0
0
A Microsoft identificou outra organização de ameaças com sede em Israel, semelhante ao NSO Group, que está vendendo spyware móvel e outras ferramentas e serviços de espionagem cibernética para governos internacionais para monitorar e espionar indivíduos privados.
Pesquisadores do Microsoft Threat Intelligence descobriram ligações entre um grupo de ameaças que eles estão rastreando como DEV-0196, que oferece malware para iOS, e uma empresa do setor privado chamada QuaDream, que vende uma plataforma para exfiltrar dados de dispositivos móveis, disseram pesquisadores em um post publicado em 11 de abril. Sem afirmar explicitamente isso, os pesquisadores sugeriram que o DEV-0196 e o QuaDream são realmente a mesma coisa.
“Os analistas do Microsoft Threat Intelligence avaliam com alta confiança que o malware, que chamamos de KingsPawn, é desenvolvido pela DEV-0196 e, portanto, fortemente ligado ao QuaDream”, escreveram os pesquisadores. “Avaliamos com confiança moderada que o malware móvel que associamos ao DEV-0196 faz parte da oferta ‘Reign’ da empresa.”
Os paralelos entre a atividade das entidades ligadas separadamente são estranhamente semelhantes aos do NSO Group, com sede em Israel, que foi amplamente condenado, colocado na lista negra e até processado por seu papel na venda do spyware baseado em iOS conhecido como Pegasus a governos hostis para atingir jornalistas, ativistas, políticos, empresários e outros cidadãos privados com atividade de espionagem cibernética antiética. O spyware tem como alvo notavelmente falhas de dia zero com exploits, dificultando a mitigação ou detecção de sua atividade nefasta.
Atividade suspeita do QuaDream
Da mesma forma, o REIGN da QuaDream é um conjunto de exploits, malware e infraestrutura projetados para extrair dados de dispositivos móveis para fins supostamente legais, no entanto, a empresa suspeitamente não tem um site, e um relatório da Reuters de 2022 sugeriu que o QuaDream usou um exploit iOS de clique zero que alavancou a mesma vulnerabilidade vista no exploit ForcedEntry do NSO Group.
De acordo com a Autoridade de Corporações Israelenses, a QuaDream, sob o nome israelense קוודרים בע”מ, foi incorporada em agosto de 2016. Um relatório da agência de notícias Haaretz, citando um folheto da QuaDream, afirmou que o governo da Arábia Saudita – conhecido por atacar jornalistas e outros que se manifestam contra suas políticas – estava entre os clientes da QuaDream, assim como o governo de Gana.
Um relatório separado de dezembro de 2022 da Meta, que supostamente derrubou 250 contas associadas à QuaDream, também lançou luz sobre a atividade da empresa. Esse relatório alegou que o QuaDream estava testando sua capacidade de explorar dispositivos móveis iOS e Android com a intenção de “exfiltrar vários tipos de dados, incluindo mensagens, imagens, arquivos de vídeo e áudio e geolocalização”, disseram os pesquisadores.
Enquanto isso, a Microsoft Threat Intelligence acredita que o DEV-0196 está vendendo serviços de exploração e seu malware KingsPawn iOS para governos para espionar e rastrear membros da sociedade civil – incluindo jornalistas, figuras da oposição política e um trabalhador de organização não-governamental (ONG) – em locais em toda a Europa, América do Norte, Oriente Médio e Sudeste Asiático.
A Microsoft trabalhou com vários parceiros na investigação das ligações entre o QuaDream e o DEV-0196, incluindo o Citizen Lab da Munk School da Universidade de Toronto, que identificou pelo menos cinco alvos do DEV-0196 nas geografias acima mencionadas. Também identificou localizações de operadores para sistemas QuaDream na Bulgária, República Tcheca, Hungria, Gana, Israel, México, Romênia, Cingapura, Emirados Árabes Unidos e Uzbequistão. O Citizen Lab divulgou seu próprio relatório separado sobre as descobertas.
O comportamento do DEV-0196 é consistente com o de “atores ofensivos do setor privado (PSOAs)” ou “mercenários cibernéticos”, de acordo com a Microsoft Threat Intelligence, que vendem ferramentas ou serviços de hacking por meio de uma variedade de modelos de negócios – incluindo acesso como serviço – para o maior lance. Eles não visam diretamente indivíduos ou executam operações de espionagem cibernética por conta própria.
KingsPawn: Um spyware personalizado
A Microsoft e seus parceiros analisaram amostras do KingsPawn multicomponente, que visa especificamente o iOS 14. No entanto, é possível que parte do código também possa ser usado em dispositivos Android, disseram os pesquisadores. Também é provável que o grupo de ameaças já tenha atualizado o malware para atingir versões do iOS mais recentes que o 14, já que a versão mais recente do software do sistema operacional da Apple já está no iOS 16, disseram os pesquisadores.
O KingsPawn é composto por dois agentes – um agente de monitor na forma de um arquivo Mach-O nativo escrito em Objective-C, e o principal agente de malware, um arquivo Mach-O nativo escrito em GoLang, uma linguagem favorecida por agentes de ameaças por sua portabilidade, entre outros recursos, disseram os pesquisadores.
O agente do monitor é responsável por reduzir a pegada forense do malware para evitar a detecção e dificultar as investigações, bem como gerenciar os vários processos e threads gerados em nome do malware para evitar artefatos criados a partir de falhas de processo inesperadas.
Dentro do agente principal do KingsPawn está o verdadeiro molho do spyware, onde estão todos os recursos para rastrear vítimas e roubar dados, disseram os pesquisadores.
Os recursos do agente principal incluem: obtenção de dispositivo, Wi-Fi, informações de celular, busca e recuperação de arquivos, uso da câmera em segundo plano, localização de onde o dispositivo está, monitoramento de chamadas telefônicas, acesso ao chaveiro do iOS para senhas e geração de uma senha única do iCloud que é sensível ao tempo para recuperar dados armazenados.
“O agente também cria um canal seguro para mensagens XPC criando uma extensão de aplicativo aninhada chamada fud.appex“, escreveram os pesquisadores. “O sistema de mensagens XPC permite que o agente consulte vários binários do sistema em busca de informações confidenciais do dispositivo, como detalhes de localização.”
Detecção e proteção contra spyware móvel
A Microsoft desenvolveu detecções de rede exclusivas que poderiam ser usadas para imprimir a infraestrutura do DEV-019 na Internet com base no uso pesado do grupo de registradores de domínio e provedores de hospedagem em nuvem baratos que aceitam criptomoedas como pagamento, disseram os pesquisadores.
“Eles tendiam a usar apenas um único domínio por endereço IP e os domínios raramente eram reutilizados em vários endereços IP”, escreveram no post. “Muitos dos domínios observados foram implantados usando certificados SSL gratuitos Let’s Encrypt, enquanto outros usavam certificados autoassinados projetados para se misturar com implantações normais do Kubernetes”.
A postagem no blog inclui indicadores baseados em rede que os pesquisadores coletaram de sua investigação para ajudar as vítimas em potencial a identificar se foram comprometidas, incluindo domínios fortemente associados a alguns países que o Citizen Lab identificou como locais de vítimas, países onde as plataformas QuaDream estavam operando ou ambos.
Embora reconheça que a prevenção da exploração de dispositivos móveis por agentes de ameaças que estão explorando vulnerabilidades de clique zero é difícil, existem maneiras de minimizar o risco de dispositivos móveis serem comprometidos, disseram os pesquisadores.
Seguir a higiene cibernética básica e as práticas recomendadas para manter o software do dispositivo atualizado por meio de atualizações automáticas, o uso de software antimalware e manter a vigilância para não clicar em links maliciosos ou mensagens suspeitas também pode ajudar as vítimas em potencial a evitar o comprometimento.
Os pesquisadores também sugeriram que, se alguém usando um dispositivo iOS acredita que pode ser um alvo de spyware, eles podem ativar o Modo de Bloqueio para promulgar a segurança avançada do iOS, reduzindo assim a superfície de ataque para os agentes de ameaças.
FONTE: DARK READING