Après Pegasus de NSO, le spyware Quadream voit le jour

Quelques mois après la découverte de Pegasus, Microsoft et Citizen Lab ont trouvé des activités similaires d'espionnage à grande échelle avec l'acteur malveillant DEV-0196 aka KingsPaw lié à QuaDream.

Après Pegasus, QuaDream ? L'affaire du logiciel espion développé par NSO pour surveiller de nombreuses personnalités du monde politique, des affaires et des droits de l'Homme rebondit. Selon une enquête menée par l'équipe de chercheurs en sécurité de Microsoft avec l'appui de Citizen Lab, un autre groupe israélien est à la manœuvre dans le cadre d'opérations d'espionnage d'envergure mondiale. Le point commun entre Pegasus et QuaDream coule de source étant donné que ce dernier a été fondé par des anciens employés du premier... Les deux entreprises, en tout état de cause, rivales, se sont aussi faites remarquées par leur capacité à avoir cassé la sécurité de l'iPhone en 2021.

Identifiée par Microsoft en tant que DEV-0196 aka KingsPaw, cette cybermenace est liée a la société israélienne QuaDream qui a fait de la vente de sa plateforme de surveillance à grande échelle REIGN pour des Etats et des forces de polices, sa principale activité. « REIGN est une suite d'exploits, de logiciels malveillants et d'infrastructures conçus pour exfiltrer des données à partir de terminaux mobiles », explique Microsoft. « Les analystes de Microsoft Threat Intelligence estiment avec un degré de confiance élevé que DEV-0196 utilise ce modèle, en vendant des services d'exploitation et des logiciels malveillants à des gouvernements. Elle n'est pas directement impliquée dans le ciblage. Microsoft estime également avec un degré de confiance élevé que DEV-0196 est lié à une société privée basée en Israël appelée QuaDream ».

Journalistes, opposants politiques et ONG dans le viseur

L'un des partenaires de l'éditeur, Citizen Lab de la Munk School de l'université de Toronto, a identifié des traces d'un exploit suspecté d'iOS 14 zero-click utilisé pour déployer le logiciel espion de QuaDream. Celui-ci a été déployé en tant que zero day contre les versions 14.4 et 14.4.2 d'iOS, et peut-être d'autres. L'exploit suspecté, baptisé ENDOFDAYS, semble utiliser des invitations invisibles de calendrier iCloud envoyées par l'opérateur du logiciel espion aux victimes. QuaDream a attiré l'attention internationale depuis la publication d'un article de Reuters en 2022, qui décrivait un extrait de brochure de la plateforme REIGN et une liste de ses caractéristiques.

Citizen Lab a dénombré au moins cinq victimes de la société civile du logiciel malveillant DEV-0196, dont des journalistes, des opposants politiques et un employé d'une ONG. Et ce, en Amérique du Nord, en Asie centrale, en Asie du Sud-Est, en Europe et au Moyen-Orient. Dans son rapport, Citizen Lab a été quant à lui en mesure d'identifier l'emplacement des opérateurs des systèmes QuaDream dans les pays suivants : Bulgarie, Émirats arabes unis, Hongrie, Ghana, Israël, Mexique, Ouzbékistan, Roumanie, Singapour et République Tchèque.

Un canal de communication XPC créé pour obtenir des données sensibles

L'analyse du logiciel malveillant a révélé qu'il est divisé en plusieurs composants, incluant un agent de surveillance, et un agent principal du logiciel malveillant. « L'agent de surveillance est un fichier Mach-O natif écrit en Objective-C. Il est chargé de réduire l'empreinte forensics du logiciel malveillant afin d'empêcher sa détection et de gêner l'investigation. Il dispose de plusieurs techniques pour y parvenir. L'une d'entre elles consiste à surveiller différents répertoires, tels que /private/var/db/analyticsd/ et /private/var/mobile/Library/Logs/CrashReporter, afin de détecter tout artefact d'exécution de logiciel malveillant ou tout fichier lié à un crash. Une fois ces artefacts ou fichiers identifiés, l'agent de surveillance les supprime », explique Microsoft.

De son côté, l'agent principal - également fichier Mach-O natif mais cette fois écrit en Go - est doté de plusieurs capacités. A savoir aspirer des informations sur d'un terminal (version d'iOS, état de la batterie...), des informations WiFi (SSID, état du mode avion...), du réseau cellulaire (opérateur mobile, données de la carte SIM et numéro de téléphone), recherche et récupération de fichiers, utilisation de l'appareil photo en arrière-plan, surveillance des appels téléphoniques, accès au trousseau iOS, génération d'un mot de passe à usage unique iCloud basé sur le temps, etc. « L'agent crée également un canal sécurisé pour la messagerie XPC en concevant une extension d'application imbriquée appelée fud.appex. La messagerie XPC permet à l'agent d'interroger divers binaires du système pour obtenir des informations sensibles sur le terminal, telles que les données de localisation. Bien qu'il existe un binaire légitime appelé fud sur les terminaux iOS, qui fait partie du service de mise à jour des accessoires mobiles, fud.appex ne fait pas partie d'un service Apple légitime. L'agent crée l'extension de l'application malveillante dans le dossier /private/var/db/com.apple.xpc.roleaccountd.staging/PlugIns/ », prévient Microsoft.

Indicateurs de compromission :

Sur la base des résultats de son enquête, Microsoft Threat Intelligence associe les nombreux domaines suivants à l'activité DEV-0196, auxquels il faut donc apporter une vigilance particulière. A savoir :

fosterunch[.]com, womnbling[.]com ; fosterunch[.]com ; zebra-arts[.]com, pennywines[.]com choccoline[.]com ; lateparties[.]com ; foundurycolletive[.]com ; jungelfruitime[.]com, gameboysess[.]com ; healthcovid19[.]com ; codingstudies[.]com ; hoteluxurysm[.]com ; newz-globe[.]com ; hotalsextra[.]com ; nordmanetime[.]com fullaniimal[.]com ; wikipedoptions[.]com redanddred[.]com ; whiteandpiink[.]com ; agronomsdoc[.]com ; nutureheus[.]com timeeforsports[.]com ; treerroots[.]com ; unitedyears[.]com ; eccocredit[.]com ; ecologitics[.]com ; climatestews[.]com ; aqualizas[.]com ; bgnews-bg[.]com ;mikontravels[.]com ; e-gaming[.]online ; transformaition[.]com ; betterstime[.]com ; goshopeerz[.]com ; countshops[.]com ; inneture[.]com ; shoppingeos[.]com ; mwww[.]ro ; rentalproct[.]com ; bcarental[.]com ; kikocruize[.]com ; elvacream[.]com ; pachadesert[.]com ; razzodev[.]com ; wombatcash[.]com ; globepayinfo[.]com ; job4uhunt[.]com ; ctbgameson[.]com ; adeptary[.]com ; hinterfy[.]com ; biznomex[.]com ; careerhub4u[.]com ; furiamoc[.]com ; motorgamings[.]com ; aniarchit[.]com ; skyphotogreen[.]com ; datacentertime[.]com ; stylelifees[.]com ; kidzlande[.]com ; homelosite[.]com ;zooloow[.]com ; studiesutshifts[.]com ; codingstudies[.]com ; londonistory[.]com ; bestteamlife[.]com ; newsandlocalupdates[.]com ; youristores[.]com ; zooloow[.]com ; kidzlande[.]com ; homelosite[.]com ; studiesutshifts[.]com ; datacentertime[.]com ; homelosite[.]com ; zooloow[.]com ; kidzlande[.]com ; studiesutshifts[.]com ; stylelifees[.]com ; skyphotogreen[.]com ; gardenearthis[.]com ; fullstorelife[.]com ; incollegely[.]org ; shoplifys[.]com ; thetimespress[.]com ; studyshifts[.]com ; codinerom[.]com ; gamingcolonys[.]com ; kidzalnd[.]org ; wildhour[.]store ; wilddog[.]site ; garilc[.]com ; runningandbeyond[.]org ; fullmoongreyparty[.]org ;greenrunners[.]org ; sunsandlights[.]com ; techpowerlight[.]com ; gamezess[.]com ; planningly[.]org ; luxario[.]org ; vinoneros[.]com ; i-reality[.]online ; styleanature[.]com ; planetosgame[.]com ; kidsfunland[.]org ; fullstorelife[.]com ; localtallk[.]store ; allplaces[.]online ; sunclub[.]site ; thenewsfill[.]com ; wellnessjane[.]org ; meehealth[.]org ; gameizes[.]com ; playozas[.]com ; foodyplates[.]com ; designaroo[.]org ; designspacing[.]org ; stockstiming[.]org ; hoteliqo[.]com ; projectoid[.]org ; study-search[.]com ; tokenberries[.]com ; recovery-plan[.]org ; deliverystorz[.]com ; forestaaa[.]com ; addictmetui[.]com ; earthyouwantiis[.]com ; zedforme[.]com ; forestaaa[.]com ; navadatime[.]com ; careers4ad[.]com ; gardenearthis[.]com ; studyreaserch[.]com ; novinite[.]biz ; agronomsdoc[.]com ; whiteandpiink[.]com ; nutureheus[.]com ; dressuse[.]com ; iwoodstor[.]xyz ; teachlearning[.]org ; subcloud[.]online ; monvesting[.]com ; elektrozi[.]com ; hoteluxurysm[.]com ; hopsite[.]online ; bikersrental[.]com ; takestox[.]com ; sidelot[.]org ; powercodings[.]com ; naturemeter[.]org ; takebreak[.]io ; fullstorelife[.]com ; noraplant[.]com ; forestaaa[.]com ; goodsforuw[.]com ; stayle[.]co ; eedloversra[.]online ; sevensdfe[.]com ; dsudro[.]com ; gameboysess[.]com ; sseamb[.]com ; healthcovid19[.]com ; noraplant[.]com ; fullstorelife[.]com ; datacentertime[.]com ; recover-your-body[.]xyz ; reloadyourbrowser[.]info ; comeandpet[.]me ; brushyourteeth[.]online ; digital-mar[.]com ; retailmark[.]net ; dsudro[.]com ; studysliii[.]com ; homeigardens[.]com ; stayle[.]co ; studysliii[.]com ; goodsforuw[.]com ; dsudro[.]com ; sseamb[.]com ;sevensdfe[.]com ; koraliowe[.]com ; topuprr[.]com ; zeebefg[.]com ; takebreak[.]io ; forestaaa[.]com ; teachlearning[.]org ; newsbuiltin[.]online ; jyfa[.]xyz ; monvesting[.]com ; teachlearning[.]org ; elektrozi[.]com ; thepila[.]com ; thegreenlight[.]xyz ; gosport24[.]com ; classiccolor[.]live ; shoeszise[.]xyz ; cleanitgo[.]info ; setclass[.]live ; white-rhino[.]online ; space-moon[.]com ; enrollering[.]com ; newslocalupdates[.]com ; newsbuiltin[.]online ; beendos[.]com ; linestrip[.]online ; sunnyweek[.]site

Sur le même thème

Partenaires

Après Pegasus de NSO, le spyware Quadream voit le jour

Livres blancs

Journalistes, opposants politiques et ONG dans le viseur

Un canal de communication XPC créé pour obtenir des données sensibles

Commentaire

Suivre toute l'actualité

Newsletter

Livres blancs

Journalistes, opposants politiques et ONG dans le viseur

Un canal de communication XPC créé pour obtenir des données sensibles

Newsletter LMI

Commentaire

Suivre toute l'actualité

Newsletter