QuaDream’in açığından yararlanan devlet bilgisayar korsanları, casus yazılım dağıtmak için geçmişteki tarihlere sahip kötü amaçlı takvim davetlerini kullandı.
Az bilinen bir siber paralı asker şirketi olan QuaDream, Microsoft’taki araştırmacılar ve dijital haklar grubu Citizen Lab tarafından gazetecilerin, siyasi muhalefet figürlerinin ve bir STK çalışanının iPhone’larını hacklemek için kullanılan kötü amaçlı yazılımın yaratıcısı olarak tanımlandı.
İsrailli bir casus yazılım üreticisi olan QuaDream’in, iPhone’lar için hedefin kötü amaçlı bağlantılara tıklamasını gerektirmeyen bilgisayar korsanlığı araçları olan sıfır tıklama açıkları geliştirdiği bildiriliyor. QuaDream’in kötü amaçlı yazılımının son yükü, telefon görüşmelerini kaydetmeyi, telefonun mikrofonunu kullanarak gizlice ses yakalamayı, fotoğraf çekmeyi, dosyaları çalmayı, kişinin ayrıntılı konumunu izlemeyi ve varlığına dair adli tıp izlerini silmeyi içerir.
Citizen Lab’in raporu, araştırmacılarının kötü amaçlı yazılımın bıraktığı ve “Ektoplazma Faktörü” olarak adlandırdıkları belirli işaretleri belirleyerek QuaDream’in casus yazılımını izleyebildiğini belirtiyor. Ancak araştırmacılar, gelecekte kötü amaçlı yazılımı izleyebilmelerini sağlamak için bu işaretleri ifşa etmemeye karar verdiler.
Araştırmacılar, iPhone’ları Avrupa, Kuzey Amerika, Orta Doğu ve Güneydoğu Asya’da hacklenen bir STK çalışanı, politikacılar ve gazeteciler de dahil olmak üzere beşten fazla kurban belirledi. Ancak araştırmacılar, güvenliklerini tehlikeye atmak istemedikleri için kurbanların isimlerini açıklamamaya karar verdiler.
Citizen Lab’da kıdemli bir araştırmacıya göre, kurbanların farklı ülkelerde olması da onların ortaya çıkmasını zorlaştırıyor.
QuaDream radarın altında kalmayı başarsa da İsrail gazetesi Haaretz 2021’de mallarını Suudi Arabistan’a sattığını bildirdi. Bir yıl sonra Reuters, QuaDream’in iPhone’ları hacklemek için NSO Group tarafından sağlanana benzer bir istismar sattığını bildirdi.
QuaDream’in casus yazılımı kendi başına çalıştırmadığını, bunun yerine gözetim teknolojisi sektöründe yaygın bir uygulama olan devlet müşterilerinin çalıştırdığını not etmek önemlidir.
Citizen Lab tarafından gerçekleştirilen internet taramalarına göre, QuaDream’in müşterileri, aşağıdakiler de dahil olmak üzere dünya çapında birçok ülkede sunucular işletiyordu:
- İsrail
- Gana
- Meksika
- Bulgaristan
- Romanya
- Macaristan
- Singapur
- Özbekistan
- Çek Cumhuriyeti
- Birleşik Arap Emirlikleri (BAE)
Bir blog gönderisinde Microsoft, QuaDream’i hükümetlere bir istismar paketi olan REIGN satan İsrail merkezli bir özel sektör saldırgan aktörü (PSOA) olarak etiketledi. Bu paket, hedeflenen akıllı telefonlardan veri sızdırmak için geliştirilmiş kötü amaçlı yazılım ve altyapı içerir.
QuaDream tarafından kullanılan istismar, iOS 14 için oluşturuldu ve sıfır gün güvenlik açığıydı, yani o sırada Apple tarafından henüz düzeltilmemiş veya bilinmiyordu. QuaDream’in açığından yararlanan devlet bilgisayar korsanları, telefonda bir bildirimi tetiklemeyen ve onları hedef için görünmez kılan kötü amaçlı yazılımı teslim etmek için geçmişteki tarihlere sahip kötü amaçlı takvim davetlerini kullandı.
Citizen Lab araştırmacılarına göre QuaDream, ürünlerini satmak için InReach adlı Kıbrıs merkezli bir şirket kullanıyor ve bu, casus yazılım endüstrisinde çalışan bir kişi tarafından doğrulandı.
QuaDream’in kötü amaçlı yazılımının keşfi, casus yazılım endüstrisinin yalnızca NSO Group’tan oluşmadığını, ayrıca çoğu hala gözden kaçan birkaç başka şirket olduğunu bir kez daha vurguluyor.
ALAKALI HABERLER
- Google, Android ve iOS’ta casus yazılım saldırısını tespit etti
- NSO 0 tıklama istismarı, iPhone’ları bağlantılara tıklamadan hackliyor
- Taylandlı Aktivistlerin iPhone’u İsrailli Pegasus Casus Yazılımı Tarafından Hacklendi
- Predator Casus Yazılım Android Cihazları Hedeflemek için 0-day Kullanıyor
- Bilgisayar Korsanları, Kapalı Olsalar Bile iPhone’lara Kötü Amaçlı Yazılım Yükleyebilir