СМИ сообщают, что израильский поставщик шпионского ПО, компания QuaDream, прекратит свою деятельность в ближайшие дни. Дело в том, что неделю назад эксперты Citizen Lab и Microsoft выпустили отчет, в котором пролили свет на деятельность QuaDream (DEV-0196 в классификации Microsoft), рассказав о вредоносном ПО компании и его жертвах.
Все началось с того, что на прошлой неделе ИБ-эксперты сообщили об обнаружении (1, 2) нового производителя коммерческой спайвари, QuaDream, чьи инструменты были использованы против как минимум пяти представителей НКО в Северной Америке, Центральной Азии, Юго-ВосточAppleной Азии, Европе и на Ближнем Востоке.
Например, согласно выводам Citizen Lab, шпионская кампания в 2021 году была направлена против журналистов, политической оппозиции и сотрудников НПО, имена которых не разглашаются.
Исследователи полагают, что для компрометации устройств на базе в iOS 14 (версии 14.4 и 14.4.2) QuaDream использовала zero-click эксплоит, получивший название ENDOFDAYS. Он использовал «невидимые приглашения в календаре iCloud, отправляемые оператором шпионского ПО жертвам». Чтобы пользователь ничего не заметил, применялись файлы .ics, содержащие приглашения на два пересекающихся события, датированные задним числом.
Специалисты Microsoft Threat Intelligence отмечали, что хотя кибернаемники QuaDream не участвуют в самих атаках, они продают «услуги по эксплуатации и вредоносное ПО» правительственным клиентам из разных стран мира.
В частности, Microsoft описала малварь KingsPawn, которая содержит агент для мониторинга и основной агент вредоносного ПО (оба представляют собой файлы Mach-O, написанные на Objective-C и Go). Тогда как агент для мониторинга отвечает за уменьшение «следов» малвари, чтобы избежать обнаружения, основной агент может собирать информацию об устройстве, данных сотовой связи и Wi-Fi, конкретные файлы, получать доступ к камере в фоновом режиме, записывать телефонные звонки и окружающие звуки с микрофона устройства, получать доступ к данным о местоположении, журналам вызовов, iOS Keychain, и TOTP-паролям iCloud.
По данным экспертов, с конца 2021 по начало 2023 года клиенты QuaDream использовали около 600 серверов в ряде стран, включая Болгарию, Чехию, Венгрию, Румынию, Гану, Израиль, Мексику, Сингапур, ОАЭ и Узбекистан.
При этом в Apple заверили, что нет никаких признаков того, что эксплоит ENDOFDAYS использовался после релиза iOS 14.4.2 в марте 2021 года.
Как теперь сообщила израильская газета Calcalist, со ссылкой на собственные источники, в ближайшие дни QuaDream намерена прекратить работу. По данным журналистов, компания уже «некоторое время не проявляла активности» и уже несколько месяцев «находится в сложной ситуации». В сообщении подчеркивается, что совет директоров компании намерен продать интеллектуальную собственность.
Аналогичные новости о закрытии QuaDream сообщают издания Haaretz и The Jerusalem Post. По их информации, компания уволила практически всех сотрудников, претерпев масштабные сокращения, так Израиль сокращает продажи шпионского ПО под давлением по стороны властей США.
