Microsoft Threat Intelligence y Citizen Lab publicaron sus informes sobre QuaDream Ltd (קוודרים בע”מ), una compañía israelí especializada en la creación de herramientas de ciberespionaje, que desarrolla exploits de «cero clic» para iPhones.
Los analistas de Microsoft han informado que un grupo de amenazas rastreado como DEV-0196 está vinculado a este actor ofensivo del sector privado. Al parecer, la compañía israelí vende a los gobiernos una plataforma que denomina REIGN, proporcionando un conjunto de exploits y malware para extraer datos de dispositivos móviles.
Investigación sobre los ataques de QuaDream
En su blog, Microsoft analiza DEV-0196 y los detalles técnicos del malware iOS, llamado KingsPawn, compartiendo indicadores de compromiso tanto de host como de red que pueden utilizarse para ayudar en la detección.
A lo largo de su investigación sobre DEV-0196, Microsoft colaboró con varios socios. Uno de ellos, Citizen Lab de la Universidad de Toronto que identificó al menos cinco víctimas del malware DEV-0196, entre las que se encontraban periodistas, figuras de la oposición política y un trabajador de una ONG, en Norteamérica, Asia Central, Sudeste Asiático, Europa y Oriente Medio. Además, Citizen Lab pudo identificar ubicaciones de operadores de sistemas QuaDream en los siguientes países: Bulgaria, Chequia, Hungría, Ghana, Israel, México, Rumanía, Singapur, Emiratos Árabes Unidos y Uzbekistán.
El informe de Citizen Lab expone las actividades de la empresa israelí y detalla cómo su tecnología ha sido utilizada para espiar a periodistas en Azerbaiyán y Kazajstán, así como a miembros de la oposición política en Kenia y Uganda. Además, aclara que QuaDream ha estado involucrada también en ataques contra periodistas y activistas en Marruecos.
Por otro lado, se ha descubierto que QuaDream ha estado usando su tecnología para recopilar información personal y confidencial de los dispositivos de las personas que han sido vigiladas por sus clientes. En efecto, se informa que la compañía ha utilizado tácticas de ingeniería social para atraer a las víctimas a sitios web maliciosos y, a partir de ahí, ha utilizado exploits para instalar su software de vigilancia en los dispositivos.
La plataforma Reign para los gobiernos
«La cibernética se convirtió en un espacio de batalla junto con el aire, el mar y la tierra, la ha democratizado la ciberguerra, puesto que un país ya no tiene que competir en número de soldados, barcos o tanques para competir en el ámbito global, sólo tiene que entrenar y educar a algunas personas en cibernética, para poder competir al mismo nivel que las potencias globales, y este aumento de la competencia en el ciberespacio es lo que ha incrementado el valor del derecho de días cero en la actualidad», destaca Tom Madsen, experto en Ciberseguridad.
Las últimas noticias confirman plenamente las reflexiones de Madsen. En concreto, la compañía israelí comercializa una plataforma de vigilancia llamada Reign para los gobiernos, dentro del marco de la ciberguerra internacional.
Microsoft lo describió como «un conjunto de exploits, malware e infraestructura diseñados para exfiltrar datos de dispositivos móviles». Para eludir los controles y la supervisión de las exportaciones, la empresa vende sus productos fuera de Israel a través de una entidad con sede en Chipre llamada InReach.
«QuaDream opera con una presencia pública mínima, carece de sitio web, amplia cobertura mediática o presencia en las redes sociales», aclaran desde Citizen Lab destacando que el software de la compañía israelí, «al igual que otros programas espía similares, tiene una serie de capacidades que van desde la grabación de audio con micrófono de las llamadas, hasta recursos más avanzados para buscar en el teléfono».
El software espía para hackear iPhones
A principios del año pasado el software espía de la empresa se había aprovechado de un fallo de seguridad en los productos de Apple. La información fue publicada por Reuters, destacando que «las dos empresas rivales obtuvieron el año pasado la misma capacidad para penetrar remotamente en los iPhones [y] comprometer los teléfonos de Apple sin que el propietario siquiera tenga que abrir un enlace malicioso». En un informe del pasado diciembre, Meta reveló que había eliminado unas 250 cuentas de Facebook e Instagram «vinculadas a QuaDream».
Según las últimas noticias, el software de espionaje de la compañía ha estado utilizando invitaciones de calendario para hackear iPhones, según aclara la investigación del Citizen Lab y tal y como informan en TC. En efecto, los hackers gubernamentales equipados con exploits de QuaDream habían enviado invitaciones de calendario con enlaces maliciosos que, al ser abiertos, instalaban el software de vigilancia en el dispositivo de la víctima. Citizen Lab identificó a más de cinco víctimas cuyos iPhones fueron atacados, aunque no se han revelado sus nombres.
