Hacker mit Spyware Zwei Berichten zufolge wurden von einem wenig bekannten Cyber-Söldnerunternehmen böswillige Kalendereinladungen verwendet, um die iPhones von Journalisten, politischen Oppositionellen und einem NGO-Mitarbeiter zu hacken.
Forscher von Microsoft und der Gruppe für digitale Rechte Citizen Lab analysierten Proben von Malware, von denen sie sagen, dass sie von QuaDream erstellt wurden, einem israelischen Spyware-Hersteller, der Berichten zufolge Zero-Click-Exploits entwickelt hat – also Hacking-Tools, bei denen das Ziel nicht auf bösartige klicken muss Links — für iPhones.
QuaDream konnte bis vor kurzem meist unter dem Radar fliegen. 2021, israelische Zeitung Haaretz berichtete, dass QuaDream seine Waren verkaufte nach Saudi-Arabien. Im nächsten Jahr berichtete Reuters, dass QuaDream einen Exploit zum Hacken von iPhones verkaufte, der dem von der NSO Group bereitgestellten ähnlich war, und dass das Unternehmen funktioniert nicht die Spyware, was ihre Regierungskunden tun – eine gängige Praxis in der Überwachungstechnologiebranche.
Die Kunden von QuaDream betrieben Server aus mehreren Ländern auf der ganzen Welt: Bulgarien, Tschechische Republik, Ungarn, Rumänien, Ghana, Israel, Mexiko, Singapur, Vereinigte Arabische Emirate (VAE) und Usbekistan, laut Internet-Scans von Citizen Lab.
Beide Citizen Lab Und Microsoft hat am Dienstag bahnbrechende neue technische Berichte über angebliche Spyware von QuaDream veröffentlicht.
Microsoft sagte, es habe die ursprünglichen Malware-Samples gefunden und sie dann mit den Forschern von Citizen Lab geteilt, die mehr als fünf Opfer identifizieren konnten – einen NGO-Mitarbeiter, Politiker und Journalisten – deren iPhones gehackt wurden. Der Exploit, der zum Hacken dieser Ziele verwendet wurde, wurde für iOS 14 entwickelt und war damals nicht gepatcht und Apple unbekannt, was ihn zu einem sogenannten Zero-Day machte. Die Hacker der Regierung, die mit QuaDreams Exploit ausgestattet waren, nutzten laut Citizen Lab bösartige Kalendereinladungen mit Daten in der Vergangenheit, um die Malware auszuliefern.
Diese Einladungen lösten keine Benachrichtigung am Telefon aus, was sie für das Ziel unsichtbar machte, sagte Bill Marczak, ein leitender Forscher am Citizen Lab, der an dem Bericht arbeitete, gegenüber TechCrunch.
Apples Sprecher Scott Radcliffe sagte, dass es keine Beweise dafür gibt, dass der von Microsoft und Citizen Lab entdeckte Exploit nach März 2021 verwendet wurde, als das Unternehmen ein Update veröffentlichte.
Citizen Lab nennt die Opfer nicht, weil sie nicht identifiziert werden wollen. Marczak sagte, dass sie sich alle in verschiedenen Ländern aufhalten, was es den Opfern erschwert, herauszukommen.
„Niemand möchte unbedingt der Erste in seiner Gemeinde sein, der herauskommt und sagt: ‚Ja, ich wurde angegriffen’“, sagte er und fügte hinzu, dass es normalerweise einfacher sei, wenn die Opfer alle im selben Land und Teil derselben Gemeinde seien oder Gruppe.
Bevor Microsoft Citizen Lab kontaktierte, sagte Marczak, er und seine Kollegen hätten mehrere Personen identifiziert, die von einem Exploit betroffen waren, der dem ähnlich war, der von Kunden der NSO Group im Jahr 2021 verwendet wurde. bekannt als ZWANGSENTRIEB. Damals kamen Marczak und Kollegen zu dem Schluss, dass diese Personen mit einem Tool angegriffen wurden, das von einem anderen Unternehmen und nicht von der NSO Group hergestellt wurde.
Bildnachweis: Das Bürgerlabor
Die analysierten Samples umfassen die anfängliche Nutzlast, die darauf ausgelegt ist, die eigentliche Malware – das zweite Sample – herunterzuladen, wenn sie sich auf dem Gerät des beabsichtigten Ziels befindet. Laut Citizen Lab und Microsoft zeichnet die letzte Payload unter anderem Telefonanrufe auf, nimmt heimlich Audio über das Mikrofon des Telefons auf, macht Fotos, stiehlt Dateien, verfolgt den genauen Standort der Person und löscht forensische Spuren ihrer eigenen Existenz.
Dennoch sagten die Forscher von Citizen Lab, dass die Malware bestimmte Spuren hinterlässt, die es ihnen ermöglichten, die Spyware von QuaDream zu verfolgen. Die Forscher sagten, sie wollten nicht offenlegen, was diese Spuren sind, um ihre Fähigkeit zu behalten, die Malware zu verfolgen. Sie nannten die Spuren der Malware „Ectoplasm Factor“, ein Name, der laut Marczak von einer Suche im beliebten Spiel Stardew Valley inspiriert war, das er nach eigenen Angaben spielt.
Forscher von Citizen Lab behaupteten auch, dass QuaDream ein in Zypern ansässiges Unternehmen namens InReach nutzt, um seine Produkte zu verkaufen.
Eine Person, die in der Spyware-Branche gearbeitet hat, bestätigte gegenüber TechCrunch, dass QuaDream InReach verwendet, „um den Israeli zu umgehen [export] Regler.” Die Person sagte zum Beispiel, so habe QuaDream nach Saudi-Arabien verkauft.
Diese Problemumgehung erlaubte es ihnen jedoch anscheinend nicht, Vorschriften vollständig zu umgehen.
„[QuaDream] hatte vier unterzeichnete Verträge mit Ländern in Afrika (Marokko und einige andere), aber aufgrund der Änderung der Vorschriften in Israel (beschränkt auf nur 36 Länder) konnten sie diese nicht liefern“, sagte die Person, die anonym bleiben wollte Diskutieren Sie sensible Branchendetails.
Die Quelle sagte, dass QuaDream neben Saudi-Arabien auch an Ghana, die Vereinigten Arabischen Emirate, Usbekistan und Singapur, seinen ersten Kunden, verkauft habe. Außerdem fügte die Person hinzu: „Ihr System ist derzeit das wichtigste System in Mexiko“, es wird vom Präsidenten des Landes betrieben und wurde nominell an die lokale Regierung von Mexiko-Stadt verkauft, „um es ruhig zu halten“.
Das mexikanische Konsulat in New York City reagierte nicht auf eine Bitte um Stellungnahme.
Laut der Quelle hat QuaDream „vor kurzem seine Android-Sparte geschlossen und konzentriert sich jetzt nur noch auf iOS“.
Citizen Lab nannte mehrere Personen, die angeblich für QuaDream oder InReach arbeiten. Keiner von ihnen, bis auf einen, hat auf eine Anfrage von TechCrunch nach einem Kommentar geantwortet. Die Person, die geantwortet hat, sagte, dass sie keine Verbindung zu QuaDream hat und dass ihr Name in der Vergangenheit fälschlicherweise mit dem Unternehmen in Verbindung gebracht wurde.
Die Entdeckung der Malware von QuaDream zeigt einmal mehr, dass die Spyware-Industrie – einst dominiert von Hacking Team und FinFisher – nicht nur aus der NSO Group besteht, sondern aus mehreren anderen Unternehmen, von denen die meisten immer noch unter dem Radar fliegen.
„Es gibt ein breiteres Ökosystem dieser Unternehmen, und die Ausrichtung auf einzelne Unternehmen ist nicht unbedingt die optimale Strategie, um die Branche zu zügeln“, sagte Marczak.
In ein Blogbeitrag Begleitend zum Bericht von Microsoft schrieb Amy Hogan-Burney, General Manager und Associate General Counsel für Cybersicherheitspolitik und -schutz, dass „das explosive Wachstum privater ‚Cyber-Söldner‘-Unternehmen eine Bedrohung für die Demokratie und die Menschenrechte auf der ganzen Welt darstellt“.
„Da die Technologieindustrie den Großteil dessen, was wir als ‚Cyberspace’ betrachten, baut und unterhält, haben wir als Industrie die Verantwortung, den Schaden zu begrenzen, der durch Cyber-Söldner verursacht wird“, schrieb Hogan-Burney. „Es ist nur eine Frage der Zeit, bis sich der Einsatz der von ihnen verkauften Tools und Technologien noch weiter verbreitet. Dies stellt ein echtes Risiko für die Menschenrechte im Internet dar, aber auch für die Sicherheit und Stabilität der breiteren Online-Umgebung. Die von ihnen angebotenen Dienste erfordern, dass Cyber-Söldner Schwachstellen horten und nach neuen Wegen suchen, um unbefugt auf Netzwerke zuzugreifen. Ihre Aktionen wirken sich nicht nur auf die Einzelperson aus, auf die sie abzielen, sondern machen ganze Netzwerke und Produkte ungeschützt und anfällig für weitere Angriffe. Wir müssen gegen diese Bedrohung vorgehen, bevor die Situation über das hinaus eskaliert, was die Technologiebranche bewältigen kann.“
Haben Sie weitere Informationen über QuaDream? Oder ein anderer Anbieter von Überwachungstechnik? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Wickr, Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können TechCrunch auch über SecureDrop kontaktieren.
