Експерти по сигурността предупредиха за появата на неизвестен досега шпионски софтуер с хакерски възможности, използван в 10 държави, сред които и България. С този софтуер са следени журналисти, опозиционни политици в редица държави, включително е използван и от правителствени агенции.
Той е сравним с добилия скандална публичност шпионски софтуер Pegasus на NSO Group. Данните се съдържат в анализ на Microsoft Threat Intelligence и изследователи от Citizen Lab към Munk School към Университета в Торонто.
Шпионският софтуер, който е произведен от израелската компания QuaDream, е заразил телефоните на няколко жертви, като е изпратил покана за календар в iCloud на мобилни потребители от оператори на шпионския софтуер, които вероятно са правителствени клиенти. Жертвите не са били уведомени за поканите за календара, тъй като те са били изпратени за събития, регистрирани в миналото, което ги прави невидими за целите на хакерската атака. Такива атаки са известни като „zero-click“, тъй като потребителите на мобилни телефони не трябва да кликват върху злонамерена връзка или да предприемат някакво действие, за да бъдат заразени.
Според доклада на Citizen Lab инструментът за хакване се продава от QuaDream под името Reign. Откритите хакерски атаки са извършени между 2019 и 2021 г.
Както и при Pegasus на NSO, телефон, заразен с Reign от клиент на QuaDream, може да записва разговори, които се случват в близост до телефона, като контролира микрофона на телефона, да чете съобщения в криптирани приложения, да слуша телефонни разговори и да проследява местоположението на потребителя, твърди Citizen Lab. Изследователите са установили, че Reign може да се използва и за генериране на кодове за двуфакторна проверка на iPhone, за да се проникне в акаунта на потребителя в iCloud, което позволява на оператора на шпионски софтуер да ексфилтрира данни директно от iCloud на потребителя.
Citizen Lab не назовава имената на лицата, за които е установено, че са били обект на посегателство от страна на клиенти, използващи Reign. Изследователите са установили повече от пет жертви – журналисти, политически опозиционери и един служител на неправителствена организация – в Северна Америка, Централна Азия, Югоизточна Азия, Европа и Близкия изток. Citizen Lab заяви също така, че е успяла да открие местоположението на операторите на шпионския софтуер в България, Чешката република, Унгария, Гана, Израел, Мексико, Румъния, Сингапур, ОАЕ и Узбекистан.
За разлика от NSO Group, QuaDream има сравнително ниска обществена популярност. Няма сайт и продава софтуера си извън Израел през дистрибутор в Кипър.
Името на компанията е споменато за кратко в доклад за сигурността от декември 2022 г., издаден от Meta, компанията майка на Facebook, в който QuaDream е описана като базирана в Израел компания, основана от бивши служители на NSO. По това време Meta заяви, че е премахнала 250 акаунта във Facebook и Instagram, които са били свързани с QuaDream, и че смята, че акаунтите са били използвани за тестване на възможностите на производителя на шпионски софтуер с помощта на фалшиви акаунти, включително за ексфилтриране на данни като съобщения, изображения, видео и аудио файлове.
Citizen Lab заяви, че е идентифицирала ключови лица, свързани с QuaDream, чрез преглед на корпоративни документи и бази данни, и те включват бивш израелски военен служител и предишни служители на NSO Group.
QuaDream не отговори на искането за коментар, изпратено по електронна поща до лице, което е посочено в корпоративните документи като адвокат на компанията. Дружеството няма уебсайт, нито други данни за контакт. Citizen Lab заяви, че също не е получила отговор на запитванията, които е изпратила до адвоката на дружеството.
