Des logiciels espions mercenaires ont piraté des victimes d'iPhone avec des invitations de calendrier voyous, selon des chercheurs

Selon deux rapports, des pirates informatiques utilisant des logiciels espions créés par une société de cybermercenaires peu connue ont utilisé des invitations de calendrier malveillantes pour pirater les iPhones de journalistes, de personnalités de l'opposition politique et d'un employé d'une ONG.

Des chercheurs de Microsoft et du groupe de défense des droits numériques Citizen Lab ont analysé des échantillons de logiciels malveillants qui, selon eux, ont été créés par QuaDream, un fabricant de logiciels espions israélien qui aurait développé des exploits sans clic, c'est-à-dire des outils de piratage qui n'exigent pas que la cible clique sur des logiciels malveillants. liens - pour les iPhones.

QuaDream a pu voler principalement sous le radar jusqu'à récemment. En 2021, le journal israélien Haaretz a rapporté que QuaDream avait vendu ses marchandises à l'Arabie saoudite. L'année suivante, Reuters a rapporté que QuaDream avait vendu un exploit pour pirater des iPhones similaire à celui fourni par NSO Group, et que la société n'exploitait pas le logiciel espion, contrairement à ses clients gouvernementaux - une pratique courante dans l'industrie des technologies de surveillance.

Les clients de QuaDream exploitaient des serveurs dans plusieurs pays du monde : Bulgarie, République tchèque, Hongrie, Roumanie, Ghana, Israël, Mexique, Singapour, Émirats arabes unis (EAU) et Ouzbékistan, selon les analyses Internet effectuées par Citizen Lab.

Citizen Lab et Microsoft ont publié mardi de nouveaux rapports techniques révolutionnaires sur les logiciels espions présumés de QuaDream.

Microsoft a déclaré avoir trouvé les échantillons originaux de logiciels malveillants, puis les avoir partagés avec les chercheurs de Citizen Lab, qui ont pu identifier plus de cinq victimes - un employé d'une ONG, des politiciens et des journalistes - dont les iPhones ont été piratés. L'exploit utilisé pour pirater ces cibles a été développé pour iOS 14, et à l'époque n'était pas corrigé et inconnu d'Apple, ce qui en fait un soi-disant zero-day. Les pirates du gouvernement qui étaient équipés de l'exploit de QuaDream ont utilisé des invitations de calendrier malveillantes avec des dates dans le passé pour livrer le malware, selon Citizen Lab.

Ces invitations n'ont pas déclenché de notification sur le téléphone, ce qui les a rendues invisibles pour la cible, a déclaré à TechCrunch Bill Marczak, chercheur principal au Citizen Lab qui a travaillé sur le rapport.

Le porte-parole d'Apple, Scott Radcliffe, a déclaré qu'il n'y avait aucune preuve montrant que l'exploit découvert par Microsoft et Citizen Lab avait été utilisé après mars 2021, lorsque la société a publié une mise à jour.

Citizen Lab ne nomme pas les victimes car elles ne veulent pas être identifiées. Marczak a déclaré qu'ils se trouvaient tous dans des pays différents, ce qui rend plus difficile la sortie des victimes.

"Personne ne veut nécessairement être le premier dans sa communauté à sortir et à dire" oui, j'ai été ciblé "", a-t-il déclaré, ajoutant que c'est généralement plus facile si les victimes sont toutes dans le même pays et font partie de la même communauté. ou groupe.

Avant que Microsoft ne contacte Citizen Lab, Marczak a déclaré que lui et ses collègues avaient identifié plusieurs personnes ciblées par un exploit similaire à celui utilisé par les clients du groupe NSO en 2021, connu sous le nom de FORCEDENTRY. À l'époque, Marczak et ses collègues ont conclu que ces personnes étaient ciblées avec un outil fabriqué par une autre société, pas NSO Group.

Crédits image :Le laboratoire citoyen

Les échantillons analysés incluent la charge utile initiale, qui est conçue pour ensuite télécharger le logiciel malveillant réel - le deuxième échantillon - s'il se trouve sur l'appareil de la cible visée. La charge utile finale enregistre les appels téléphoniques, enregistre subrepticement l'audio à l'aide du microphone du téléphone, prend des photos, vole des fichiers, suit l'emplacement granulaire de la personne et supprime les traces médico-légales de sa propre existence, entre autres fonctionnalités, selon Citizen Lab et Microsoft.

Pourtant, les chercheurs de Citizen Lab ont déclaré que le logiciel malveillant laissait certaines traces qui leur permettaient de suivre le logiciel espion de QuaDream. Les chercheurs ont déclaré qu'ils ne voulaient pas révéler quelles sont ces traces afin de conserver leur capacité à suivre le malware. Ils ont appelé les traces de logiciels malveillants le "facteur ectoplasme", un nom qui, selon Marczak, a été inspiré par une quête du jeu populaire Stardew Valley, auquel il dit jouer.

Les chercheurs du Citizen Lab ont également affirmé que QuaDream utilise une société basée à Chypre appelée InReach pour vendre ses produits.

Une personne qui a travaillé dans l'industrie des logiciels espions a confirmé à TechCrunch que QuaDream a utilisé InReach "pour contourner le régulateur [d'exportation] israélien". Par exemple, la personne a dit que c'est ainsi que QuaDream s'est vendu à l'Arabie saoudite.

Cette solution de contournement, cependant, ne leur a apparemment pas permis de contourner complètement les réglementations.

"[QuaDream] avait quatre accords signés avec des pays d'Afrique (le Maroc et quelques autres) mais à cause du changement de réglementation en Israël (limité à seulement 36 pays), ils n'ont pas pu les livrer", a déclaré la personne, qui a demandé rester anonyme pour discuter des détails sensibles de l'industrie.

La source a déclaré qu'outre l'Arabie saoudite, QuaDream a également vendu au Ghana, aux Émirats arabes unis, à l'Ouzbékistan et à Singapour, son premier client. En outre, la personne a ajouté que "leur système est le système le plus important au Mexique actuellement", il est exploité par le président du pays, et il a été nominalement vendu au gouvernement local de Mexico, "pour le garder silencieux".

Le consulat du Mexique à New York n'a pas répondu à une demande de commentaire.

Selon la source, QuaDream "a récemment fermé sa division Android et se concentre désormais uniquement sur iOS".

Citizen Lab a nommé plusieurs personnes qui travailleraient prétendument pour QuaDream ou InReach. Aucun d'entre eux, sauf un, n'a répondu à une demande de commentaire de TechCrunch. La personne qui a répondu a déclaré qu'il n'avait aucun lien avec QuaDream et que son nom avait été associé à tort à l'entreprise dans le passé.

La découverte du malware de QuaDream montre une fois de plus que l'industrie des logiciels espions - autrefois dominée par Hacking Team et FinFisher - n'est pas seulement composée de NSO Group mais de plusieurs autres sociétés, dont la plupart volent encore sous le radar.

"Il existe un écosystème plus large de ces entreprises et cibler des entreprises individuelles n'est pas nécessairement la stratégie optimale pour maîtriser l'industrie", a déclaré Marczak.

Dans un article de blog accompagnant le rapport de Microsoft, Amy Hogan-Burney, directrice générale et avocate générale associée pour la politique et la protection de la cybersécurité, a écrit que "la croissance explosive des entreprises privées de 'cybermercenaires' constitue une menace pour la démocratie et les droits de l'homme dans le monde". monde."

"Alors que l'industrie technologique construit et entretient la majorité de ce que nous considérons comme le" cyberespace ", nous, en tant qu'industrie, avons la responsabilité de limiter les dommages causés par les cybermercenaires", a écrit Hogan-Burney. "Ce n'est qu'une question de temps avant que l'utilisation des outils et des technologies qu'ils vendent ne se répande encore plus. Cela pose un risque réel pour les droits de l'homme en ligne, mais aussi pour la sécurité et la stabilité de l'environnement en ligne plus large. Les services qu'ils offrent nécessitent des cyber mercenaires pour stocker des vulnérabilités et rechercher de nouvelles façons d'accéder aux réseaux sans autorisation. Leurs actions ont non seulement un impact sur l'individu qu'ils ciblent, mais laissent des réseaux et des produits entiers exposés et vulnérables à de nouvelles attaques. Nous devons agir contre cette menace avant que la situation ne dégénère au-delà de ce que l'industrie technologique peut gérer."

Avez-vous plus d'informations sur QuaDream ? Ou un autre fournisseur de technologie de surveillance ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram and Wire @lorenzofb, ou par e-mail [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.