Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Uno spyware mercenario ha hackerato le vittime dell'iPhone con inviti di calendari non autorizzati, dicono i ricercatori
Secondo due rapporti, gli hacker che utilizzavano spyware realizzati da una società mercenaria informatica poco conosciuta hanno utilizzato inviti di calendari dannosi per hackerare gli iPhone di giornalisti, esponenti dell'opposizione politica e un lavoratore di una ONG.
I ricercatori di Microsoft e il gruppo per i diritti digitali Citizen Lab hanno analizzato campioni di malware che sostengono siano stati creati da QuaDream, un produttore di spyware israeliano che è stato segnalato per sviluppare exploit zero-click, ovvero strumenti di hacking che non richiedono che l'obiettivo faccia clic su malware dannoso. collegamenti: per iPhone.
Fino a poco tempo fa QuaDream è riuscito a volare per lo più sotto il radar. Nel 2021, il quotidiano israeliano Haaretz ha riferito che QuaDream ha venduto i suoi prodotti all'Arabia Saudita. L'anno successivo, Reuters ha riferito che QuaDream ha venduto un exploit per hackerare iPhone simile a quello fornito da NSO Group e che la società non gestisce lo spyware, lo fanno i suoi clienti governativi, una pratica comune nel settore della tecnologia di sorveglianza.
Secondo le scansioni Internet effettuate da Citizen Lab, i clienti di QuaDream gestivano server da diversi paesi in tutto il mondo: Bulgaria, Repubblica Ceca, Ungheria, Romania, Ghana, Israele, Messico, Singapore, Emirati Arabi Uniti (EAU) e Uzbekistan.
Sia Citizen Lab che Microsoft hanno pubblicato martedì nuovi rapporti tecnici rivoluzionari sul presunto spyware di QuaDream.
Microsoft ha affermato di aver trovato i campioni di malware originali e di averli poi condivisi con i ricercatori di Citizen Lab, che sono stati in grado di identificare più di cinque vittime - un lavoratore di una ONG, politici e giornalisti - i cui iPhone sono stati violati. L’exploit utilizzato per hackerare questi obiettivi è stato sviluppato per iOS 14 e all’epoca era privo di patch e sconosciuto ad Apple, rendendolo un cosiddetto zero-day. Secondo Citizen Lab, gli hacker governativi dotati dell'exploit di QuaDream hanno utilizzato inviti di calendari dannosi con date passate per diffondere il malware.
Tali inviti non hanno attivato una notifica sul telefono, il che li ha resi invisibili al bersaglio, ha detto a TechCrunch Bill Marczak, un ricercatore senior presso Citizen Lab che ha lavorato al rapporto.
Il portavoce di Apple Scott Radcliffe ha affermato che non ci sono prove che dimostrino che l'exploit scoperto da Microsoft e Citizen Lab sia stato utilizzato dopo marzo 2021, quando la società ha rilasciato un aggiornamento.
Citizen Lab non nomina le vittime perché non vogliono essere identificate. Marczak ha detto che si trovano tutti in paesi diversi, il che rende più difficile per le vittime uscire allo scoperto.
"Nessuno vuole necessariamente essere il primo nella propria comunità a dire allo scoperto: 'sì, sono stato preso di mira'", ha detto, aggiungendo che di solito è più facile se le vittime sono tutte nello stesso paese e fanno parte della stessa comunità. o gruppo.
Prima che Microsoft contattasse Citizen Lab, Marczak ha affermato che lui e i suoi colleghi avevano identificato diverse persone prese di mira da un exploit simile a quello utilizzato dai clienti di NSO Group nel 2021, noto come FORCEDENTRY. All’epoca, Marczak e colleghi conclusero che quelle persone erano state prese di mira con uno strumento realizzato da un’altra società, non da NSO Group.
Crediti immagine:Il Laboratorio del Cittadino
I campioni analizzati includono il payload iniziale, progettato per scaricare poi il malware vero e proprio, il secondo campione, se si trova sul dispositivo del bersaglio previsto. Il payload finale registra le telefonate, registra l'audio utilizzando di nascosto il microfono del telefono, scatta foto, ruba file, traccia la posizione granulare della persona ed elimina le tracce forensi della sua stessa esistenza, tra le altre funzionalità, secondo Citizen Lab e Microsoft.
Tuttavia, i ricercatori di Citizen Lab hanno affermato che il malware lascia alcune tracce che hanno permesso loro di rintracciare lo spyware di QuaDream. I ricercatori hanno affermato di non voler rivelare quali siano queste tracce per mantenere la loro capacità di rintracciare il malware. Hanno chiamato le tracce del malware "Fattore Ectoplasma", un nome che secondo Marczak è stato ispirato da una ricerca nel popolare gioco Stardew Valley, a cui ha detto di giocare.