Hackers usando spyware feito por uma empresa pouco conhecida de mercenários cibernéticos usaram convites de calendário maliciosos para hackear os iPhones de jornalistas, figuras da oposição política e um trabalhador de ONG, de acordo com dois relatórios.
Pesquisadores da Microsoft e do grupo de direitos digitais Citizen Lab analisaram amostras de malware que dizem ter sido criado pela QuaDream, um fabricante de spyware israelense que desenvolveu exploits de clique zero – ou seja, ferramentas de hacking que não exigem que o alvo clique em arquivos maliciosos links — para iPhones.
A QuaDream conseguiu voar principalmente sob o radar até recentemente. Em 2021, o jornal israelense Haaretz relatou que a QuaDream vendeu seus produtos para a Arábia Saudita. No ano seguinte, a Reuters informou que a QuaDream vendeu um exploit para hackear iPhones semelhante ao fornecido pelo NSO Group, e que a empresa não opera o spyware, seus clientes do governo o fazem – uma prática comum na indústria de tecnologia de vigilância.
Os clientes da QuaDream operavam servidores de vários países ao redor do mundo: Bulgária, República Tcheca, Hungria, Romênia, Gana, Israel, México, Cingapura, Emirados Árabes Unidos (EAU) e Uzbequistão, de acordo com varreduras da Internet feitas pelo Citizen Lab.
Tanto o Citizen Lab quanto a Microsoft publicaram novos relatórios técnicos inovadores sobre o suposto spyware da QuaDream na terça-feira.
A Microsoft disse que encontrou as amostras originais do malware e depois as compartilhou com os pesquisadores do Citizen Lab, que conseguiram identificar mais de cinco vítimas – um funcionário de uma ONG, políticos e jornalistas – cujos iPhones foram hackeados. A exploração usada para hackear esses alvos foi desenvolvida para o iOS 14 e, na época, não tinha patches e era desconhecida da Apple, tornando-se o chamado dia zero. Os hackers do governo que estavam equipados com o exploit da QuaDream usaram convites de calendário maliciosos com datas no passado para entregar o malware, de acordo com o Citizen Lab.
Esses convites não acionaram uma notificação no telefone, o que os tornou invisíveis para o alvo, disse Bill Marczak, pesquisador sênior do Citizen Lab que trabalhou no relatório, ao TechCrunch.
O porta-voz da Apple, Scott Radcliffe, disse que não há evidências de que o exploit descoberto pela Microsoft e pelo Citizen Lab tenha sido usado após março de 2021, quando a empresa lançou uma atualização.
O Citizen Lab não está nomeando as vítimas porque elas não querem ser identificadas. Marczak disse que estão todos em países diferentes, o que dificulta a saída das vítimas.
“Ninguém necessariamente quer ser o primeiro em sua comunidade a dizer: ‘sim, fui o alvo’”, disse ele, acrescentando que geralmente é mais fácil se as vítimas estiverem todas no mesmo país e fizerem parte da mesma comunidade. ou grupo.
Antes de a Microsoft entrar em contato com o Citizen Lab, Marczak disse que ele e seus colegas identificaram várias pessoas visadas por um exploit semelhante ao usado pelos clientes do NSO Group em 2021, conhecido como FORCEDENTRY . Na época, Marczak e seus colegas concluíram que essas pessoas foram alvo de uma ferramenta feita por outra empresa, não pelo NSO Group.
As amostras analisadas incluem a carga útil inicial, projetada para baixar o malware real — a segunda amostra — se estiver no dispositivo do alvo pretendido. O payload final registra chamadas telefônicas, grava áudio usando o microfone do telefone sub-repticiamente, tira fotos, rouba arquivos, rastreia a localização granular da pessoa e apaga vestígios forenses de sua própria existência, entre outras funcionalidades, de acordo com o Citizen Lab e a Microsoft.
Ainda assim, os pesquisadores do Citizen Lab disseram que o malware deixa certos rastros que lhes permitem rastrear o spyware da QuaDream. Os pesquisadores disseram que não querem revelar quais são esses vestígios para manter sua capacidade de rastrear o malware. Eles chamaram os vestígios de malware de “Fator Ectoplasma”, um nome que Marczak disse ter sido inspirado por uma missão no popular jogo Stardew Valley, que ele disse que joga.
Os pesquisadores do Citizen Lab também afirmaram que a QuaDream usa uma empresa com sede em Chipre chamada InReach para vender seus produtos.
Uma pessoa que trabalhou na indústria de spyware confirmou ao TechCrunch que a QuaDream usou o InReach “para contornar o regulador israelense [de exportação]”. Por exemplo, disse a pessoa, foi assim que a QuaDream vendeu para a Arábia Saudita.
Essa solução alternativa, no entanto, aparentemente não permitiu que eles contornassem completamente os regulamentos.
“[QuaDream] tinha quatro acordos assinados com países da África (Marrocos e alguns outros), mas por causa da mudança no regulamento em Israel (limitado a apenas 36 países), eles não conseguiram entregá-los”, disse a pessoa, que perguntou para permanecer anônimo para discutir detalhes sensíveis da indústria.
A fonte disse que além da Arábia Saudita, a QuaDream também vendeu para Gana, Emirados Árabes Unidos, Uzbequistão e Cingapura, seu primeiro cliente. Além disso, acrescentou a pessoa, “seu sistema é o sistema mais importante do México atualmente”, é operado pelo presidente do país e foi nominalmente vendido ao governo local da Cidade do México, “para mantê-lo quieto”.
O consulado mexicano na cidade de Nova York não respondeu a um pedido de comentário.
De acordo com a fonte, a QuaDream “recentemente encerrou sua divisão Android e agora está focando apenas no iOS”.
O Citizen Lab nomeou várias pessoas que supostamente trabalham para QuaDream ou InReach. Nenhum deles, exceto um, respondeu a um pedido de comentário do TechCrunch. A pessoa que respondeu disse que não tem nenhuma conexão com a QuaDream e que seu nome foi erroneamente associado à empresa no passado.
A descoberta do malware da QuaDream mostra mais uma vez que a indústria de spyware – antes dominada pela Hacking Team e FinFisher – não é composta apenas pelo NSO Group, mas por várias outras empresas, a maioria das quais ainda está voando sob o radar.
“Existe um ecossistema mais amplo dessas empresas e visar empresas individuais não é necessariamente a estratégia ideal para controlar o setor”, disse Marczak.
Em uma postagem de blog que acompanha o relatório da Microsoft, Amy Hogan-Burney, gerente geral da empresa e conselheira geral associada para política e proteção de segurança cibernética, escreveu que “o crescimento explosivo de empresas privadas de ‘mercenários cibernéticos’ representa uma ameaça à democracia e aos direitos humanos em todo o mundo. mundo.”
“Como a indústria de tecnologia constrói e mantém a maior parte do que consideramos ‘ciberespaço’, nós, como indústria, temos a responsabilidade de limitar os danos causados pelos mercenários cibernéticos”, escreveu Hogan-Burney. “É apenas uma questão de tempo até que o uso das ferramentas e tecnologias que eles vendem se espalhe ainda mais. Isso representa um risco real para os direitos humanos online, mas também para a segurança e a estabilidade do ambiente online mais amplo. Os serviços que eles oferecem exigem que os mercenários cibernéticos armazenem vulnerabilidades e busquem novas maneiras de acessar redes sem autorização. Suas ações não afetam apenas o indivíduo visado, mas também deixam redes e produtos inteiros expostos e vulneráveis a novos ataques. Precisamos agir contra essa ameaça antes que a situação se agrave além do que a indústria de tecnologia pode suportar.”
Fonte leia mais: https://techcrunch.com/2023/04/11/quadream-spyware-hacked-iphones-calendar-invites/
