NSO 集团已死,QuaDream 万岁!这家以色列公司将提供监视目标人群(通常是政治对手、记者或活动人士)iPhone 的工具。微软和公民实验室刚刚公布了其在全球的行动。
你喜欢Pegasus,“斯诺登事件以来最大的间谍丑闻”?那么你很可能喜欢君临。正如其由以色列公司 NSO Group 创建的杰出前身一样,Reign 是一家恶意软件旨在在没有用户干预的情况下监视 iPhone,使用一种称为零点击。欢迎来到网络情报公司正在创建尖端软件来攻击和破坏您的智能手机以监视您的世界......
Reign,追随 Pegasus 脚步的间谍软件
Pegasus 和 Reign 有很多共同点。首先,它们是一家以色列小公司的工作成果,在本例中为 QuaDream,专门从事设计间谍软件。因此,与 NSO 集团一样,它是PSOA,私营部门攻击行为者,或私营部门的攻击者。该公司通过利用塞浦路斯公司销售其产品来保持谨慎,以免与其客户直接接触。然而,尽管她做出了努力,但在过去的一年里,她已经两次被谈论。
- 2022 年 2 月,当路透社透露其正在利用漏洞零日漏洞等零点击危害 iPhone,例如 NSO Group 及其 Pegasus。
- 2022 年 12 月,Meta 在他的报告中引用了它关于雇佣监控行业的威胁报告 (PDF,英文),表明它在其网络上发现了该公司的活动痕迹,特别是 250 个 Facebook 和 Instagram 帐户,这些帐户正在尝试提取 Android 和 iOS 上的数据。
如果QuaDream是谨慎的,那么它并不是凭空诞生的。据去年年底的 Meta 报告指出,它是由 NSO 集团的前员工创立的。所以这里没有什么大的惊喜。该公司还与另一个销售监控工具的组织 Verint 以及以色列特勤局有着历史联系——鉴于 8200 单元在所有以色列网络安全专家的课程中无处不在,这本身并不令人意外。
与 Pegasus 一样,Reign 也被出售给国家行为者或执法部门,主要针对记者、政客和活动人士。再次强调,这不是大规模间谍活动,而是对基本自由的公然侵犯。无论如何,这就是揭示微软,在一篇很长的文章中在其致力于网络安全的博客上,以及多伦多大学公民实验室,该实验室已经积极谴责 Pegasus 事件。
的团队微软威胁情报因此确定了这一点恶意软件,代号 KingsPawn,与 QuaDream 公司有关联——这家雷德蒙德巨头的研究人员的代号为 DEV-0196。在公民实验室的支持下,微软已在全球范围内确定了至少五名受害者,分布在北美、中亚、东南亚、欧洲和中东。迄今为止,攻击目标包括记者、政治反对派和非政府组织成员。公民实验室小心翼翼地不提供有关目标人群的更多信息。
它是如何运作的?
微软的技术分析使得追踪 iOS 14 中的缺陷成为可能,即使根据这家美国巨头的专家的说法,部分代码也可以在 Android 上使用。不管怎样,有问题的缺陷被当作缺陷来利用零日漏洞等零点击iOS 14.4 和 14.4.2 版本之间,“可能还有其他版本”,详细说明了多伦多大学研究人员的新闻稿。微软的长文更加肯定了这一点:“自从恶意软件针对 iOS 14,所使用的某些技术可能不再适用或与较新版本的 iOS 相关。然而,DEV-0196很可能(也称为 QuaDream,编者注)已更新其恶意软件»。
这个安全漏洞被命名为内窥镜由加拿大学者提出,是基于 iCloud 日历邀请系统的失败。的运营商间谍软件,因此可以是国家、警察部门、反间谍部门等,向目标发出邀请,允许在不干预的情况下执行指控并建立恶意软件。要把事情做对,恶意软件然后抹掉所有来自“邀请”的痕迹“组织者”并在过去两年内收到。
Microsoft 更详细地介绍了 KingsPawn 的工作原理,重点介绍了组成它的多个组件中的两个:监控代理和安全代理。恶意软件严格来说。
第一部分可以减少软件占用空间。这可以防止它被专门的工具轻易检测到,但也允许它在调查时掩盖其踪迹。微软特别给出了一个例子,它能够监控由于其存在而导致的崩溃所生成的文件并删除它们。与相同过程它会根据其执行而运行并会被中断。
第二部分,即主代理,是用 Go 编码的,Go 是一种可以轻松跨多个平台移植的编程语言。他能够:
- 获取设备信息,如iOS版本、电池状态等。
- 获取Wi-Fi网络信息(SSID、飞行模式等)
- 检索蜂窝网络信息(运营商、SIM 卡数据、电话号码等)
- 搜索和恢复文件
- 在后台使用设备的相机
- 定位设备
- 监听电话
- 访问 iOS 中存储的密码
- 为 iCloud 生成唯一的基于时间的关键字 (TOTP)
这个清单很长而且令人印象深刻。当然,当使用iPhone的摄像头或麦克风时,恶意软件绕过要求用户批准应用程序的常见警报。为此,它特别破坏了守护进程TCC(浇透明度、同意和控制),负责监控麦克风和摄像头的使用情况,并相应地显示警报通知。
同样,KingsPawn 将绕过各种用于验证所执行文件完整性的工具,同时也逃离其运行的沙箱。
Citizen Lab 和 Microsoft 扫描了互联网上的 QuaDream 服务器,并能够找到不同国家/地区的操作系统:保加利亚、捷克共和国、匈牙利、加纳、以色列、墨西哥、罗马尼亚、新加坡、阿拉伯联合酋长国,最后是乌兹别克斯坦。但摩洛哥或沙特阿拉伯等其他国家也将是 QuaDream 的客户。然而,微软表示,作为一般规则,DEV-0196 使用廉价的域名注册商和接受加密货币付款的云托管。
公民实验室已确定与存在受害者的国家密切相关的领域间谍软件。即使微软明确表示某个国家/地区存在目标并不意味着该东道国是攻击的起源地。
之后呢?
微软和公民实验室明确表示调查工作尚未完成,寻找间谍软件QuaDream 比以往任何时候都更加开放。此外,公民实验室谈到“胞质因子” (《灵质因子》,英文),这是雷恩留下的一种痕迹,这可以让我们找到他。然而,加拿大网络安全分析师小心翼翼地没有透露更多信息,因为游戏还没有结束。
然而,所有这些专家都建议可能成为目标的用户(我们可以将此建议扩展到每个人)遵循说明。“基本网络卫生规则”。也就是说,尤其要始终使您的设备保持最新状态,尤其是当更新包含安全补丁时,当然,还要避免单击来自身份不明、意外或可疑来源的链接。
这两份报告还列出了妥协的指标,包括文件是否存在于设备上以及由恶意软件,或与 DEV-0196 的执行和存在相关的域名。
此外,微软建议那些感觉自己可能成为攻击目标的人此类攻击会激活隔离模式,来自 iOS。据记录,它于去年 7 月推出,旨在最大限度地减少 iOS、iPadOS 和 macOS 上间谍软件的攻击面。但不确定这是否足以抵御 Reign(又名 KingsPawn)。
根据公民实验室的报告,我们联系了苹果公司,以了解这家加州巨头对这些爆料的立场,这些爆料是提前提交给它的。我们将在收到回复后立即更新本文。然而,库比蒂诺巨人很可能不会不做出反应就留下来。 2021 年 11 月,苹果紧随 WhatsApp 的脚步,攻击了已被美国列入黑名单的 NSO 集团。这家美国巨头还表示将设立一个 1000 万美元的基金,用于支付与针对这家以色列公司的法律诉讼相关的可能费用和损失。当时,这不仅是形象问题,也是这家美国巨头对其所有用户的责任问题。在这一点上,君临的到来有一种似曾相识的奇怪味道。
来源 : 公民实验室
