Microsoft と Citizen Lab は、ENDOFDAYS という名前のゼロクリック エクスプロイトを使用してリスクの高い個人の iPhone を侵害するために使用された、イスラエルを拠点とする企業 QuaDream によって作成された商用スパイウェアを発見しました。
攻撃者は、2021 年 1 月から 2021 年 11 月の間に、iOS 1.4 から 14.4.2 までを実行している iPhone に影響を与えるゼロデイ脆弱性を標的にしました。これには、Citizen Lab が説明した過去の日付の「見えない iCloud カレンダーの招待状」が使用されました。
タイムスタンプが遡った iCloud カレンダーの招待状を iOS デバイスで受信すると、それらは通知やプロンプトなしで自動的にユーザーのカレンダーに追加されるため、ENDOFDAYS エクスプロイトはユーザーの操作なしで実行され、ターゲットは攻撃を検出できなくなります。
シチズン ラボの研究者によると、侵害されたデバイスは、「北米、中央アジア、東南アジア、ヨーロッパ、中東で、QuaDream のスパイウェアとエクスプロイトの被害を受けた少なくとも 5 人の市民社会」のものでした。
「被害者には、ジャーナリスト、野党関係者、NGO 職員が含まれます。現時点では、被害者の名前を挙げていません。」
このキャンペーンで展開された監視マルウェア (Microsoft によってKingsPawnと呼ばれる) も、自己削除し、被害者の iPhone からすべてのトラックを消去して検出を回避するように設計されていました。
「スパイウェアには、スパイウェア自体が残したさまざまな痕跡を消去する自己破壊機能も含まれていることがわかりました」と Citizen Lab は述べています。
「自己破壊機能の分析により、スパイウェアが使用するプロセス名が明らかになり、被害者のデバイスでそれが発見されました。」
このスパイウェアには、シチズン ラボの分析に基づいた幅広い「機能」が備わっており、環境音声や通話の録音から、攻撃者が被害者の電話を検索できるようにする機能まで含まれています。
QuaDream のスパイウェアの分析中に発見された機能の完全なリストには、次のものが含まれます。
- 通話の音声を録音する
- マイクから音声を録音する
- デバイスの前面または背面カメラで写真を撮る
- デバイスのキーチェーンからのアイテムの流出と削除
- 電話の Anisette フレームワークをハイジャックし、gettimeofday syscall をフックして、任意の日付の iCloud 時間ベースのワンタイム パスワード (TOTP) ログイン コードを生成します。これは、将来の日付で有効な 2 要素認証コードを生成するために使用され、iCloud から直接ユーザーのデータを永続的に盗み出すことを容易にするために使用されていると思われます。
- 電話で SQL データベースでクエリを実行する
- ゼロクリック エクスプロイトによって残された可能性のある残骸のクリーニング
- デバイスの位置を追跡する
- 指定された特性に一致するファイルの検索を含む、さまざまなファイルシステム操作の実行
Citizen Lab は、ブルガリア、チェコ共和国、ハンガリー、ガーナ、イスラエル、メキシコ、ルーマニア、シンガポール、アラブ首長国連邦 (UAE)、およびウズベキスタンを含む複数の国で QuaDream サーバーを見つけました。
Citizeb Labs は、「最終的に、このレポートは、傭兵スパイウェアの業界がどの企業よりも大きく、研究者と潜在的な標的の両方が継続的な警戒を必要としていることを思い出させてくれます」と述べています。
「商用スパイウェアの制御不能な拡散が政府の組織的な規制によって首尾よく抑制されるまでは、有名な名前を持つ企業と、まだ陰で活動している他の企業の両方によって、悪用の事例の数が増加し続ける可能性があります。 “
1 年前、Citizen Lab は、カタロニアの政治家、ジャーナリスト、および活動家の iPhone に NSO Group のスパイウェアをインストールするために使用されたゼロクリック iMessage エクスプロイト (HOMAGE と呼ばれる) の詳細も明らかにしました。
NSO Group 、 Cytrox 、 Hacking Team 、 FinFisherなどの監視技術プロバイダーが提供する商用スパイウェアは、ゼロデイ欠陥に対して脆弱な Android および iOS デバイスに繰り返し展開されています (ほとんどの場合、ターゲットが検出できないゼロクリック エクスプロイトを介して)。
Comments