Н ов изключително мощен шпионски софтуер от Израел действа на територията на България. Той се промъква в телефона, без да разберем, записва телефонни обаждания, снима, и рови из файловете в смартфона. Засечени са сървъри, базирани в България, чрез които платформата е шпионирала обекти и у нас. От доклади на Microsoft и организацията Citizen Lab става ясно, че QuaDream се предлага само на правителствени клиенти.
Какво е QuaDream и как работи?
QuaDream Ltd е израелска компания, специализирана в разработването и продажбата на усъвършенствана дигитална офанзивна технология на правителствени клиенти. Компанията е известна със своя шпионски софтуер, предлаган на пазара под името Reign, който, подобно на шпионския софтуер Pegasus на NSO Group, използва експлойти с нулево кликване за хакване на целеви устройства.
Идентифицирани са следи от подозрителен експлойт с нулево кликване на iOS 14, използван за внедряване на шпионския софтуер на QuaDream. Предполагаемият експлойт е внедрен като нулев ден и използва невидими покани в iCloud календара, изпратени от оператора на шпионския софтуер до жертвите.
Как да откриеш продават ли твоите лични данни в тъмната мрежа
След като веднъж е инcтaлиpaн, шпиoнcĸият coфтyep мoжe дa изпpaщa ĸъм oтдaлeчeн cъpвъp фaйлoвe oт ycтpoйcтвoтo, eднoĸpaтни пapoли зa іСlоud пpoфилa нa пoтpeбитeля, дaнни зa мecтoнaxoждeниeтo мy, ĸaĸтo и дa cнимa c ĸaмepaтa. Cпeциaлeн дoпълнитeлeн мoдyл пpeмaxвa в peaлнo вpeмe вcяĸaĸви cлeди oт paбoтaтa нa софтуера, a ocвeн тoвa и дaвa възмoжнocт зa пълнo изтpивaнe пo ĸoмaндa. Oт Місrоѕоft пocoчвaт, чe вepoятнo имa вepcии нe caмo зa іОЅ, нo и зa Аndrоіd.
Скорошни медийни съобщения показват, че QuaDream е продал продуктите си на редица правителствени клиенти, включително Сингапур, Саудитска Арабия, Мексико и Гана, и е разпространил услугите си в Индонезия и Мароко. Освен това в доклада си от декември 2022 г. за заплахи в индустрията за наблюдение под наем Meta споменава, че е открила активност на своите платформи, която приписва на QuaDream. Дейността включва използването на „около 250 акаунта“, които според Meta се използват за тестване на възможностите на шпионския софтуер за iOS и Android на QuaDream.
Хакер разкри кои са най-страшните неща, на които е попадал в тъмната мрежа
QuaDream работи с минимално публично присъствие, липсва уебсайт, широко медийно отразяване или присъствие в социалните медии. Съобщава се, че служителите на QuaDream са били инструктирани да се въздържат от споменаване на своя работодател в социалните медии. Въпреки това са идентифицирани няколко ключови фигури, свързани с компанията, включително нейните трима основатели - Илан Дабелщайн, Гай Гева и Нимрод Рински, чрез преглед на корпоративна документация, статии във вестници и бази данни.
QuaDream е забъркан в правен спор с InReach, компания, регистрирана в Кипър. Според съдебни документи, получени от Окръжния съд на Лимасол в Кипър, QuaDream продава продуктите си извън Израел чрез InReach. Въпреки че информацията с отворен код и съдебните документи, които са прегледани, категорично предполагат, че QuaDream е продавал продуктите си извън Израел чрез InReach, важно е да се отбележи, че това не означава непременно, че InReach е изключителен или основен дистрибутор на QuaDream.
Гладът за работна ръка достигна и хакерите
Къде са открити QuaDream сървъри?
Идентифицирани са повече от 600 сървъра и 200 имена на домейни, за които е сигурно, че са били свързани с шпионския софтуер на QuaDream между края на 2021 г. и началото на 2023 г., включително сървъри, които са се използвали за получаване на данни, ексфилтрирани от жертвите на QuaDream, и сървъри, използвани за подвизи на браузъра с едно кликване на QuaDream. В няколко случая са проследени тези сървъри до техните оператори. Открити са системи, управлявани от България, Чехия, Унгария, Гана, Израел, Мексико, Румъния, Сингапур, Обединените арабски емирства (ОАЕ) и Узбекистан.
Місrоѕоft е публикувал и cпиcъĸ c дoмeйни, cвъpзaни c шпиoнcĸия coфтyep. Cpeд тяx имa пoнe двa, ĸoитo имaт cмиcъл caмo нa бългapcĸи eзиĸ - bgnеwѕ-bg[.]соm и nоvіnіtе[.]bіz. Към мoмeнтa не е ясно зa ĸaĸвo или cpeщy ĸoгo e бил изпoлзвaн coфтyepът y нac.
Хакер обяви, че има данните на 400 млн. души
Страни, които са замесени
Известно е, че Унгария, Мексико и Обединените арабски емирства злоупотребяват с шпионски софтуери, насочвайки ги към защитници на правата на човека, журналисти и други членове на гражданското общество. Доклад, публикуван през март 2023 г. от мексиканската организация за дигитални права, разкри доказателства, че армията на Мексико стои зад някои от злоупотребите с шпионаж. Citizen Lab също докладва за злоупотреби с шпионски софтуери от страна на правителството на ОАЕ, насочени към защитници на човешките права, интелектуалци и активисти. Проектът Pegasus е разкрил доказателства, които предполагат, че правителството на Унгария стои зад злоупотребата с шпионски софтуери, насочени към унгарски журналисти, а Citizen Lab потвърди, че телефонът на унгарския фотожурналист Даниел Немет е заразен с Pegasus.
Не може да се определи дали системите, управлявани от Израел, са под контрола на израелското правителство или от самия QuaDream. Въпреки това, израелското правителство също е заподозряно, че е злоупотребило с наемнически шпионски софтуер, за да се насочи към палестински правозащитници, както и към местни политически активисти.
Идентифицирани са най-малко пет жертви на гражданското общество на шпионския софтуер и експлойтите на QuaDream в Северна Америка, Централна Азия, Югоизточна Азия, Европа и Близкия изток. Жертвите включват журналисти, фигури от политическата опозиция и служител на НПО.
