Ισραηλινή εταιρεία χρησιμοποιεί Spyware για να μολύνει iPhones μέσω αρχείων ημερολογίου

Μια ισραηλινή εταιρεία παρακολούθησης βρέθηκε να μολύνει iPhones με spyware, πιθανώς εκμεταλλευόμενη το σύστημα πρόσκλησης ημερολογίου iCloud της Apple. Τα ευρήματα προέρχονται από τη Microsoft και την ομάδα παρακολούθησης Citizen Lab, η οποία διερεύνησε δείγματα spyware που φέρεται να προέρχονται από την ισραηλινή QuaDream. Το spyware, με την ονομασία "EndofDays", χρησιμοποιήθηκε το 2021 και αξιοποίησε μια εκμετάλλευση "zero-click" - το οποίο πρόκειται για μια επίθεση που μπορεί να καταλάβει ένα iPhone χωρίς να απαιτεί από τον χρήστη να κάνει κλικ σε οτιδήποτε. Μόλις μολυνθεί, το EndofDays μπορεί να καταγράφει ήχο από τηλεφωνικές κλήσεις, να τραβάει κρυφά φωτογραφίες και να ψάχνει στη συσκευή για αρχεία, μεταξύ άλλων δυνατοτήτων, συμπεριλαμβανομένης μιας λειτουργίας αυτοκαταστροφής που μπορεί να σβήσει τα ίχνη του spyware. Οι ικανότητες αυτοκαταστροφής καθιστούν δύσκολη την κατανόηση του πλήρους εύρους της επίθεσης. Αλλά στην έκθεσή της, η Citizen Lab αποκάλυψε στοιχεία που αποδεικνύουν ότι το QuaDream πιθανότατα χρησιμοποιούσε "αόρατες προσκλήσεις ημερολογίου iCloud που αποστέλλονται από τον χειριστή του spyware, στα θύματα" προκειμένου να πραγματοποιήσει την επίθεση. Τα ίδια τα δείγματα spyware περιέχουν τη δυνατότητα διαγραφής συμβάντων από το ημερολόγιο του iOS που σχετίζονται με μια συγκεκριμένη διεύθυνση ηλεκτρονικού ταχυδρομείου. Η Citizen Lab εξέτασε επίσης τα iPhones που ανήκαν σε δύο θύματα του spyware, τα οποία έδειξαν ίχνη αλλοίωσης μέσω των αρχείων ICS.

"Υποψιαζόμαστε ότι η χρήση από τον επιτιθέμενο των ετικετών CDATA που κλείνουν και ανοίγουν στο .ics θα μπορούσε ενδεχομένως να διευκολύνει τη συμπερίληψη πρόσθετων δεδομένων XML που θα επεξεργάζονταν από το τηλέφωνο του χρήστη, προκειμένου να ενεργοποιηθεί κάποια συμπεριφορά που επιθυμεί ο επιτιθέμενος", δήλωσε η Citizen Lab. Ως εκ τούτου, είναι πιθανό το spyware να έφτασε μέσω των emails που μεταφέρουν τις κακόβουλες προσκλήσεις ημερολογίου. Ο ερευνητής της Citizen Lab, Bill Marczak, σημειώνει επίσης ότι οι κακόβουλες προσκλήσεις ημερολογίου αφορούσαν γεγονότα που είχαν καταγραφεί στο παρελθόν, γεγονός που εμπόδισε το iCloud να ειδοποιεί αυτόματα τους χρήστες για τις προσκλήσεις. Ωστόσο, οι ερευνητές δεν μπόρεσαν να ανακτήσουν δεδομένα XML από τα αρχεία ICS. 

Η έκθεση της Citizen Lab συνεχίζει λέγοντας ότι το EndofDays μόλυνε τουλάχιστον πέντε θύματα, συμπεριλαμβανομένων δημοσιογράφων, στελεχών της πολιτικής αντιπολίτευσης και ενός εργαζόμενου σε ΜΚΟ. Τα θύματα βρίσκονταν στη Βόρεια Αμερική, την Κεντρική Ασία, τη Νοτιοανατολική Ασία, την Ευρώπη και τη Μέση Ανατολή.  Παρόλο που η Apple φαίνεται να έχει επιδιορθώσει το exploit του spyware το 2021 μέσω διαφόρων ενημερώσεων λογισμικού, η Microsoft αναφέρει ότι είναι "πολύ πιθανό" η QuaDream να έχει αναβαθμίσει την τακτική της για να καταλάβει iPhones στις τελευταίες εκδόσεις του iOS.  

Η QuaDream διατηρεί μια σκιώδη παρουσία- η εταιρεία δεν έχει δημόσιο ιστότοπο ή λογαριασμούς στα μέσα κοινωνικής δικτύωσης. Αλλά σύμφωνα με το Reuters, η QuaDream έχει πουλήσει τις τεχνολογίες κατασκοπευτικού λογισμικού της σε πελάτες των υπηρεσιών επιβολής του νόμου στο Μεξικό, τη Σαουδική Αραβία και τη Σιγκαπούρη. Το Citizen Lab δημοσίευσε επίσης στοιχεία που δείχνουν ότι η QuaDream διατηρεί διακομιστές σε 10 χώρες για την εκροή δεδομένων από συσκευές που έχουν μολυνθεί με το spyware της εταιρείας, συμπεριλαμβανομένης της Τσεχικής Δημοκρατίας, του Μεξικού, της Ρουμανίας, της Γκάνας και των Ηνωμένων Αραβικών Εμιράτων. 

"Τελικά, αυτή η έκθεση είναι μια υπενθύμιση ότι η βιομηχανία spyware επί πληρωμή είναι μεγαλύτερη από οποιαδήποτε εταιρεία και ότι απαιτείται συνεχής επαγρύπνηση τόσο από τους ερευνητές όσο και από τους δυνητικούς στόχους", πρόσθεσε η Citizen Lab.  Ένας εκπρόσωπος της Apple δήλωσε στο PCMag ότι δεν υπάρχουν αποδείξεις ότι το exploit από την QuaDream χρησιμοποιήθηκε μετά την διάθεση του iOS 14.4.2 τον Μάρτιο του 2021. Η εταιρεία έχει επίσης αναπτύξει ένα προαιρετικό νέο "Lockdown Mode", το οποίο μπορεί να εμποδίσει τις προσπάθειες hacking από επαγγελματικές εταιρείες spyware.