استهدف ممثلو التهديد الذين يستخدمون أدوات قرصنة من بائع برمجيات مراقبة إسرائيلي يُدعى QuaDream خمسة أعضاء على الأقل من المجتمع المدني في أمريكا الشمالية وآسيا الوسطى وجنوب شرق آسيا وأوروبا والشرق الأوسط.
وفقًا لنتائج مجموعة من الباحثين من Citizen Lab ، كانت حملة برامج التجسس موجهة ضد صحفيين وشخصيات سياسية معارضة وعامل في منظمة غير حكومية في عام 2021. ولم يتم الكشف عن أسماء الضحايا.
يُشتبه أيضًا في أن الشركة أساءت استغلال ثغرة النقر الصفري التي يطلق عليها ENDOFDAYS في نظام التشغيل iOS 14 لنشر برامج التجسس في الإصدار 14.4 و 14.4.2. لا يوجد دليل على استخدام برمجيات إكسبلويت بعد نوفمبر 2021.
وقال الباحثون إن ENDOFDAYS "يبدو أنها تستفيد من دعوات تقويم iCloud غير المرئية المرسلة من مشغل برامج التجسس إلى الضحايا" ، مضيفين أن ملفات .ics تحتوي على دعوات لحدثين قديمين ومتداخلين حتى لا يتم تنبيه المستخدمين.
يُشتبه في أن الهجمات قد استفادت من مشكلة في نظام التشغيل iOS 14 حيث تتم معالجة أي دعوة تقويم iCloud بوقت قديم تم استلامها بواسطة الهاتف تلقائيًا وإضافتها إلى تقويم المستخدمين دون أي إشعار أو مطالبة.
يقوم فريق Microsoft Threat Intelligence بتتبع QuaDream باسم DEV-0196 ، واصفاً إياه بأنه جهة فاعلة هجومية من القطاع الخاص (PSOA). في حين أن شركة المرتزقة الإلكترونية لا تشارك بشكل مباشر في الاستهداف ، فمن المعروف أنها تبيع "خدمات الاستغلال والبرامج الضارة" للعملاء الحكوميين ، وقد تم تقييم عملاق التكنولوجيا بثقة عالية.
يحتوي البرنامج الضار ، المسمى KingsPawn ، على عامل مراقبة وعامل البرامج الضارة الأساسي ، وكلاهما عبارة عن ملفات Mach-O مكتوبة في Objective-C و Go ، على التوالي.
بينما يكون وكيل المراقبة مسؤولاً عن تقليل البصمة الجنائية للبرامج الضارة لتجنب الاكتشاف ، يأتي الوكيل الرئيسي مزودًا بقدرات لجمع معلومات الجهاز والبيانات الخلوية و Wi-Fi وحصاد الملفات والوصول إلى الكاميرا في الخلفية والوصول إلى الموقع وسجلات المكالمات ، و iOS Keychain ، وحتى إنشاء كلمة مرور لمرة واحدة على أساس الوقت على iCloud (TOTP).
تدعم العينات الأخرى تسجيل الصوت من المكالمات الهاتفية والميكروفون ، وتشغيل الاستعلامات في قواعد بيانات SQL ، وتنظيف مسارات الطب الشرعي ، مثل حذف جميع أحداث التقويم من عامين قبل الوقت الحالي. يتم استخراج البيانات عبر طلبات HTTPS POST.
كشفت عمليات مسح الإنترنت التي أجراها Citizen Lab أن عملاء QuaDream قاموا بتشغيل 600 خادم من عدة دول حول العالم بين أواخر عام 2021 وأوائل عام 2023 ، بما في ذلك بلغاريا وجمهورية التشيك والمجر ورومانيا وغانا وإسرائيل والمكسيك وسنغافورة والإمارات العربية المتحدة و أوزبكستان.
على الرغم من المحاولات التي قامت بها برامج التجسس لتغطية مساراتها ، قال المختبر متعدد التخصصات إنه تمكن من الكشف عن آثار غير محددة لما يسميه "عامل Ectoplasm" الذي يمكن استخدامه لتتبع مجموعة أدوات QuaDream في المستقبل.
هذه ليست المرة الأولى التي يجذب فيها QuaDream الانتباه. في فبراير 2022 ، ذكرت وكالة رويترز أن الشركة قامت بتسليح استغلال الضغط الصفري FORCEDENTRY في iMessage لنشر حل برامج تجسس يسمى REIGN.
ثم في كانون الأول (ديسمبر) 2022 ، كشفت Meta أنها أغلقت شبكة من 250 حسابًا مزيفًا على Facebook و Instagram يتحكم فيها QuaDream لإصابة أجهزة Android و iOS وتسلل البيانات الشخصية.
إذا كان هناك أي شيء ، فإن هذا التطور هو مؤشر آخر على أنه على الرغم من الشهرة التي اجتذبتها مجموعة NSO ، تواصل شركات برامج التجسس التجارية التحليق تحت الرادار وتطوير منتجات برامج تجسس متطورة لاستخدامها من قبل عملاء الحكومة.
"إلى أن يتم تقليص انتشار برامج التجسس التجارية الخارجة عن نطاق السيطرة بنجاح من خلال اللوائح الحكومية النظامية ، فمن المرجح أن يستمر عدد حالات إساءة الاستخدام في النمو ، مدعومة بشركات ذات أسماء معروفة ، بالإضافة إلى شركات أخرى لا تزال تعمل في الظل ، "سيتزن لاب قال.
ووصفت مايكروسوفت نمو شركات برامج التجسس المرتزقة بأنه تهديد للديمقراطية وحقوق الإنسان ، وقالت إن مكافحة مثل هذه الجهات الهجومية تتطلب "جهدًا جماعيًا" و "تعاونًا بين أصحاب المصلحة المتعددين".
"علاوة على ذلك ، إنها مسألة وقت فقط قبل أن ينتشر استخدام الأدوات والتقنيات التي تبيعها إلى أبعد من ذلك ،" قال إيمي هوجان بورني ، المستشار العام المساعد للشركة لسياسة الأمن السيبراني والحماية .
"هذا يشكل خطرًا حقيقيًا على حقوق الإنسان عبر الإنترنت ، ولكن أيضًا على أمن واستقرار بيئة الإنترنت الأوسع نطاقًا. تتطلب الخدمات التي يقدمونها المرتزقة السيبرانيين تخزين نقاط الضعف والبحث عن طرق جديدة للوصول إلى الشبكات دون إذن."