Kada je instaliran na iPhone, špijunski softver može da snima zvuk iz poziva ili mikrofona, da snima slike, prati lokaciju, pretražuje datoteke…, a ima i funkciju samouništenja
Ovaj špijunski softver koji napada „nultim klikovima i nultim danom“ prodala je izraelska firma QuaDream. Napade su razotkrili istraživači bezbjednosti u „Microsoft-u“ i „Citizen Lab-u“. QuaDream je špijunski entitet od NSO Group-e ali dijeli veći dio istog pedigrea, uključujući da su ga osnovali bivši zaposleni NSO Group-e i da ima veze s izraelskim obavještajnim službama.
Njegovi napadi su prvi put otkriveni prošle godine, ali su istraživači sada otkrili kako su ovi digitalni plaćenici radili.
Kompanija je prodala vladama sablasnu platformu za nadzor pod nazivom „Reign“, navodno za provođenje zakona. Reign pruža zlonamjerni softver, eksploatacije i infrastrukturu za krađu podataka s kompromitovanih uređaja, uključujući iPhone uređaje koji koriste iOS 14. Istraživači tvrde da se QuaDream sada isključivo fokusira na iOS napade.
Microsoft u svom izvještaju zaključuje da vjeruje sa „velikim povjerenjem“ da je špijunski softver „snažno povezan sa QuaDream-om“.
U saopštenju, pomoćnik generalnog savjetnika Microsoft-a Amy Hogan-Burney istakla je da su plaćeničke hakerske grupe poput QuaDream-a „procvat u sjeni“. Ona je dodala da je njihovo javno objavljivanje „od suštinskog značaja za zaustavljanje ove aktivnosti“.
Preko 600 QuaDream servera
Novoidentifikovani zlonamjerni softver zove se „KingsPawn“ i proširio se eksploatacijom nazvanom „EndOfDays“, napadom „nultim klikom“ koji je, kako se činilo, koristio nevidljive iCloud kalendarske pozivnice da bi zarazili uređaje. Korisnici čak nisu ni morali ništa da urade da bi bili napadnuti.
Istraživači navode da je u aktivnoj upotrebi u Meksiku, a „Citizen Lab“ je identifikovao žrtve koje se nalaze u SAD-u, Evropi, Bliskom istoku, te centralnoj i jugoistočnoj Aziji. Među žrtvama su političari, novinari i jedan radnik nevladine organizacije.
Kada je instaliran na iPhone, špijunski softver može da snima zvuk iz poziva ili mikrofona, da snima slike, ukrade i ukloni stavke privjesaka za ključeve. Može i da generiše 2FA iCloud lozinke, prati lokaciju, pretražuje datoteke i pretražuje baze podataka, sve dok maskira svoje prisustvo. Čak ima i funkciju samouništenja.
Kako bi podržao ove napade, „CitizenLab“ je u svom izvještaju identifikovao preko 600 servera smještenih u najmanje 10 zemalja kojima upravljaju QuaDream korisnici. Ti serveri obavljaju niz zadataka, uključujući skladištenje ukradenih podataka i distribuciju/ciljanje eksploatacije.
Zemlje u kojima se nalaze serveri uključuju Izrael, Ujedinjene Arapske Emirate, Uzbekistan, Singapur, Mađarsku, Češku, Rumuniju, Bugarsku, Meksiko i Ganu. Poznato je da najmanje tri države (Mađarska, Meksiko i UAE) koriste špijunski softver za ciljanje branilaca ljudskih prava (HRD), novinara i drugih uključenih u civilno društvo.
I dalje puno nepoznanica
“Ne možemo utvrditi da li sistemima upravlja izraelska vlada ili sam QuaDream. Ipak, izraelska vlada se takođe sumnjiči da je zloupotrijebila špijunski softver kako bi ciljala palestinske branioce ljudskih prava, kao i domaće političke aktiviste”, rekli su istraživači.
Zlonamjerne softvere ove firme: KingsPawn, ForcedEntry, EndOfDays i Pegasus dijele neke karakteristike, uglavnom sofisticirane vektore napada i tendenciju da se prošire u širu upotrebu.
Stoga ne čudi saznanje da dva suosnivača QuaDream-a uključuju ljude koji su ranije radili za NSO Group i da samu kompaniju navodno vodi bivši izraelski vojni zvaničnik.
Za razliku od NSO-a, koji je redovno obavještavao novinare o optužbama za zlostavljanje, QuaDream je zadržao manji profil. Kompanija nema web-stranicu koja reklamira svoje poslovanje, a zaposlenima je rečeno da ne spominju svog poslodavca na društvenim mrežama, ranije je izvijestio Reuters.
„Brojne ključne osobe povezane s obje kompanije imaju ranije veze s drugim dobavljačem nadzora, Verintom, kao i izraelskim obavještajnim agencijama“, rekao je Citizen Lab. “Sve dok se širenje komercijalnog špijunskog softvera koje nije kontrolisano ne bude uspješno suzbijeno sistemskim državnim propisima, broj slučajeva zloupotrebe će vjerovatno nastaviti da raste, podstaknuti kako kompanijama s prepoznatljivim imenima, tako i drugima koje još uvijek rade u sjeni. ”
Kako se zaštititi?
Izuzetno je teško zaštititi se od do sada nepoznatih napada nultim klikom. Međutim, postoje neki pristupi koji mogu pomoći u ograničavanju površine napada:
- Ažurirajte uređaje na najnoviji softver, koji uključuje najnovije sigurnosne ispravke.
- Zaštitite uređaje lozinkom.
- Koristite dvofaktorsku autentifikaciju i jaku lozinku za Apple ID.
- Instalirajte aplikacije samo iz App Store-a.
- Koristite jake i jedinstvene lozinke na mreži.
- Koristite Appleove napredne iCloud+ sigurnosne alate , ako su vam dostupne.
- Ne klikajte na linkove ili priloge nepoznatih pošiljalaca.
Korisnik iPhonea koji vjeruje da bi mogao biti meta napada trebao bi omogućiti LockDown Mode. On poboljšava postojeću bezbjednosnu zaštitu dramatično smanjujući dostupnu površinu napada, po cijenu neke iPhone funkcionalnosti.
(IT mixer)