کارشناسان امنیتی در مورد ظهور نرم افزار‌های جاسوسی ناشناخته قبلی با قابلیت هک قابل مقایسه با Pegasus گروه NSO هشدار داده‌اند که قبلاً برای هدف قرار دادن روزنامه نگاران، چهره‌های مخالف سیاسی و کارمندان یک NGO استفاده شده است.

محققان آزمایشگاه Citizen در دانشکده Munk دانشگاه تورنتو گفتند که این نرم افزار جاسوسی که توسط یک شرکت اسرائیلی به نام QuaDream ساخته شده است، با ارسال یک دعوتنامه تقویم iCloud برای کاربران تلفن همراه از اپراتور‌های این نرم افزار جاسوسی، تلفن‌های برخی قربانیان را آلوده کرده است.

قربانیان از دعوت‌نامه‌های تقویم مطلع نشدند، زیرا آن‌ها برای رویداد‌هایی که در گذشته ثبت شده بودند ارسال می‌شدند و باعث می‌شد آن‌ها برای اهداف هک نامرئی شوند. چنین حملاتی به عنوان "صفر کلیک" شناخته می‌شوند، زیرا کاربران تلفن همراه برای آلوده شدن مجبور نیستند روی پیوند‌های مخرب کلیک کنند یا اقدامی انجام دهند.

جاسوس‌افزار به چه اطلاعاتی دست پیدا می‌کند؟

بر اساس گزارش Citizen Lab، ابزار هک توسط QuaDream با نام Reign به بازار عرضه شده است. حملات هکری که کشف شده است بین سال‌های ۲۰۱۹ تا ۲۰۲۱ رخ داده است.

این تحقیق تاکید می‌کند که حتی در شرایطی که گروه NSO، سازنده یکی از پیچیده‌ترین سلاح‌های سایبری جهان، با نظارت شدید مواجه شده و توسط دولت بایدن در لیست سیاه قرار گرفته است، و احتمالاً دسترسی آن به مشتریان جدید را محدود کرده است، تهدید ناشی از هک‌های مشابه و بسیار پیچیده. ابزار‌ها همچنان در حال تکثیر هستند.

 با Pegasus NSO، یک تلفن آلوده به Reign توسط یک کلاینت QuaDream می‌تواند مکالماتی را که در نزدیکی تلفن اتفاق می‌افتد با کنترل ضبط کننده تلفن ضبط کند، پیام‌ها را در برنامه‌های رمزگذاری شده بخواند، به مکالمات تلفنی گوش دهد و موقعیت مکانی کاربر را ردیابی کند.  محققان دریافتند که Reign همچنین می‌تواند برای تولید کد‌های احراز هویت دو مرحله‌ای در آیفون برای نفوذ به حساب iCloud کاربر استفاده شود و به اپراتور جاسوس‌افزار اجازه می‌دهد تا داده‌ها را مستقیماً از iCloud کاربر استخراج کند.

تهدیدی برای اپل و واکنش این شرکت

افشاگری‌های جدید ضربه دیگری به اپل وارد می‌کند که ویژگی‌های امنیتی خود را به عنوان یکی از بهترین‌ها در جهان معرفی کرده است. اکنون به نظر می‌رسد که Reign یک تهدید جدید و قوی برای یکپارچگی تلفن‌های همراه این شرکت است.

اپل در بیانیه‌ای به گاردین گفت که «به طور مداوم امنیت iOS را ارتقا می‌دهد» و هیچ نشانه‌ای مبنی بر استفاده از اکسپلویت QuaDream از سال ۲۰۲۱ وجود ندارد.

این شرکت گفت حملات تحت حمایت دولتی مانند مواردی که در گزارش Citizen Lab شرح داده شده است میلیون‌ها هزینه برای توسعه دارند، عمر مفید کوتاهی دارند و برای هدف قرار دادن افراد خاص «به دلیل اینکه چه کسی هستند یا چه کاری انجام می‌دهند» استفاده می‌شوند.

این شرکت گفت: "اکثریت قریب به اتفاق کاربران آیفون هرگز قربانی حملات سایبری بسیار هدفمند نخواهند شد و ما به طور خستگی ناپذیری برای محافظت از تعداد کمی از کاربرانی که هستند تلاش خواهیم کرد".

چه کسانی از کدام مناطق در خطرند؟

Citizen Lab از افرادی که مشخص شد توسط مشتریان با استفاده از Reign هدف قرار گرفته‌اند نامی نبرد. اما گفته می‌شود که بیش از پنج قربانی - که به عنوان روزنامه‌نگار، چهره‌های مخالف سیاسی و یک کارمند یک سازمان غیردولتی توصیف می‌شوند - در آمریکای شمالی، آسیای مرکزی، آسیای جنوب شرقی، اروپا و خاورمیانه هستند. Citizen Lab همچنین گفت که قادر است مکان‌های اپراتور این نرم‌افزار جاسوسی را در بلغارستان، جمهوری چک، مجارستان، غنا، اسرائیل، مکزیک، رومانی، سنگاپور، امارات متحده عربی و ازبکستان شناسایی کند.

برخلاف NSO Group، QuaDream دارای مشخصات عمومی نسبتا پایینی است.

نام این شرکت به طور خلاصه در گزارش امنیتی دسامبر ۲۰۲۲ منتشر شده توسط متا، شرکت مادر فیسبوک، که QuaDream را به عنوان یک شرکت مستقر در اسرائیل که توسط کارمندان سابق NSO تأسیس شده بود، ذکر شد. در آن زمان، متا گفت که ۲۵۰ حساب کاربری را در فیسبوک و اینستاگرام حذف کرده است که به QuaDream مرتبط شده بودند و معتقد بود که این حساب‌ها برای آزمایش قابلیت‌های سازنده نرم‌افزار‌های جاسوسی با استفاده از حساب‌های جعلی، از جمله استخراج داده‌هایی مانند پیام ها، تصاویر، ویدئو، فایل‌های صوتی و ... استفاده می‌شود.

Citizen Lab اعلام کرد که افراد کلیدی مرتبط با QuaDream را از طریق بررسی اسناد و پایگاه‌های اطلاعاتی شرکت شناسایی کرده است و این افراد شامل یک مقام نظامی سابق اسرائیل و کارمندان قبلی گروه NSO می‌شوند.

QuaDream به درخواست ارسال نظر از طریق ایمیل به فردی که در اسناد شرکت به عنوان وکیل شرکت ذکر شده است، پاسخ نداد. این شرکت یک وب سایت یا لیستی از جزئیات تماس دیگر ندارد. Citizen Lab گفت همچنین پاسخی به سؤالاتی که برای وکیل شرکت ارسال کرده بود دریافت نکرده است.

تجزیه و تحلیل Citizen Lab تا حدی مبتنی بر نمونه‌هایی بود که توسط Microsoft Threat Intelligence با محققان به اشتراک گذاشته شده بود. در یک پست وبلاگی که روز سه شنبه منتشر شد، این شرکت گفت که تحلیلگرانش با "اطمینان بالا" ارزیابی کرده اند که یک گروه تهدیدی که ردیابی کرده است با QuaDream مرتبط است و اطلاعات دقیقی را در مورد تهدید برای مشتریان، شرکای صنعتی و عمومی به منظور افزایش آگاهی در مورد نحوه کار شرکت‌های نرم افزار‌های جاسوسی.

منبع: دگاردین