محققان می گویند نرم افزارهای جاسوسی مزدور قربانیان آیفون را با دعوتنامه های تقویمی سرکش هک کردند

هکرها با استفاده از نرم افزارهای جاسوسی بر اساس دو گزارش، ساخته شده توسط یک شرکت مزدور سایبری کمتر شناخته شده، از دعوتنامه های تقویم مخرب برای هک کردن آیفون های روزنامه نگاران، چهره های مخالف سیاسی و یک کارگر غیر دولتی استفاده کرده است.

محققان در مایکروسافت و گروه حقوق دیجیتال Citizen Lab نمونه‌هایی از بدافزار را تجزیه و تحلیل کردند که می‌گویند توسط QuaDream، یک سازنده جاسوس‌افزار اسرائیلی ایجاد شده است که گزارش شده است که سوءاستفاده‌های صفر کلیک را توسعه می‌دهد – به معنی ابزارهای هک که هدف را نیازی به کلیک روی مخرب ندارد. پیوندها – برای آیفون.

QuaDream تا همین اواخر قادر بود بیشتر زیر رادار پرواز کند. در سال 2021، روزنامه اسرائیلی هاآرتص گزارش داد که QuaDream اجناس خود را به عربستان سعودی فروخته است. سال بعد، رویترز گزارش داد که QuaDream یک اکسپلویت برای هک آیفون‌ها فروخت که مشابه نمونه‌ای بود که توسط NSO Group ارائه شده بود، و این شرکت این نرم‌افزار جاسوسی را اداره نمی‌کند، بلکه مشتریان دولتی آن این کار را انجام می‌دهند – یک روش رایج در صنعت فناوری نظارت.

بر اساس اسکن های اینترنتی انجام شده توسط Citizen Lab، مشتریان QuaDream سرورهایی را از چندین کشور در سراسر جهان اداره می کردند: بلغارستان، جمهوری چک، مجارستان، رومانی، غنا، اسرائیل، مکزیک، سنگاپور، امارات متحده عربی (امارات متحده عربی) و ازبکستان.

هم Citizen Lab و هم مایکروسافت گزارش‌های فنی جدید پیشگامانه‌ای را در مورد جاسوس‌افزار ادعایی QuaDream در روز سه‌شنبه منتشر کردند.

مایکروسافت گفت که نمونه‌های بدافزار اصلی را پیدا کرده و سپس آن‌ها را با محققان آزمایشگاه Citizen به اشتراک گذاشته است که توانستند بیش از پنج قربانی را شناسایی کنند – یک کارگر سازمان‌های غیر دولتی، سیاستمداران و روزنامه‌نگاران – که آیفون‌هایشان هک شده بود. اکسپلویت مورد استفاده برای هک آن اهداف برای iOS 14 توسعه یافته بود و در آن زمان بدون اصلاح و برای اپل ناشناخته بود و به اصطلاح آن را به روز صفر تبدیل کرد. به گفته Citizen Lab، هکرهای دولتی که به بهره برداری QuaDream مجهز شده بودند، از دعوتنامه های تقویم مخرب با تاریخ های گذشته برای ارائه بدافزار استفاده کردند.

بیل مارکزاک، محقق ارشد در Citizen Lab که روی این گزارش کار می‌کرد، به TechCrunch گفت که این دعوت‌ها اعلانی را روی تلفن راه‌اندازی نمی‌کردند، که آنها را برای هدف نامرئی می‌کرد.

سخنگوی اپل، اسکات رادکلیف، گفت که هیچ مدرکی وجود ندارد که نشان دهد بهره برداری کشف شده توسط مایکروسافت و Citizen Lab پس از مارس 2021 استفاده شده است، زمانی که این شرکت به روز رسانی را منتشر کرد.

آزمایشگاه شهروندی از قربانیان نام نمی برد زیرا آنها نمی خواهند شناسایی شوند. مارکزاک گفت که همه آنها در کشورهای مختلف هستند و این امر بیرون آمدن قربانیان را دشوارتر می کند.

او گفت: «هیچ‌کس لزوماً نمی‌خواهد اولین کسی در جامعه خود باشد که بیرون بیاید و بگوید، بله، من هدف قرار گرفتم»، و افزود که اگر قربانیان همه در یک کشور و بخشی از یک جامعه باشند، معمولا آسان‌تر است. یا گروه

قبل از اینکه مایکروسافت با Citizen Lab تماس بگیرد، مارکزاک گفت که او و همکارانش چندین نفر را شناسایی کرده‌اند که مورد هدف سوءاستفاده‌ای قرار گرفته‌اند که مشابه آن چیزی است که توسط مشتریان گروه NSO در سال 2021 استفاده می‌شد، معروف به FORCEDENTRY. در آن زمان، مارکزاک و همکارانش به این نتیجه رسیدند که آن افراد با ابزاری که توسط شرکت دیگری ساخته شده بود، نه گروه NSO، هدف قرار گرفتند.

نمونه های تجزیه و تحلیل شده شامل بار اولیه است که برای دانلود بدافزار واقعی – نمونه دوم – طراحی شده است، اگر روی دستگاه هدف مورد نظر باشد. طبق گفته Citizen Lab و Microsoft، محموله نهایی تماس‌های تلفنی را ضبط می‌کند، صدا را با استفاده از میکروفون تلفن به‌طور مخفیانه ضبط می‌کند، عکس می‌گیرد، فایل‌ها را سرقت می‌کند، مکان گرانول فرد را ردیابی می‌کند، و آثار پزشکی قانونی وجود خود را حذف می‌کند، از جمله سایر قابلیت‌ها.

با این حال، محققان آزمایشگاه Citizen می گویند که این بدافزار آثار خاصی از خود بر جای می گذارد که به آنها اجازه می دهد جاسوس افزار QuaDream را ردیابی کنند. محققان گفتند که نمی‌خواهند این ردپاها را فاش کنند تا توانایی خود را برای ردیابی بدافزار حفظ کنند. آنها رد بدافزار را “عامل اکتوپلاسم” نامیدند، نامی که مرزک می‌گوید از تلاشی در بازی محبوب الهام گرفته شده است. دره استاردیو، که او گفت بازی می کند.

محققان آزمایشگاه Citizen همچنین ادعا کردند که QuaDream از یک شرکت مستقر در قبرس به نام InReach برای فروش محصولات خود استفاده می کند.

شخصی که در صنعت جاسوس افزار کار کرده است به TechCrunch تأیید کرد که QuaDream از InReach برای دور زدن اسرائیل استفاده کرده است. [export] تنظیم کننده.» به عنوان مثال، آن شخص گفت، QuaDream اینگونه به عربستان سعودی فروخت.

با این حال، این راه‌حل، ظاهراً به آنها اجازه نمی‌داد تا قوانین را به طور کامل کنار بگذارند.

“[QuaDream] چهار قرارداد امضا شده با کشورهای آفریقایی (مراکش و چند کشور دیگر) داشتند، اما به دلیل تغییر مقررات در اسرائیل (محدود به 36 کشور)، آنها نتوانستند آنها را تحویل دهند.” درباره جزئیات حساس صنعت بحث کنید.

این منبع گفت که QuaDream به غیر از عربستان سعودی به غنا، امارات، ازبکستان و سنگاپور، اولین مشتری خود نیز فروخته است. همچنین، این شخص اضافه کرد، “سیستم آنها مهمترین سیستم در حال حاضر در مکزیک است”، این سیستم توسط رئیس جمهور این کشور اداره می شود، و به طور اسمی به دولت محلی مکزیکوسیتی فروخته شد تا “بی صدا بماند”.

کنسولگری مکزیک در شهر نیویورک به درخواست اظهار نظر پاسخ نداد.

به گفته این منبع، QuaDream “به تازگی بخش اندروید خود را تعطیل کرده و اکنون فقط بر روی iOS تمرکز کرده است.”

Citizen Lab نام چندین نفر را معرفی کرد که ظاهراً برای QuaDream یا InReach کار می کنند. هیچ یک از آنها، به جز یکی، به درخواست نظر TechCrunch پاسخ ندادند. فردی که پاسخ داد گفت که هیچ ارتباطی با QuaDream ندارد و نام او در گذشته به اشتباه با این شرکت مرتبط بوده است.

کشف بدافزار QuaDream یک بار دیگر نشان می‌دهد که صنعت جاسوس‌افزار – زمانی تحت سلطه تیم هک و FinFisher بود – نه تنها از NSO Group بلکه از چندین شرکت دیگر ساخته شده است که بیشتر آنها هنوز در زیر رادار هستند.

مارکزاک گفت: «اکوسیستم گسترده‌تری از این شرکت‌ها وجود دارد و هدف قرار دادن شرکت‌های فردی لزوماً استراتژی بهینه برای مهار صنعت نیست.

در یک پست وبلاگی همراه با گزارش مایکروسافت، امی هوگان-برنی، مدیر کل و مشاور عمومی این شرکت برای سیاست‌گذاری و حفاظت از امنیت سایبری، نوشت که «رشد انفجاری شرکت‌های خصوصی «مزدور سایبری» تهدیدی برای دموکراسی و حقوق بشر در سراسر جهان است. دنیا.”

هوگان برنی نوشت: «از آنجایی که صنعت فناوری بیشتر آنچه را که «فضای سایبری» می‌دانیم را می‌سازد و حفظ می‌کند، ما به عنوان یک صنعت مسئولیت محدود کردن آسیب‌های ناشی از مزدوران سایبری را داریم. “فقط یک مسئله زمان است که استفاده از ابزارها و فناوری هایی که آنها می فروشند گسترش بیشتری یابد. این خطر واقعی برای حقوق بشر آنلاین، اما همچنین برای امنیت و ثبات محیط گسترده تر آنلاین است. خدماتی که آنها ارائه می‌دهند به مزدوران سایبری نیاز دارند تا آسیب‌پذیری‌ها را ذخیره کنند و راه‌های جدیدی برای دسترسی به شبکه‌ها بدون مجوز جستجو کنند. اقدامات آنها نه تنها بر فردی که هدف قرار می دهند تأثیر می گذارد، بلکه کل شبکه ها و محصولات را در معرض حملات بیشتر قرار می دهد و آسیب پذیر می کند. ما باید قبل از اینکه اوضاع فراتر از آنچه صنعت فناوری از عهده آن برمی آید، در برابر این تهدید اقدام کنیم.»

---

آیا اطلاعات بیشتری در مورد QuaDream دارید؟ یا یکی دیگر از ارائه دهندگان فناوری نظارتی؟ ما از اینکه ازت خبر داشته باشیم خوشحال میشویم. می‌توانید با Lorenzo Franceschi-Bicchierai به‌طور ایمن از طریق Signal به شماره 1 917 257 1382 +1 یا از طریق Wickr، Telegram and Wire @lorenzofb یا ایمیل [email protected] تماس بگیرید. همچنین می توانید از طریق SecureDrop با TechCrunch تماس بگیرید.