Badacze z Citizen Lab odkryli nowe oprogramowanie szpiegowskie o nazwie Reign, które jest w stanie, podobnie jak Pegasus, infekować telefony Apple. Mają też dowody, iż produkt izraelskiej QuaDream firmy kupiło przynajmniej kilka rządów lub agencji i używa go do inwigilacji członków opozycji, dziennikarzy i organizacji pozarządowych.
Oprogramowanie szpiegowskie jest często wykorzystywane przez agencje bezpieczeństwa i rządy do monitorowania osób będących w kręgu ich zainteresowania. Najgłośniej było o tym przy okazji odkrycia Pegasusa, systemu szpiegowskiego firmy NSO Group, które było sprzedawane i używane do szpiegowania przeciwników politycznych, aktywistów i dziennikarzy. Choć dyskusja o Pegasusie ucichła, NSO Group nie była jedyną firmą sprzedającą zainteresowanym narzędzia zdolne do inwigilacji telefonów Apple.
Raport Citizen Lab oparty na analizie próbek udostępnionych przez Microsoft Threat Intelligence ujawnił istnienie narzędzia szpiegowskiego, które pod wieloma względami jest bardzo podobne do Pegasusa. Znane jako „Reign”, oprogramowanie izraelskiej firmy QuaDream, oferuje rządom bardzo podobne możliwości, jak produkt NSO Group.
Reign korzysta z exploitów zero-click
Podobnie jak Pegasusa, Reign kupiły rządy takich państw jak Singapur, Arabia Saudyjska, Meksyk i Ghana. Podobno zainteresowane są nim też Indonezja i Maroko. Citizen Lab informuje, iż oprogramowanie wykorzystano w co najmniej pięciu przypadkach – zostało użyte przeciwko członkom opozycji politycznej, dziennikarzom i innym osobom w Ameryce Północnej, Azji Środkowej, Azji Południowo-Wschodniej, Europie i na Bliskim Wschodzie. Na dodatek Węgry, Meksyk i Zjednoczone Emiraty Arabskie są znane z wcześniejszych przypadków nadużywania systemu szpiegowskiego do inwigilowania obrońców praw człowieka, dziennikarzy i członków opozycji. Podobne zarzuty padają też pod adresem polskiego rządu.
Nie jest możliwe ustalenie, czy oprogramowanie Reign obsługiwane z Izraela jest nadzorowane przez rząd izraelski czy samą firmę QuaDream. Niemniej jednak, rząd Izraela jest również podejrzewany o nadużywanie narzędzi szpiegowskich do inwigilowania palestyńskich, a także krajowych działaczy politycznych.
Pliki przeskanowane przez zespół Citizen Lab ujawniają, iż oprogramowanie szpiegowskie zostało zainstalowane na urządzeniach docelowych przy użyciu exploita zero-click (nie wymaga akcji użytkownika) dla iOS 14, w tym iOS 14.4 i iOS 14.4.2. Exploit, który badacze określają jako „Endofdays”, wykorzystywał niewidzialne zaproszenia do kalendarza iCloud wysyłane do ofiar. Po zainstalowaniu Reign miał praktycznie nieograniczony dostęp do różnych elementów systemu iOS i funkcji iPhone’a, podobnie jak Pegasus.
Głównie chodzi o:
- Nagrywanie rozmów
- Nagrywanie dźwięku z mikrofonu
- Robienie zdjęć dzięki kamer
- Przechwytywanie i usuwanie elementów z łańcucha kluczy
- Generowanie haseł iCloud 2FA
- Przeszukiwanie plików i baz danych na urządzeniu
- Śledzenie lokalizacji urządzenia
- Czyszczenie śladów systemu w celu zminimalizowania możliwości wykrycia
Funkcja „samozniszczenia” czyściła ślady użycia systemu szpiegowskiego, ale jednocześnie pomagała badaczom w identyfikacji, czy ofiara została zaatakowana przy użyciu tego narzędzia.
QuaDream praktycznie nie istnieje w sieci. Brak strony internetowej, jakichkolwiek relacji w mediach czy obecności na portalach społecznościowych. Pracownicy QuaDream zostali ponoć poinstruowani, aby nigdzie nie wspominać o swoim pracodawcy. Analitycy uważają, iż QuaDream ma wspólne korzenie z NSO Group, podobnie jak wiele innych firm izraelskiej branży spyware. Wśród kluczowych osób jest współzałożyciel firmy, który był byłym izraelskim urzędnikiem wojskowym, oraz byli pracownicy NSO Goup.
