傭兵スパイウェアが不正なカレンダーへの招待で iPhone 被害者をハッキングしたと研究者が発表

2件の報道によると、あまり知られていないサイバー傭兵会社が作ったスパイウェアを使用するハッカーらが、悪意のあるカレンダーの招待状を利用して、ジャーナリスト、野党勢力の人物、NGO職員のiPhoneをハッキングしたという。

Microsoftとデジタル権利団体Citizen Labの研究者らは、ゼロクリックエクスプロイト（ターゲットが悪意のあるものをクリックする必要のないハッキングツール）を開発していると報告されているイスラエルのスパイウェアメーカーQuaDreamによって作成されたとされるマルウェアのサンプルを分析した。リンク - iPhone 用。

QuaDream は最近までほとんど人目につかずに飛行することができました。 2021年、イスラエルの新聞ハアレツは、QuaDreamが自社の商品をサウジアラビアに販売したと報じた。 翌年、ロイター通信は、QuaDreamがNSO Groupが提供したものと同様のiPhoneをハッキングするエクスプロイトを販売し、同社がスパイウェアを運用しているのではなく、政府顧客が運用していると報じた。これは監視技術業界では一般的な慣行だ。

Citizen Labが行ったインターネットスキャンによると、QuaDreamの顧客はブルガリア、チェコ共和国、ハンガリー、ルーマニア、ガーナ、イスラエル、メキシコ、シンガポール、アラブ首長国連邦(UAE)、ウズベキスタンといった世界各国のサーバーを運用していた。

Citizen LabとMicrosoftは火曜日、QuaDreamのスパイウェア疑惑に関する画期的な新しい技術レポートを発表した。

マイクロソフトは、オリジナルのマルウェアサンプルを発見し、それをシチズンラボの研究者と共有したところ、iPhoneがハッキングされた5人以上の被害者（NGO職員、政治家、ジャーナリスト）を特定できたと発表した。 これらのターゲットのハッキングに使用されたエクスプロイトは iOS 14 向けに開発されたもので、当時はパッチが適用されておらず、Apple には知られていなかったため、いわゆるゼロデイでした。 Citizen Lab によると、QuaDream のエクスプロイトを装備した政府ハッカーは、過去の日付を含む悪意のあるカレンダー招待を使用してマルウェアを配信しました。

このレポートの作成に携わった Citizen Lab の上級研究員、Bill Marczak 氏は TechCrunch に、これらの招待は電話で通知をトリガーしなかったため、ターゲットには見えなかったと語った。

Appleの広報担当スコット・ラドクリフ氏は、MicrosoftとCitizen Labが発見したエクスプロイトが、同社がアップデートをリリースした2021年3月以降に使用されたことを示す証拠はないと述べた。

シチズン・ラボは被害者の身元を特定されたくないため、名前を公表していない。 マルチャックさんは、被害者たちは全員違う国にいるため、被害者が表に出るのが難しくなっていると語った。

「コミュニティ内で最初にカミングアウトして『はい、私はターゲットにされました』と言いたい人はいない」と同氏は述べ、被害者が全員同じ国にいて、同じコミュニティの一員であれば、通常はもっと簡単だと付け加えた。またはグループ。

Microsoft が Citizen Lab に連絡する前に、Marczak 氏と彼の同僚は、2021 年に NSO Group の顧客によって使用されたものと同様のエクスプロイト (FORCEDENTRY として知られる) の標的となった数名を特定したと述べました。 当時、Marczak 氏らは、これらの人々は NSO グループではなく別の会社が作成したツールの標的になっていたと結論付けました。

画像クレジット:シチズンラボ

分析されたサンプルには、最初のペイロードが含まれています。これは、実際のマルウェア (2 番目のサンプル) が対象のターゲットのデバイス上にある場合にダウンロードするように設計されています。 Citizen LabとMicrosoftによると、最終的なペイロードには、通話の録音、携帯電話のマイクを密かに使用した音声の録音、写真の撮影、ファイルの窃盗、人物の詳細な位置追跡、自身の存在に関する法医学的痕跡の削除などの機能が含まれているという。

それでも、Citizen Labの研究者らは、このマルウェアはQuaDreamのスパイウェアを追跡できる特定の痕跡を残していると述べた。 研究者らは、マルウェアを追跡する能力を維持するために、これらの痕跡が何であるかを明らかにしたくないと述べた。 彼らはマルウェアの痕跡を「エクトプラズム因子」と呼んでおり、マークザック氏はこの名前は、自身がプレイしている人気ゲーム「スターデューバレー」のクエストからインスピレーションを得たと語った。

Citizen Labの研究者らはまた、QuaDreamが自社製品の販売にキプロスに本拠を置くInReachという会社を利用していると主張した。

スパイウェア業界で働いていた人物はTechCrunchに対し、QuaDreamが「イスラエルの（輸出）規制を回避するために」InReachを利用したことを認めた。 たとえば、その人は、これがQuaDreamがサウジアラビアに売られた方法だと言いました。

しかし、この回避策では規制を完全に回避できなかったようです。

「（QuaDreamは）アフリカ諸国（モロッコとその他数カ国）と4つの契約を結んでいたが、（36か国のみに限定された）イスラエルの規制変更のため、契約を締結できなかった」とこの関係者は語った。機密性の高い業界の詳細について話し合うために匿名のままにする必要があります。

関係者によると、QuaDreamはサウジアラビア以外に、ガーナ、UAE、ウズベキスタン、最初の顧客であるシンガポールにも販売したという。 また、この関係者は、「彼らのシステムは現在メキシコで最も重要なシステム」であり、同国の大統領によって運営されており、名目上は「黙秘のため」メキシコ市の地方政府に売却されたとも付け加えた。

ニューヨーク市のメキシコ総領事館はコメント要請に応じなかった。

関係者によると、QuaDreamは「最近Android部門を閉鎖し、現在はiOSのみに注力している」という。

Citizen Labは、QuaDreamまたはInReachで働いているとされる数人の名前を指名した。 TechCrunchからのコメント要請には1人を除いて誰も返答しなかった。 回答者は、自分はQuaDreamとは無関係であり、過去に自分の名前が同社と誤って関連付けられていたと述べた。

QuaDream のマルウェアの発見は、かつては Hacking Team と FinFisher によって支配されていたスパイウェア業界が NSO Group だけでなく、他のいくつかの企業によって構成されており、そのほとんどが依然として目立たないように存在していることを改めて示しています。

「これらの企業にはより広範なエコシステムがあり、個々の企業をターゲットにすることは必ずしも業界を抑制する最適な戦略ではない」とマルザック氏は述べた。

マイクロソフトの報告書に付随するブログ投稿で、同社ゼネラルマネージャー兼サイバーセキュリティ政策・保護担当副法務顧問のエイミー・ホーガン・バーニー氏は、「民間の『サイバー傭兵』企業の爆発的な成長は、世界各国の民主主義と人権に脅威を与えている」と書いた。世界。"

「テクノロジー業界は、私たちが『サイバースペース』とみなすものの大部分を構築し、維持しているので、業界として私たちにはサイバー傭兵によって引き起こされる危害を制限する責任がある」とホーガンバーニー氏は書いた。 「彼らが販売するツールやテクノロジーの使用がさらに広がるのは時間の問題です。これはオンラインでの人権だけでなく、より広範なオンライン環境のセキュリティと安定性にとっても現実的なリスクをもたらします。彼らが提供するサービスにはサイバーセキュリティが必要です」傭兵たちは脆弱性を蓄え、許可なくネットワークにアクセスする新たな方法を模索しています。彼らの行動は、標的とする個人に影響を与えるだけでなく、ネットワーク全体と製品がさらされ、更なる攻撃に対して脆弱なままになります。私たちは、状況が悪化する前にこの脅威に対して行動する必要があります。テクノロジー業界が対応できる範囲を超えています。」

QuaDream についてさらに詳しい情報はありますか? それとも別の監視技術プロバイダーでしょうか？ あなたからの御一報をお待ちしています。 Lorenzo Franceschi-Bicchierai には、Signal (+1 917 257 1382)、または Wickr、Telegram、Wire @lorenzofb、または電子メール [email protected] で安全に連絡できます。 SecureDrop 経由で TechCrunch に連絡することもできます。