NSO 集團已死,QuaDream 萬歲!這家以色列公司將提供監視目標族群(通常是政治對手、記者或活動人士)iPhone 的工具。微軟和公民實驗室剛剛公佈了其在全球的行動。
你喜歡Pegasus,“斯諾登事件以來最大的間諜醜聞”?那你很可能喜歡君臨。正如其由以色列公司 NSO Group 創建的傑出前身一樣,Reign 是一家惡意軟體旨在在沒有用戶幹預的情況下監視 iPhone,使用一種稱為零點擊。歡迎來到網路情報公司正在創建尖端軟體來攻擊和破壞您的智慧型手機以監視您的世界...
Reign,跟隨 Pegasus 腳步的間諜軟體
Pegasus 和 Reign 有很多共同點。首先,它們是以色列小公司的工作成果,在本例中為 QuaDream,專門從事設計間諜軟體。因此,與 NSO 集團一樣,它是PSOA,私部門攻擊行為者,或私營部門的攻擊者。該公司透過利用塞浦路斯公司銷售其產品來保持謹慎,以免與其客戶直接接觸。然而,儘管她做出了努力,但在過去的一年裡,她已經兩次被談論。
- 2022 年 2 月,當路透社透露正在利用漏洞零日漏洞等零點擊危害 iPhone,例如 NSO Group 及其 Pegasus。
- 2022 年 12 月,Meta 在他的報告中引用了它關於僱用監控產業的威脅報告 (PDF,英文),顯示它在其網路上發現了該公司的活動痕跡,特別是 250 個 Facebook 和 Instagram 帳戶,這些帳戶正在嘗試提取 Android 和 iOS 上的資料。
如果 QuaDream 是謹慎的,那麼它並不是憑空誕生的。根據去年年底的 Meta 報告指出,它是由 NSO 集團的前員工創立的。所以這裡沒有什麼大的驚喜。該公司還與另一個銷售監控工具的組織 Verint 以及以色列特勤局有著歷史聯繫——鑑於 8200 單元在所有以色列網路安全專家的課程中無處不在,這本身並不令人意外。
與 Pegasus 一樣,Reign 也被出售給國家行為者或執法部門,主要針對記者、政治人物和活動人士。再次強調,這不是大規模間諜活動,而是對基本自由的公然侵犯。無論如何,這就是揭示微軟,在一篇很長的文章中在其致力於網路安全的部落格上,以及多倫多大學公民實驗室,該實驗室已經積極譴責 Pegasus 事件。
的團隊微軟威脅情報因此確定了這一點惡意軟體,代號 KingsPawn,與 QuaDream 公司有關聯——這家雷德蒙德巨頭的研究人員的代號為 DEV-0196。在公民實驗室的支持下,微軟已在全球範圍內確定了至少五名受害者,分佈在北美、中亞、東南亞、歐洲和中東。迄今為止,目標包括記者、政治反對派和非政府組織成員。公民實驗室小心翼翼地不提供更多有關目標人群的資訊。
它是如何運作的?
微軟的技術分析使得追蹤 iOS 14 中的缺陷成為可能,即使根據這家美國巨頭的專家的說法,部分程式碼也可以在 Android 上使用。不管怎樣,有問題的缺陷被當作缺陷來利用零日漏洞等零點擊iOS 14.4 和 14.4.2 版本之間,“可能還有其他版本”,詳細說明了多倫多大學研究人員的新聞稿。微軟的長文更肯定了這一點:「自從惡意軟體針對 iOS 14,所使用的某些技術可能不再適用或與較新版本的 iOS 相關。然而,DEV-0196很可能(也稱為 QuaDream,編者註)更新了他的惡意軟體»。
這個安全漏洞被命名為內視鏡由加拿大學者提出,是基於 iCloud 日曆邀請系統的失敗。的營運商間諜軟體,因此可以是國家、警察部門、反間諜部門等,向目標發出邀請,允許在不干預的情況下執行指控並建立惡意軟體。要把事情做對,惡意軟體然後抹去所有來自「邀請」的痕跡“組織者”並在過去兩年內收到。
Microsoft 更詳細地介紹了 KingsPawn 的工作原理,重點介紹了組成它的多個元件中的兩個:監控代理程式和安全代理程式。惡意軟體嚴格來說。
第一部分可以減少軟體佔用空間。這可以防止它被專門的工具輕易檢測到,但也允許它在調查時掩蓋其痕跡。微軟特別給了一個例子,它能夠監控由於其存在而導致的崩潰所產生的檔案並刪除它們。與相同過程它會根據其執行而運作並會中斷。
第二部分,即主代理,是用 Go 編碼的,Go 是一種可以輕鬆跨多個平台移植的程式語言。他能夠:
- 取得設備信息,如iOS版本、電池狀態等。
- 取得Wi-Fi網路資訊(SSID、飛行模式等)
- 檢索有關蜂窩網路的資訊(運營商、SIM 卡數據、電話號碼等)
- 搜尋和恢復文件
- 在背景使用裝置的相機
- 定位設備
- 監聽電話
- 存取 iOS 中儲存的密碼
- 為 iCloud 產生唯一的基於時間的關鍵字 (TOTP)
這個清單很長而且令人印象深刻。當然,使用iPhone的相機或麥克風時,惡意軟體繞過要求用戶批准應用程式的常見警報。為此,它特別破壞了守護程式TCC(澆透明度、同意和控制),負責監控麥克風和攝影機的使用情況,並相應地顯示警報通知。
同樣,KingsPawn 將繞過各種用於驗證所執行文件完整性的工具,同時也逃離其運行的沙箱。
Citizen Lab 和 Microsoft 掃描了互聯網上的 QuaDream 伺服器,並能夠找到不同國家/地區的作業系統:保加利亞、捷克共和國、匈牙利、加納、以色列、墨西哥、羅馬尼亞、新加坡、阿拉伯聯合大公國,最後是烏茲別克。但摩洛哥或沙烏地阿拉伯等其他國家也將是 QuaDream 的客戶。然而,微軟表示,作為一般規則,DEV-0196 使用廉價的網域註冊商和接受加密貨幣付款的雲端託管。
公民實驗室已確定與存在受害者的國家密切相關的領域間諜軟體。即使微軟明確表示某個國家存在目標並不意味著該東道國是攻擊的起源地。
之後呢?
微軟和公民實驗室明確表示調查工作尚未完成,尋找間諜軟體QuaDream 比以往任何時候都更加開放。此外,公民實驗室談到“胞質因子” (《靈質因子》,英文),這是雷恩留下的一種痕跡,這可以讓我們找到他。然而,加拿大網路安全分析師小心翼翼地沒有透露更多信息,因為遊戲還沒有結束。
然而,所有這些專家都建議可能成為目標的使用者(我們可以將此建議擴展到每個人)遵循指示。“基本網路衛生規則”。也就是說,尤其要始終使您的裝置保持最新狀態,尤其是當更新包含安全性修補程式時,當然,也要避免點擊來自身份不明、意外或可疑來源的連結。
這兩份報告也列出了妥協的指標,包括文件是否存在於設備上以及由惡意軟體,或與 DEV-0196 的執行和存在相關的網域。
此外,微軟建議那些感覺自己可能成為攻擊目標的人此類攻擊會啟動隔離模式,來自 iOS。根據記錄,它於去年 7 月推出,旨在最大限度地減少 iOS、iPadOS 和 macOS 上間諜軟體的攻擊面。但不確定這是否足以抵禦 Reign(又名 KingsPawn)。
根據公民實驗室的報告,我們聯繫了蘋果公司,以了解這家加州巨頭對這些爆料的立場,這些爆料是提前提交給它的。我們將在收到回覆後立即更新本文。然而,庫比蒂諾巨人很可能不會不做出反應就留下來。 2021 年 11 月,蘋果緊跟著 WhatsApp 的腳步,攻擊了已被美國列入黑名單的 NSO 集團。這家美國巨頭還表示將設立一個 1000 萬美元的基金,用於支付與針對這家以色列公司的法律訴訟相關的可能費用和損失。當時,這不僅是形象問題,也是這家美國巨頭對其所有用戶的責任問題。在這一點上,君臨的到來有一種似曾相識的奇怪味道。
來源 : 公民實驗室
