El spyware mercenario pirateó a las víctimas del iPhone con invitaciones de calendario deshonestas, dicen los investigadores

Los piratas informáticos que utilizan software espía creado por una empresa de mercenarios cibernéticos poco conocida usaron invitaciones de calendario maliciosas para piratear los iPhones de periodistas, figuras de la oposición política y un trabajador de una ONG, según dos informes.

Los investigadores de Microsoft y el grupo de derechos digitales Citizen Lab analizaron muestras de malware que, según dicen, fue creado por QuaDream, un fabricante de spyware israelí que, según se ha informado, desarrolla exploits de clic cero, es decir, herramientas de piratería que no requieren que el objetivo haga clic en malware. enlaces: para iPhone.

QuaDream ha podido volar principalmente bajo el radar hasta hace poco. En 2021, el periódico israelí Haaretz informó que QuaDream vendió sus productos a Arabia Saudita. Al año siguiente, Reuters informó que QuaDream vendió un exploit para piratear iPhones que era similar a uno provisto por NSO Group, y que la compañía no opera el software espía, sino sus clientes gubernamentales, una práctica común en la industria de la tecnología de vigilancia.

Los clientes de QuaDream operaron servidores de varios países del mundo: Bulgaria, República Checa, Hungría, Rumania, Ghana, Israel, México, Singapur, Emiratos Árabes Unidos (EAU) y Uzbekistán, según escaneos de Internet realizados por Citizen Lab.

Tanto Citizen Lab como Microsoft publicaron nuevos e innovadores informes técnicos sobre el supuesto spyware de QuaDream el martes.

Microsoft dijo que encontró las muestras de malware originales y luego las compartió con los investigadores de Citizen Lab, quienes pudieron identificar a más de cinco víctimas (un trabajador de una ONG, políticos y periodistas) cuyos iPhones fueron pirateados. El exploit utilizado para piratear esos objetivos se desarrolló para iOS 14, y en ese momento Apple no tenía parches y era desconocido, lo que lo convierte en el llamado día cero. Los piratas informáticos del gobierno que estaban equipados con el exploit de QuaDream utilizaron invitaciones de calendario maliciosas con fechas en el pasado para entregar el malware, según Citizen Lab.

Esas invitaciones no activaron una notificación en el teléfono, lo que las hizo invisibles para el objetivo, dijo a TechCrunch Bill Marczak, investigador principal de Citizen Lab que trabajó en el informe.

El portavoz de Apple, Scott Radcliffe, dijo que no hay evidencia que demuestre que el exploit descubierto por Microsoft y Citizen Lab se haya utilizado después de marzo de 2021, cuando la compañía lanzó una actualización.

Citizen Lab no nombra a las víctimas porque no quieren ser identificadas. Marczak dijo que todos están en diferentes países, lo que dificulta que las víctimas salgan.

"Nadie necesariamente quiere ser el primero en su comunidad en salir y decir, 'sí, fui atacado'", dijo, y agregó que generalmente es más fácil si las víctimas están todas en el mismo país y son parte de la misma comunidad. o grupo.

Antes de que Microsoft se pusiera en contacto con Citizen Lab, Marczak dijo que él y sus colegas habían identificado a varias personas objetivo de un exploit similar al utilizado por los clientes de NSO Group en 2021, conocido como FORCEDENTRY. En ese momento, Marczak y sus colegas concluyeron que esas personas fueron atacadas con una herramienta fabricada por otra empresa, no por NSO Group.

Créditos de imagen:El laboratorio ciudadano

Las muestras analizadas incluyen la carga útil inicial, que está diseñada para luego descargar el malware real, la segunda muestra, si está en el dispositivo del objetivo previsto. La carga útil final registra llamadas telefónicas, graba audio usando el micrófono del teléfono de forma subrepticia, toma fotos, roba archivos, rastrea la ubicación granular de la persona y elimina los rastros forenses de su propia existencia, entre otras funcionalidades, según Citizen Lab y Microsoft.

Aún así, los investigadores de Citizen Lab dijeron que el malware deja ciertos rastros que les permitieron rastrear el spyware de QuaDream. Los investigadores dijeron que no quieren revelar cuáles son estos rastros para conservar su capacidad de rastrear el malware. Llamaron a los rastros de malware el "Factor de ectoplasma", un nombre que, según Marczak, se inspiró en una búsqueda en el popular juego Stardew Valley, al que dice jugar.

Los investigadores de Citizen Lab también afirmaron que QuaDream utiliza una empresa con sede en Chipre llamada InReach para vender sus productos.

Una persona que ha trabajado en la industria del spyware confirmó a TechCrunch que QuaDream usó InReach "para eludir el regulador [de exportación] israelí". Por ejemplo, dijo la persona, así fue como QuaDream vendió a Arabia Saudita.

Esta solución, sin embargo, aparentemente no les permitió eludir las regulaciones por completo.

"[QuaDream] tenía cuatro acuerdos firmados con países de África (Marruecos y algunos otros) pero debido al cambio en la regulación en Israel (limitado a solo 36 países), no pudieron entregarlos", dijo la persona, que preguntó permanecer en el anonimato para discutir detalles sensibles de la industria.

La fuente dijo que además de Arabia Saudita, QuaDream también vendió a Ghana, los Emiratos Árabes Unidos, Uzbekistán y Singapur, su primer cliente. Además, agregó la persona, "su sistema es el sistema más importante en México actualmente", es operado por el presidente del país y nominalmente fue vendido al gobierno local de la Ciudad de México, "para mantenerlo en silencio".

El consulado mexicano en la ciudad de Nueva York no respondió a una solicitud de comentarios.

Según la fuente, QuaDream "recientemente cerró su división de Android y ahora se enfoca solo en iOS".

Citizen Lab nombró a varias personas que supuestamente trabajan para QuaDream o InReach. Ninguno de ellos, excepto uno, respondió a una solicitud de comentarios de TechCrunch. La persona que respondió dijo que no tiene conexión con QuaDream y que su nombre se asoció erróneamente con la empresa en el pasado.

El descubrimiento del malware de QuaDream muestra una vez más que la industria del spyware, una vez dominada por Hacking Team y FinFisher, no solo está compuesta por NSO Group, sino por varias otras compañías, la mayoría de las cuales aún pasan desapercibidas.

"Hay un ecosistema más amplio de estas empresas y apuntar a empresas individuales no es necesariamente la estrategia óptima para controlar la industria", dijo Marczak.

En una publicación de blog que acompaña al informe de Microsoft, Amy Hogan-Burney, gerente general de la empresa y consejera general asociada para política y protección de seguridad cibernética, escribió que "el crecimiento explosivo de las empresas privadas de 'mercenarios cibernéticos' representa una amenaza para la democracia y los derechos humanos en todo el mundo". mundo."

"A medida que la industria de la tecnología construye y mantiene la mayor parte de lo que consideramos 'ciberespacio', nosotros, como industria, tenemos la responsabilidad de limitar el daño causado por los mercenarios cibernéticos", escribió Hogan-Burney. "Es solo cuestión de tiempo antes de que el uso de las herramientas y tecnologías que venden se extienda aún más. Esto representa un riesgo real para los derechos humanos en línea, pero también para la seguridad y la estabilidad del entorno en línea más amplio. Los servicios que ofrecen requieren servicios cibernéticos". mercenarios para acumular vulnerabilidades y buscar nuevas formas de acceder a las redes sin autorización. Sus acciones no solo afectan a la persona a la que apuntan, sino que dejan redes y productos enteros expuestos y vulnerables a nuevos ataques. Necesitamos actuar contra esta amenaza antes de que la situación se intensifique. más allá de lo que la industria de la tecnología puede manejar".

¿Tienes más información sobre QuaDream? ¿U otro proveedor de tecnología de vigilancia? Nos encantaría saber de usted. Puede ponerse en contacto con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a través de Wickr, Telegram and Wire @lorenzofb, o enviar un correo electrónico a [email protected]. También puede comunicarse con TechCrunch a través de SecureDrop.