Grupa Citizen Lab, która w przeszłości rozpracowała legendarne już oprogramowanie Pegasus, przestrzega przed nowym zagrożeniem – Reign.
Pegasus, stworzony przez izraelską NSO Group, to prawdopodobnie najbardziej rozpoznawalne oprogramowanie szpiegowskie na świecie. Ale nie jedyne, a ostatnio również nie najpopularniejsze.
Jak donosi Citizen Lab, w ostatnim czasie rządy kierują uwagę na inne, choć również pochodzące z Izraela narzędzie. To spyware Reign, który został ponoć stworzony przez firmę należącą do byłych wojskowych i jest obecnie w znacznej mierze stosowany do ataków na iPhone'y.
Reign nie jest oprogramowaniem zupełnie nowym, ale wciąż dość świeżym. Jego początki datuje się bowiem na luty 2022 roku. Od tamtej pory dwie niezależne kopie narzędzia miał pozyskać Microsoft Threat Intelligence.
Co więcej, wzmianki na temat Reign znajdziemy również w grudniowym raporcie Mety. Jak wykazano, rzeczony spyware udało się przypisać do około 250 kont, powiązanych z firmą QuaDream, której to z kolei przypisuje się stworzenie programu.
Jeśli chodzi o lokalizację wykorzystania, to nie ma niestety reguły. W zgromadzonej dokumentacji pojawiają się kolejno: Ameryka Północna, Azja Centralna i Południowo-Wschodnia, Europa oraz Bliski Wschód.
Bardziej szczegółowe dane dotyczą rządów, które miały Reign zakupić, a są to: Singapur, Arabia Saudyjska, Ghana oraz Meksyk. Ponadto spyware był ponoć oferowany Indonezji oraz Maroko, ale nie wiadomo, jak dalej potoczyły się losy tych transakcji.
Równie dokładnie opisano siatkę serwerów, obejmującą kraje takie jak: Bułgaria, Czechy, Węgry, Ghana, Izrael, Meksyk, Rumunia, ZEA oraz Uzbekistan.
Pewną ciekawostką jest natomiast fakt, że firma QuaDream zdążyła się już uwikłać w spór sądowy, ale wcale nie chodzi tu o szpiegostwo, lecz o pieniądze. Izraelski producent zarzucił cypryjskiej spółce InReach, która miała być dystrybutorem jego rozwiązań, przywłaszczenie środków pochodzących ze sprzedaży licencji.
Zgodnie z przedstawianą wersją wydarzeń, pieniądze, zamiast do QuaDream, trafiły na konta w Szwajcarii. W tym wątku najciekawsze jest jednak to, że proces ujawnił liczne powiązania zamieszanych przedsiębiorstw z izraelskimi służbami wywiadowczymi.
Citizen Lab uważa, że w celu dystrybucji Reign wykorzystywano przede wszystkim exploit zero-day w systemach iOS 14.4 oraz 14.4.2 – ENDOFDAYS.
Wykorzystanie tej luki polegało na wysłaniu ofierze zaproszenia do kalendarza iCloud ze wsteczną datą. Wskutek błędu system tego rodzaju zaproszenie przetwarzał automatycznie, więc szkodliwy kod wykonywał się bez wiedzy użytkownika.
Właściwy payload miał tymczasem dwie instancje. Pierwsza, czysto testowa, jedynie pobierała dane takie jak wersja iOS, stan baterii, SSID Wi-Fi, operator komórkowy, numer telefonu, dane karty SIM itp. Druga stanowiła właściwie ogniowo ataku.
Ostatecznie, niczym Pegasus, Reign pozwalał atakującemu na m.in. pozyskanie książki adresowej, zdjęć, wiadomości czy śledzenie zainfekowanego urządzenia. I prawdopodobnie wciąż pozwala, bo choć ENDOFDAYS został załatany, narzędzie ma być nieprzerwanie rozwijane.
Źródło zdjęć: Sergey Eremin / Shutterstock
Źródło tekstu: Citizen Lab, oprac. własne