根据两份报告,黑客使用一家鲜为人知的网络雇佣军公司制作的间谍软件,使用恶意日历邀请来破解记者、政治反对派人物和一名非政府组织工作人员的 iPhone。
微软和数字版权组织 Citizen Lab 的研究人员分析了他们所说的由以色列间谍软件制造商 QuaDream 创建的恶意软件样本, 据报道,该公司开发了零点击漏洞——这意味着不需要目标点击恶意软件的黑客工具链接——适用于 iPhone。
直到最近,QuaDream 才能够在雷达下大显身手。 2021 年,以色列报纸 Haaretz 报道称,QuaDream 将其商品出售给了沙特阿拉伯。第二年,路透社报道称,QuaDream 出售了一种破解 iPhone 的漏洞,类似于 NSO Group 提供的漏洞,该公司不运营间谍软件,其政府客户运营——这是监控技术行业的常见做法。
根据 Citizen Lab 进行的互联网扫描,QuaDream 的客户在全球多个国家/地区运行服务器:保加利亚、捷克共和国、匈牙利、罗马尼亚、加纳、以色列、墨西哥、新加坡、阿拉伯联合酋长国 (UAE) 和乌兹别克斯坦。
周二, Citizen Lab和Microsoft都发布了关于 QuaDream 涉嫌间谍软件的开创性新技术报告。
微软表示,它找到了原始恶意软件样本,然后与 Citizen Lab 的研究人员分享了这些样本,他们能够识别出 5 名以上的受害者——一名非政府组织工作人员、一名政治家和一名记者——他们的 iPhone 遭到了黑客攻击。用于破解这些目标的漏洞利用程序是为 iOS 14 开发的,当时未打补丁,Apple 也不知道,这使其成为所谓的零日漏洞。据 Citizen Lab 称,配备了 QuaDream 漏洞的政府黑客使用带有过去日期的恶意日历邀请来发送恶意软件。
Citizen Lab 的高级研究员 Bill Marczak 告诉 TechCrunch,这些邀请并没有在手机上触发通知,这使得他们对目标不可见。
苹果发言人 Scott Radcliffe 表示,没有证据表明微软和 Citizen Lab 发现的漏洞在 2021 年 3 月公司发布更新后被使用过。
Citizen Lab 没有透露受害者的名字,因为他们不想被识别。 Marczak说,他们都在不同的国家,这让受害者更难出来。
“没有人一定想成为他们社区中第一个站出来说,‘是的,我被盯上了’,”他说,并补充说如果受害者都在同一个国家和同一个社区的一部分,通常会更容易或组。
在微软联系 Citizen Lab 之前,Marczak 表示他和他的同事已经确定了几个人的攻击目标,该攻击类似于 NSO Group 客户在 2021 年使用的攻击, 称为 FORCEDENTRY 。当时,Marczak 和他的同事得出结论,这些人是另一家公司制造的工具的目标,而不是 NSO 集团。
分析的样本包括初始有效负载,如果它位于预期目标的设备上,则该有效负载旨在随后下载实际的恶意软件——第二个样本。根据 Citizen Lab 和 Microsoft 的说法,最终的有效载荷会记录电话、偷偷使用手机麦克风录制音频、拍照、窃取文件、跟踪人员的精确位置以及删除其自身存在的取证痕迹等功能。
尽管如此,Citizen Lab 研究人员表示,该恶意软件确实会留下某些痕迹,使他们能够追踪 QuaDream 的间谍软件。研究人员表示,他们不想透露这些痕迹是什么,以便保留他们追踪恶意软件的能力。他们将恶意软件的痕迹称为“Ectoplasm Factor”,Marzak 说这个名字的灵感来自他说自己玩的热门游戏Stardew Valley中的一个任务。
Citizen Lab 研究人员还声称,QuaDream 使用一家名为 InReach 的塞浦路斯公司来销售其产品。
一位在间谍软件行业工作过的人向 TechCrunch 证实,QuaDream 使用 InReach “绕过以色列 [出口] 监管机构。”例如,这位人士说,这就是 QuaDream 卖给沙特阿拉伯的方式。
然而,这种变通办法显然不允许他们完全规避法规。
“[QuaDream] 与非洲国家(摩洛哥和其他少数国家)签署了四项协议,但由于以色列的法规发生变化(仅限于 36 个国家/地区),他们无法交付这些协议,”该人士说,他询问保持匿名以讨论敏感的行业细节。
消息人士称,除沙特阿拉伯外,QuaDream 还向其第一个客户加纳、阿联酋、乌兹别克斯坦和新加坡出售产品。此外,该人士补充说,“他们的系统是目前墨西哥最重要的系统,”它由该国总统运营,名义上卖给了墨西哥城当地政府,“以保持安静。”
墨西哥驻纽约领事馆没有回应置评请求。
据消息人士透露,QuadDream“最近关闭了他们的 Android 部门,现在只专注于 iOS”。
Citizen Lab 点名了几名据称为 QuaDream 或 InReach 工作的人。除了一个,他们都没有回应 TechCrunch 的置评请求。回应的人表示,他与 QuaDream 没有任何关系,过去他的名字被错误地与该公司联系在一起。
QuaDream 恶意软件的发现再次表明,曾经由 Hacking Team 和 FinFisher 主导的间谍软件行业不仅由 NSO Group 组成,而且还有其他几家公司组成,其中大多数公司仍处于低调状态。
“这些公司有一个更广泛的生态系统,针对个别公司不一定是控制该行业的最佳策略,”Marczak 说。
在微软报告随附的博客文章中,该公司总经理兼网络安全政策和保护副总法律顾问艾米霍根伯尼写道,“私人’网络雇佣军’公司的爆炸式增长对周围的民主和人权构成威胁世界。”
Hogan-Burney 写道:“随着技术行业建立和维护我们认为的‘网络空间’的大部分内容,我们作为一个行业有责任限制网络雇佣军造成的危害。” “他们销售的工具和技术的使用进一步传播只是时间问题。这对网上人权构成了真正的风险,也对更广泛的网络环境的安全和稳定构成了真正的风险。他们提供的服务需要网络雇佣兵储存漏洞并寻找未经授权访问网络的新方法。他们的行为不仅会影响他们所针对的个人,还会使整个网络和产品暴露在外并容易受到进一步攻击。我们需要在局势升级到超出技术行业所能承受的范围之前采取行动应对这一威胁。”
您有更多关于 QuaDream 的信息吗?还是另一家监控技术提供商?我们很乐意听取您的意见。您可以通过 Signal 安全地联系 Lorenzo Franceschi-Bicchierai,电话 +1 917 257 1382,或通过 Wickr、Telegram 和 Wire @lorenzofb,或发送电子邮件至[email protected] 。您还可以通过SecureDrop联系 TechCrunch。
研究人员称,雇佣间谍软件通过流氓日历邀请入侵 iPhone 受害者作者: Lorenzo Franceschi-Bicchierai
原文: https://techcrunch.com/2023/04/11/quadream-spyware-hacked-iphones-calendar-invites/