QuaDream iOS špijunski softver

QuaDream iOS špijunski softver je novi slučaj zloupotrebe softvera iz Izraela koji je namijenjen za kompromitovanje iPhone uređaja visoko rizičnih osoba, među kojima su političari i novinari.

QuaDream iOS špijunski softver; Dizajn: Saša Đurić

Kompanija QuaDream

Kompanija Microsoft je otkrila tragove špijunskog softvera (eng. spyware) čiji je autor tajna izraelska kompanija za špijunski softver pod nazivom QuaDream. Kompanija je razvila platformu Reign koja uključuje zlonamjerni softver, eksploatacije i infrastrukturu koja se može koristiti za krađu podataka sa kompromitovanih iOS mobilnih uređaja i to nude vladinim organizacijama za sprovođenja zakona. Prodavci komercijalnog špijunskog softvera obično oglašavaju svoja rješenja u te svrhe, ali istrage često otkrivaju slučajeve zloupotrebe, pri čemu vlade koriste špijunski softver protiv svojih protivnika.

Jedan distributera ove platforme bila je kompanija sa sjedištem na Kipru pod imenom InReach, koja je trenutno u pravnom sporu sa kompanijom QuaDream zbog navodnog odbijanja da prenese dio svojih prihoda izraelskoj firmi, kako je dogovoreno. Ova tužba je pružila izvjestan uvid u poslovnu praksu prodavca špijunskog softvera, a Citizen Lab sigurnosni istraživači su objavili neke informacije o nekoliko pojedinaca za koje se čini da su povezani sa QuaDream i InReach kompanijama.

QuaDream se specijalizovao za hakovanje iPhone pametnih telefona koristeći tehniku infekcije koja ne zahteva nikakvu akciju od strane žrtve (eng. zero-click). Firma se smatra najvećim konkurentom izraelskih kompanija NSO Group (poznate po svom zloglasnom špijunskom softveru Pegasus) i Paragon. Ali dok se ove dvije konkurentske firme fokusiraju na hakovanje raznih uređaja, QuaDream se bavi samo iskorišćavanjem iPhone pametnih telefona i razvojem novih metoda hakovanja ovog popularnog i naizgled bezbjednog uređaja.

Infekcija uređaja

Softver za infekciju korisničkih uređaja koji ne zahtijevaju nikakvu akciju od strane žrtve, odnosno ne zahtijevaju od korisnika da urade bilo šta u procesu infekcije se smatraju najskupljim hakerskim alatima na digitalnom tržištu. Ovakva vrsta softvera za dobijanje pristupa iPhone pametnim telefonima može se prodati za nekoliko miliona američkih dolara.

Kao što je već rečeno, kompanija QuaDream je razvila špijunski alat – platformu pod nazivom Reign koja napadaču omogućava da iskoristi Apple digitalni kalendar – iCloud Calendar. Zlonamjerni softver se vjerovatno isporučuje putem eksploatacije bez klika pod nazivom “Početak kraja” (eng. End of Days), koja naizgled koristi nevidljive iCloud kalendarske pozivnice koje napadač šalje žrtvama za isporuku.

Kompanija Microsoft je pratila QuaDream pod šifrom DEV–0196, sa fokusom na analizu iOS zlonamjernog softvera koji su navali “Kraljev pijun” (eng. KingsPawn) koji je vjerojatno isporučen od strane platforme Reign. Verzija koja je analizirana, cilja iPhone uređaje sa iOS verzijom 14, uz nešto dokaza koji upućuju i na mogućnost napada na Android korisnike.

Jednom kada se instalira na na uređaju, Kraljev pijun iOS zlonamjerni softver može da snima zvuk iz poziva ili mikrofona uređaja, da snima slike pomoću kamere, preuzima i uklanja stavke iz Keychain menadžera lozinki, generiše iCloud 2FA lozinke, prati lokaciju, traži datoteke i baze podataka na uređaju i na kraju može da ukloni svoje tragove.

Rasprostranjenost

Citizen Lab istraga je uspjela da identifikuje pet žrtvi ovog napada čiji identitet nije otkriven, a geografski se nalaze u Sjevernoj Americi, Evropi, Bliskom Istoku, Centralnoj i Jugoistočnoj Aziji.

Skeniranje Interneta je otkrilo postojanje oko 600 servera koji pripadaju kompaniji QuaDream, uključujući i one koji se koriste za skladištenje podataka preuzetih od žrtvi napada. Istraživači vjeruju da se serverima upravlja iz zemalja kao što su Izrael, UAE, Uzbekistan, Singapur, Mađarska, Češka, Rumunija, Bugarska, Meksiko i Gana. Istraživači nisu bili u mogućnosti da utvrde da li sistemima kojima upravlja Izrael upravlja izraelska vlada ili sam QuaDream. Bez obzira na to, izraelska vlada se takođe sumnjiči da je zloupotrebila špijunski softver kako bi špijunirala palestinske branitelje, kao i domaće političke aktiviste.

QuaDream serveri širom svijeta: Dizajn: Saša Đurić

Zaključak

Alati koji su korišteni za napad na iOS 14 više ne rade na novijim verzijama mobilnog operativnog sistema, ali kompanija Microsoft vjeruje da će zlonamjerni softver vrlo vjerovatno biti ažuriran kako bi mogao da hakuje i novije iPhone uređaje. Kompanija Apple redovno popravlja nedostatke nultog dana koje iskorištavaju komercijalni prodavci špijunskog softvera, kako bi zaštitili korisnike svojih uređaja.