QuaDream adlı İsrailli bir gözetleme yazılımı satıcısının bilgisayar korsanlığı araçlarını kullanan tehdit aktörleri, Kuzey Amerika, Orta Asya, Güneydoğu Asya, Avrupa ve Orta Doğu’daki en az beş sivil toplum üyesini hedef aldı.
Citizen Lab’den bir grup araştırmacının bulgularına göre, casus yazılım kampanyası 2021’de gazetecilere, siyasi muhalefet figürlerine ve bir STK çalışanına yönelikti. Kurbanların isimleri açıklanmadı.
Ayrıca şirketin, “sıfır tıklama” adlı bir istismarı kötüye kullandığından şüpheleniliyor. GÜNLERİN SONU casus yazılımları 14.4 ve 14.4.2 sürümlerinde sıfır gün olarak dağıtmak için iOS 14’te. İstismarın Mart 2021’den sonra kullanıldığına dair bir kanıt yok.
Araştırmacılar, ENDOFDAYS’ın “casus yazılımın operatöründen kurbanlara gönderilen görünmez iCloud takvim davetlerini kullandığı görülüyor” dedi.
Microsoft Tehdit İstihbaratı ekibi, QuaDream’i şu şekilde izliyor: DEV-0196, siber paralı asker şirketini bir özel sektör saldırgan aktörü (PSOA) olarak tanımlıyor. QuaDream, hedeflemeye doğrudan dahil olmasa da, “sömürü hizmetlerini ve kötü amaçlı yazılımlarını” devlet müşterilerine sattığı biliniyor, teknoloji devi yüksek bir güvenle değerlendirdi.
adlı kötü amaçlı yazılım Kral Piyonusırasıyla Objective-C ve Go’da yazılmış Mach-O dosyaları olan bir izleme aracısı ve birincil kötü amaçlı yazılım aracısı içerir.
İzleme aracısı, tespit edilmekten kaçınmak için kötü amaçlı yazılımın adli ayak izini azaltmaktan sorumluyken, ana aracı, cihaz bilgilerini, hücresel ve Wi-Fi verilerini toplama, dosyaları toplama, arka plandaki kameraya erişim, erişim konumu, arama günlükleri gibi yeteneklerle birlikte gelir. ve iOS Anahtar Zinciri ve hatta bir iCloud zamana dayalı tek seferlik parola (TOTP) oluşturun.
Diğer örnekler, telefon görüşmelerinden ve mikrofondan gelen seslerin kaydedilmesini, SQL veritabanlarında sorguların çalıştırılmasını ve şimdiki zamandan iki yıl önceki tüm takvim etkinliklerinin silinmesi gibi adli tıp izlerinin temizlenmesini destekler. Veriler, HTTPS POST istekleri aracılığıyla sızdırılır.
Citizen Lab tarafından gerçekleştirilen internet taramaları, QuaDream müşterilerinin 2021’in sonları ile 2023’ün başları arasında Bulgaristan, Çek Cumhuriyeti, Macaristan, Romanya, Gana, İsrail, Meksika, Singapur, BAE ve Özbekistan.
Disiplinler arası laboratuvar, casus yazılımın izlerini örtmek için yaptığı girişimlere rağmen, gelecekte QuaDream’in araç setini izlemek için kullanılabilecek “Ektoplazma Faktörü” adını verdiği şeyin belirsiz izlerini ortaya çıkarabildiğini söyledi.
Bu, QuaDream’in ilk kez dikkat çekmesi değil. Şubat 2022’de Reuters, şirketin REIGN adlı bir casus yazılım çözümü dağıtmak için iMessage’daki FORCEDENTRY sıfır tıklama istismarını silahlandırdığını bildirdi.
Ardından Aralık 2022’de Meta, Android ve iOS cihazlarına virüs bulaştırmak ve kişisel verileri sızdırmak için QuaDream tarafından kontrol edilen Facebook ve Instagram’da 250 sahte hesaptan oluşan bir ağı kapattığını açıkladı.
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
Hatta bu gelişme, NSO Group’un çektiği kötü şöhrete rağmen, ticari casus yazılım firmalarının gözden kaçmaya ve devlet müşterileri tarafından kullanılmak üzere sofistike casus yazılım ürünleri geliştirmeye devam ettiklerinin bir başka göstergesidir.
“Ticari casus yazılımların kontrolden çıkmış çoğalması sistemik hükümet düzenlemeleri ile başarılı bir şekilde azaltılıncaya kadar, hem tanınabilir adlara sahip şirketler hem de hâlâ gölgede kalan şirketler tarafından körüklenen kötüye kullanım vakalarının sayısı muhtemelen artmaya devam edecek. ” dedi Vatandaş Laboratuvarı.
Paralı casus yazılım şirketlerinin büyümesini demokrasi ve insan haklarına yönelik bir tehdit olarak nitelendiren Microsoft, bu tür saldırgan aktörlerle mücadelenin “kolektif bir çaba” ve “çok paydaşlı bir işbirliği” gerektirdiğini söyledi.
Şirketin siber güvenlik politikası ve korumasından sorumlu genel hukuk müşaviri Amy Hogan-Burney, “Üstelik, sattıkları araç ve teknolojilerin kullanımının daha da yaygınlaşması an meselesi,” dedi.
“Bu, çevrimiçi insan hakları için olduğu kadar, daha geniş çevrimiçi ortamın güvenliği ve istikrarı için de gerçek bir risk oluşturuyor. Sundukları hizmetler, siber paralı askerlerin güvenlik açıklarını biriktirmesini ve yetkisiz ağlara erişmenin yeni yollarını aramasını gerektiriyor.”