – twierdzą badacze z Citizen Lab i Microsoft.
W opublikowanych we wtorek raportach badacze stwierdzają, że oprogramowanie opracowane przez QuaDream i sprzedawane pod nazwą „Reign” może nagrywać dźwięk, robić zdjęcia, śledzić położenie i wykradać hasła. Według nich klientami są rządy co najmniej 10 krajów.
Citizen Lab powiedział, że dowody wskazują na to, że hakerzy wykorzystali dzień zerowy, nazwany przez niego EndOfDays, w mobilnym systemie operacyjnym Apple, który nie został załatany przynajmniej przez kilka pierwszych miesięcy 2021 roku. Microsoft ujawnił ponad 200 domen internetowych, które według niego są związane ze złośliwą działalnością QuaDream. Udostępniła próbki złośliwego oprogramowania Citizen Lab w ramach dochodzenia w sprawie zaawansowanych zagrożeń.
Rzecznik firmy Apple powiedział, że nic nie wskazuje na to, aby exploit EndOfDays mógł zostać wykorzystany, ponieważ firma wydała aktualizację systemu iOS 26 marca 2021 r.
Duże firmy technologiczne, w tym Microsoft i Apple, prowadziły publiczne kampanie przeciwko komercyjnym grupom inwigilacyjnym, w tym znacznie bardziej znanej izraelskiej firmie NSO Group. Microsoft opisuje około trzy tuziny znanych globalnych dostawców oprogramowania szpiegującego do smartfonów jako „cybernetycznych najemników”. Oni „gromadzą luki w zabezpieczeniach i szukają nowych sposobów na nieautoryzowany dostęp do sieci”. Ich działania mają wpływ nie tylko na osoby, w które celują, ale także na całe sieci i produkty, które są narażone na dalsze ataki” – napisała we wpisie na blogu Amy Hogan-Burney, szefowa działu polityki i ochrony cyberbezpieczeństwa w firmie Microsoft.
QuaDream „działa przy minimalnej obecności publicznej”, jak twierdzi Citizen Lab. Firma nie ma strony internetowej, a Reuters doniósł w 2022 roku, że pracownikom mówi się, aby nie powoływali się na swojego pracodawcę w mediach społecznościowych. Niektóre informacje o firmie wyszły na jaw przy okazji sporu prawnego, jaki QuaDream prowadzi z zarejestrowaną na Cyprze firmą InReach. Citizen Lab twierdzi, że InReach dystrybuowała licencje na skalę międzynarodową, a partnerstwo obu firm miało na celu uniknięcie kontroli eksportu. Izraelska gazeta Haaretz po raz pierwszy poinformowała o połączeniu QuaDream i InReach w 2021 roku.
Citizen Lab twierdzi, że złośliwe oprogramowanie Reign może po usunięciu pozostawiać ślady na zainfekowanych urządzeniach. Badacze nazywają te ślady „Czynnikiem Ektoplazmy”, ale powiedzieli, że nie ujawnią wskaźników technicznych, ponieważ mogłyby one zostać wykorzystane do wykrycia przyszłych infekcji. Zidentyfikowali co najmniej pięć ofiar zlokalizowanych w Ameryce Północnej, Azji Środkowej, Azji Południowo-Wschodniej, Europie i na Bliskim Wschodzie. Operatorzy Reign wydają się być zlokalizowani w Europie, w tym w Bułgarii, Czechach, na Węgrzech i w Rumunii, a także w Ghanie, Izraelu, Meksyku, Singapurze, Zjednoczonych Emiratach Arabskich i Uzbekistanie.
Rządowi hakerzy, którzy wdrożyli exploit EndOfDays, zainfekowali smartfony poprzez niewidoczne zaproszenia do kalendarza iCloud. Złośliwe oprogramowanie zawierało kod, który czyścił dowody swojej obecności, usuwając wydarzenia kalendarza związane z określonym adresem e-mail podanym jako organizator. Usuwał również zapis kont iCloud, z którymi urządzenie współdziałało za pomocą niektórych usług Apple, takich jak iMessenger.
Oczywiście zachodzi wysokie podejrzenie, że system może inwigilować i zmieniać zawartość w urządzeniach mobilnych, dotyczących również innych systemów opartych o Android. Zaleca się, aby dokładnie weryfikować informacje, jakie są otrzymywane i używanie aplikacji o wysokim poziomie bezpieczeństwa.