هکرها با استفاده از نرم افزارهای جاسوسی بر اساس دو گزارش، ساخته شده توسط یک شرکت مزدور سایبری کمتر شناخته شده، از دعوتنامه های تقویم مخرب برای هک کردن آیفون های روزنامه نگاران، چهره های مخالف سیاسی و یک کارگر غیر دولتی استفاده کرده است.
محققان در مایکروسافت و گروه حقوق دیجیتال Citizen Lab نمونههایی از بدافزار را تجزیه و تحلیل کردند که میگویند توسط QuaDream، یک سازنده جاسوسافزار اسرائیلی ایجاد شده است که گزارش شده است که سوءاستفادههای صفر کلیک را توسعه میدهد – به معنی ابزارهای هک که هدف را نیازی به کلیک روی مخرب ندارد. پیوندها – برای آیفون.
QuaDream تا همین اواخر قادر بود بیشتر زیر رادار پرواز کند. در سال 2021، روزنامه اسرائیلی هاآرتص گزارش داد که QuaDream اجناس خود را به عربستان سعودی فروخته است. سال بعد، رویترز گزارش داد که QuaDream یک اکسپلویت برای هک آیفونها فروخت که مشابه نمونهای بود که توسط NSO Group ارائه شده بود، و این شرکت این نرمافزار جاسوسی را اداره نمیکند، بلکه مشتریان دولتی آن این کار را انجام میدهند – یک روش رایج در صنعت فناوری نظارت.
بر اساس اسکن های اینترنتی انجام شده توسط Citizen Lab، مشتریان QuaDream سرورهایی را از چندین کشور در سراسر جهان اداره می کردند: بلغارستان، جمهوری چک، مجارستان، رومانی، غنا، اسرائیل، مکزیک، سنگاپور، امارات متحده عربی (امارات متحده عربی) و ازبکستان.
هم Citizen Lab و هم مایکروسافت گزارشهای فنی جدید پیشگامانهای را در مورد جاسوسافزار ادعایی QuaDream در روز سهشنبه منتشر کردند.
مایکروسافت گفت که نمونههای بدافزار اصلی را پیدا کرده و سپس آنها را با محققان آزمایشگاه Citizen به اشتراک گذاشته است که توانستند بیش از پنج قربانی را شناسایی کنند – یک کارگر سازمانهای غیر دولتی، سیاستمداران و روزنامهنگاران – که آیفونهایشان هک شده بود. اکسپلویت مورد استفاده برای هک آن اهداف برای iOS 14 توسعه یافته بود و در آن زمان بدون اصلاح و برای اپل ناشناخته بود و به اصطلاح آن را به روز صفر تبدیل کرد. به گفته Citizen Lab، هکرهای دولتی که به بهره برداری QuaDream مجهز شده بودند، از دعوتنامه های تقویم مخرب با تاریخ های گذشته برای ارائه بدافزار استفاده کردند.
بیل مارکزاک، محقق ارشد در Citizen Lab که روی این گزارش کار میکرد، به TechCrunch گفت که این دعوتها اعلانی را روی تلفن راهاندازی نمیکردند، که آنها را برای هدف نامرئی میکرد.
سخنگوی اپل، اسکات رادکلیف، گفت که هیچ مدرکی وجود ندارد که نشان دهد بهره برداری کشف شده توسط مایکروسافت و Citizen Lab پس از مارس 2021 استفاده شده است، زمانی که این شرکت به روز رسانی را منتشر کرد.
آزمایشگاه شهروندی از قربانیان نام نمی برد زیرا آنها نمی خواهند شناسایی شوند. مارکزاک گفت که همه آنها در کشورهای مختلف هستند و این امر بیرون آمدن قربانیان را دشوارتر می کند.
او گفت: «هیچکس لزوماً نمیخواهد اولین کسی در جامعه خود باشد که بیرون بیاید و بگوید، بله، من هدف قرار گرفتم»، و افزود که اگر قربانیان همه در یک کشور و بخشی از یک جامعه باشند، معمولا آسانتر است. یا گروه
قبل از اینکه مایکروسافت با Citizen Lab تماس بگیرد، مارکزاک گفت که او و همکارانش چندین نفر را شناسایی کردهاند که مورد هدف سوءاستفادهای قرار گرفتهاند که مشابه آن چیزی است که توسط مشتریان گروه NSO در سال 2021 استفاده میشد، معروف به FORCEDENTRY. در آن زمان، مارکزاک و همکارانش به این نتیجه رسیدند که آن افراد با ابزاری که توسط شرکت دیگری ساخته شده بود، نه گروه NSO، هدف قرار گرفتند.
نمونه های تجزیه و تحلیل شده شامل بار اولیه است که برای دانلود بدافزار واقعی – نمونه دوم – طراحی شده است، اگر روی دستگاه هدف مورد نظر باشد. طبق گفته Citizen Lab و Microsoft، محموله نهایی تماسهای تلفنی را ضبط میکند، صدا را با استفاده از میکروفون تلفن بهطور مخفیانه ضبط میکند، عکس میگیرد، فایلها را سرقت میکند، مکان گرانول فرد را ردیابی میکند، و آثار پزشکی قانونی وجود خود را حذف میکند، از جمله سایر قابلیتها.
با این حال، محققان آزمایشگاه Citizen می گویند که این بدافزار آثار خاصی از خود بر جای می گذارد که به آنها اجازه می دهد جاسوس افزار QuaDream را ردیابی کنند. محققان گفتند که نمیخواهند این ردپاها را فاش کنند تا توانایی خود را برای ردیابی بدافزار حفظ کنند. آنها رد بدافزار را “عامل اکتوپلاسم” نامیدند، نامی که مرزک میگوید از تلاشی در بازی محبوب الهام گرفته شده است. دره استاردیو، که او گفت بازی می کند.
محققان آزمایشگاه Citizen همچنین ادعا کردند که QuaDream از یک شرکت مستقر در قبرس به نام InReach برای فروش محصولات خود استفاده می کند.
شخصی که در صنعت جاسوس افزار کار کرده است به TechCrunch تأیید کرد که QuaDream از InReach برای دور زدن اسرائیل استفاده کرده است. [export] تنظیم کننده.» به عنوان مثال، آن شخص گفت، QuaDream اینگونه به عربستان سعودی فروخت.
با این حال، این راهحل، ظاهراً به آنها اجازه نمیداد تا قوانین را به طور کامل کنار بگذارند.
“[QuaDream] چهار قرارداد امضا شده با کشورهای آفریقایی (مراکش و چند کشور دیگر) داشتند، اما به دلیل تغییر مقررات در اسرائیل (محدود به 36 کشور)، آنها نتوانستند آنها را تحویل دهند.” درباره جزئیات حساس صنعت بحث کنید.
این منبع گفت که QuaDream به غیر از عربستان سعودی به غنا، امارات، ازبکستان و سنگاپور، اولین مشتری خود نیز فروخته است. همچنین، این شخص اضافه کرد، “سیستم آنها مهمترین سیستم در حال حاضر در مکزیک است”، این سیستم توسط رئیس جمهور این کشور اداره می شود، و به طور اسمی به دولت محلی مکزیکوسیتی فروخته شد تا “بی صدا بماند”.
کنسولگری مکزیک در شهر نیویورک به درخواست اظهار نظر پاسخ نداد.
به گفته این منبع، QuaDream “به تازگی بخش اندروید خود را تعطیل کرده و اکنون فقط بر روی iOS تمرکز کرده است.”
Citizen Lab نام چندین نفر را معرفی کرد که ظاهراً برای QuaDream یا InReach کار می کنند. هیچ یک از آنها، به جز یکی، به درخواست نظر TechCrunch پاسخ ندادند. فردی که پاسخ داد گفت که هیچ ارتباطی با QuaDream ندارد و نام او در گذشته به اشتباه با این شرکت مرتبط بوده است.
کشف بدافزار QuaDream یک بار دیگر نشان میدهد که صنعت جاسوسافزار – زمانی تحت سلطه تیم هک و FinFisher بود – نه تنها از NSO Group بلکه از چندین شرکت دیگر ساخته شده است که بیشتر آنها هنوز در زیر رادار هستند.
مارکزاک گفت: «اکوسیستم گستردهتری از این شرکتها وجود دارد و هدف قرار دادن شرکتهای فردی لزوماً استراتژی بهینه برای مهار صنعت نیست.
در یک پست وبلاگی همراه با گزارش مایکروسافت، امی هوگان-برنی، مدیر کل و مشاور عمومی این شرکت برای سیاستگذاری و حفاظت از امنیت سایبری، نوشت که «رشد انفجاری شرکتهای خصوصی «مزدور سایبری» تهدیدی برای دموکراسی و حقوق بشر در سراسر جهان است. دنیا.”
هوگان برنی نوشت: «از آنجایی که صنعت فناوری بیشتر آنچه را که «فضای سایبری» میدانیم را میسازد و حفظ میکند، ما به عنوان یک صنعت مسئولیت محدود کردن آسیبهای ناشی از مزدوران سایبری را داریم. “فقط یک مسئله زمان است که استفاده از ابزارها و فناوری هایی که آنها می فروشند گسترش بیشتری یابد. این خطر واقعی برای حقوق بشر آنلاین، اما همچنین برای امنیت و ثبات محیط گسترده تر آنلاین است. خدماتی که آنها ارائه میدهند به مزدوران سایبری نیاز دارند تا آسیبپذیریها را ذخیره کنند و راههای جدیدی برای دسترسی به شبکهها بدون مجوز جستجو کنند. اقدامات آنها نه تنها بر فردی که هدف قرار می دهند تأثیر می گذارد، بلکه کل شبکه ها و محصولات را در معرض حملات بیشتر قرار می دهد و آسیب پذیر می کند. ما باید قبل از اینکه اوضاع فراتر از آنچه صنعت فناوری از عهده آن برمی آید، در برابر این تهدید اقدام کنیم.»
آیا اطلاعات بیشتری در مورد QuaDream دارید؟ یا یکی دیگر از ارائه دهندگان فناوری نظارتی؟ ما از اینکه ازت خبر داشته باشیم خوشحال میشویم. میتوانید با Lorenzo Franceschi-Bicchierai بهطور ایمن از طریق Signal به شماره 1 917 257 1382 +1 یا از طریق Wickr، Telegram and Wire @lorenzofb یا ایمیل [email protected] تماس بگیرید. همچنین می توانید از طریق SecureDrop با TechCrunch تماس بگیرید.