کارشناسان امنیتی در مورد ظهور نرم افزارهای جاسوسی ناشناخته قبلی با قابلیت هک قابل مقایسه با Pegasus گروه NSO هشدار داده اند که قبلاً توسط مشتریان برای هدف قرار دادن روزنامه نگاران، چهره های مخالف سیاسی و کارمندان یک NGO استفاده شده است.

محققان آزمایشگاه Citizen در دانشکده Munk دانشگاه تورنتو گفتند که این نرم افزار جاسوسی که توسط یک شرکت اسرائیلی به نام QuaDream ساخته شده است، با ارسال یک دعوتنامه تقویم iCloud برای کاربران تلفن همراه از اپراتورهای این نرم افزار جاسوسی، تلفن های برخی قربانیان را آلوده کرده است. مشتری دولت باشند قربانیان از دعوت‌نامه‌های تقویم مطلع نشدند، زیرا آنها برای رویدادهایی که در گذشته ثبت شده بودند ارسال می‌شدند و باعث می‌شد آنها برای اهداف هک نامرئی شوند. چنین حملاتی به عنوان “صفر کلیک” شناخته می شوند زیرا کاربران تلفن همراه برای آلوده شدن مجبور نیستند روی پیوندهای مخرب کلیک کنند یا اقدامی انجام دهند.

بر اساس گزارش Citizen Lab، ابزار هک توسط QuaDream با نام Reign به بازار عرضه شده است. حملات هکری که کشف شده است بین سال های 2019 تا 2021 رخ داده است.

این تحقیق تاکید می‌کند که، حتی در شرایطی که گروه NSO، سازنده یکی از پیچیده‌ترین سلاح‌های سایبری جهان، با نظارت شدید مواجه شده و توسط دولت بایدن در لیست سیاه قرار گرفته است، و احتمالاً دسترسی آن به مشتریان جدید را محدود کرده است، تهدید ناشی از هک‌های مشابه و بسیار پیچیده. ابزارها همچنان در حال تکثیر هستند.

همانطور که با Pegasus NSO، یک تلفن آلوده به Reign توسط یک کلاینت QuaDream می تواند مکالماتی را که در نزدیکی تلفن اتفاق می افتد با کنترل ضبط کننده تلفن ضبط کند، پیام ها را در برنامه های رمزگذاری شده بخواند، به مکالمات تلفنی گوش دهد و موقعیت مکانی کاربر را ردیابی کند. آزمایشگاه شهروند. محققان دریافتند که Reign همچنین می تواند برای تولید کدهای احراز هویت دو مرحله ای در آیفون برای نفوذ به حساب کاربری iCloud استفاده شود و به اپراتور جاسوس افزار اجازه می دهد تا داده ها را مستقیماً از iCloud کاربر استخراج کند.

افشاگری های جدید ضربه دیگری به اپل وارد می کند که ویژگی های امنیتی خود را به عنوان یکی از بهترین ها در جهان معرفی کرده است. اکنون به نظر می رسد که Reign یک تهدید جدید و قوی برای یکپارچگی تلفن های همراه این شرکت باشد.

اپل در بیانیه‌ای به گاردین گفت که «به طور مداوم امنیت iOS را ارتقا می‌دهد» و هیچ نشانه‌ای مبنی بر استفاده از اکسپلویت QuaDream از سال ۲۰۲۱ وجود ندارد.

این شرکت گفت که حملات تحت حمایت دولتی مانند مواردی که در گزارش Citizen Lab شرح داده شده، میلیون‌ها هزینه برای توسعه دارند، ماندگاری کوتاهی دارند و برای هدف قرار دادن افراد خاص «به دلیل اینکه چه کسی هستند یا چه کاری انجام می‌دهند» استفاده می‌شوند.

این شرکت گفت: “اکثریت قریب به اتفاق کاربران آیفون هرگز قربانی حملات سایبری بسیار هدفمند نخواهند شد و ما به طور خستگی ناپذیری برای محافظت از تعداد کمی از کاربرانی که هستند تلاش خواهیم کرد.”

Citizen Lab از افرادی که مشخص شد توسط مشتریان با استفاده از Reign هدف قرار گرفته اند نامی نبرد. اما گفته می‌شود که بیش از پنج قربانی – که به عنوان روزنامه‌نگار، چهره‌های مخالف سیاسی و یک کارمند یک سازمان غیردولتی توصیف می‌شوند – در آمریکای شمالی، آسیای مرکزی، آسیای جنوب شرقی، اروپا و خاورمیانه هستند. Citizen Lab همچنین گفت که قادر است مکان‌های اپراتور این نرم‌افزار جاسوسی را در بلغارستان، جمهوری چک، مجارستان، غنا، اسرائیل، مکزیک، رومانی، سنگاپور، امارات متحده عربی و ازبکستان شناسایی کند.

برخلاف NSO Group، QuaDream دارای مشخصات عمومی نسبتا پایینی است.

نام این شرکت به طور خلاصه در گزارش امنیتی دسامبر 2022 منتشر شده توسط متا، شرکت مادر فیس بوک، که QuaDream را به عنوان یک شرکت مستقر در اسرائیل که توسط کارمندان سابق NSO تأسیس شده بود، ذکر کرد. در آن زمان، متا گفت که 250 حساب کاربری را در فیس بوک و اینستاگرام حذف کرده است که به QuaDream مرتبط شده بودند و معتقد بود که این حساب ها برای آزمایش قابلیت های سازنده نرم افزارهای جاسوسی با استفاده از حساب های جعلی، از جمله استخراج داده هایی مانند پیام ها، تصاویر، ویدئو و … استفاده می شود. فایل های صوتی

Citizen Lab گفت که افراد کلیدی مرتبط با QuaDream را از طریق بررسی اسناد و پایگاه‌های اطلاعاتی شرکت شناسایی کرده است و این افراد شامل یک مقام نظامی سابق اسرائیل و کارمندان قبلی گروه NSO می‌شوند.

QuaDream به درخواست ارسال نظر از طریق ایمیل به فردی که در اسناد شرکت به عنوان وکیل شرکت ذکر شده است، پاسخ نداد. این شرکت یک وب سایت یا لیستی از جزئیات تماس دیگر ندارد. Citizen Lab گفت همچنین پاسخی به سؤالاتی که برای وکیل شرکت ارسال کرده بود دریافت نکرده است.

تجزیه و تحلیل Citizen Lab تا حدی بر اساس نمونه هایی است که توسط Microsoft Threat Intelligence با محققان به اشتراک گذاشته شده است. در یک پست وبلاگی که روز سه شنبه منتشر شد، این شرکت گفت که تحلیلگرانش با “اطمینان بالا” ارزیابی کرده اند که یک گروه تهدیدی که ردیابی کرده است با QuaDream مرتبط است و اطلاعات دقیقی را در مورد تهدید برای مشتریان، شرکای صنعتی و عمومی به منظور افزایش آگاهی در مورد نحوه کار شرکت های نرم افزارهای جاسوسی.