کارشناسان امنیتی درباره ظهور یک جاسوسافزار ناشناخته اسرائیلی که مشتریانش از آن برای هدف گرفتن روزنامهنگاران و مخالفان سیاسی استفاده کردهاند، هشدار دادند. سازندگان این جاسوسافزار توانستهاند با استفاده از ضعف امنیتی موجود در گوشیهای آیفون، دادههای حساس کاربران را سرقت کنند.
در گزارشی که محققان «سیتیزنلب» با همکاری شرکت مایکروسافت منتشر کردهاند، جزییات متعددی درباره نحوه فعالیت این جاسوسافزار ساخت شرکت اسرائیلی «کوآ دریم» (QuaDream) ارائه شده است.
به گفته کارشناسان این دو مجموعه، ویژگیهای فنی این ابزار جاسوسی آن را با «پگاسوس» همرده کرده که جاسوسافزار بدنام دیگری از شرکت اسرائیلی «اناساو» است.
کوآ دریم نرمافزار جاسوسی خود را با نام «رِین» (Reign) به مشتریانش عرضه کرده است که برای هک کردن اهداف خود، تنها یک دعوتنامه تقویم بر بستر آیکلود برایشان ارسال میکند.
افراد دریافتکننده این دعوتنامه هرگز از دریافت آن اطلاعی پیدا نمیکنند چرا که تاریخ دعوتنامه مربوط به رویدادی در گذشته است و همین مساله موجب میشود فرایند جاسوسی از دید افراد پنهان بماند.
این نوع حملات در دنیای امنیت به حملات «صفر کلیک» معروفاند چرا که قربانی بدون حتی یک کلیک روی لینکی مخرب یا اقدامی خاص، به بدافزار آلوده میشود.
حملات جاسوسی شناسایی شده مرتبط با این ابزار مربوط به سالهای ۲۰۱۹ تا ۲۰۲۱ میلادی است.
گزارش منتشر شده تاکید میکند با وجود محدودیتهای شدیدی که از سوی برخی دولتها بر فعالیت و استفاده از جاسوسافزارهای مشابه اعمال شده است، تهدیدات ناشی از ابزارهای پیچیده هک و جاسوسی کماکان در حال گسترش است.
دولت ایالات متحده چندی پیش شرکت اناساو را به دلیل تولید و فروش ابزارهای جاسوسی در فهرست سیاه خود قرار داد.
به گفته سیتیزنلب، جاسوسافزار رین پس از آلوده کردن گوشی کاربر، قادر است صدای مکالمات محیط را ضبط کند، پیامها را در برنامههای رمزگذاری شده بخواند، به گفتوگوهای تلفنی گوش دهد و موقعیت مکانی فرد را ردیابی کند.
این برنامه همچنین با تولید رمزهای عبور دو مرحلهای میتواند به حساب آیکلود کاربر نفوذ کرده و دادههای او را به سرقت ببرد.
این یافتههای تازه یک بار دیگر ضعفهای امنیتی سیستمعامل آیاواس را به رخ میکشند.
این در حالی است که شرکت اپل همواره روی امنیت تولیدات و زیرساختهای نرمافزای خود تاکید ویژهای دارد.
اپل در بیانیهای که در این رابطه در اختیار روزنامه گاردین قرار داد اعلام کرد حملاتی شبیه به آنچه در گزارش سیتیزنلب آمده، به میلیونها دلار هزینه برای توسعه نیاز دارد، عمر عملیاتی مفید آن کوتاه است و صرفا برای هدف قرار دادن افراد خاص مورد استفاده قرار میگیرد.
با وجود این، مشتریان جاسوسافزار رین که احتمالا حاکمان کشورهای مختلفاند، دستکم برای دو سال توانستهاند از ضعفهای نرمافزاری گوشیهای آیفون علیه کاربران استفاده کنند.
سیتیزنلب نام قربانیان این جاسوسافزار را منتشر نکرد اما گفت تعداد آنها پنج نفر است و از آنان به عنوان روزنامهنگاران، چهرههای مخالف سیاسی و یک کارمند سازمانی غیر دولتی یاد کرد.
این افراد ساکن آمریکای شمالی، جنوب شرقی آسیا، آسیای مرکزی، اروپا و خاورمیانه بودهاند.
رد موقعیت مکانی اپراتورهای این جاسوسافزار در کشورهای بلغارستان، جمهوری چک، مجارستان، غنا، اسرائیل، مکزیک، رومانی، سنگاپور، امارات متحده عربی و ازبکستان مشاهده شده است.
شرکت کوآ دریم نسبت به رقیب خود، اناساو کمتر شناخته شده است و اطلاعات عمومی محدودی درباره آن وجود دارد.
نام این شرکت یک بار در دسامبر ۲۰۲۲ در گزارش امنیتی شرکت متا، مجموعه مالک فیسبوک آمده که از آن به عنوان شرکتی اسرائیلی و تاسیس شده به وسیله یکی از کارمندان سابق اناساو یاد شده است.
متا در آن زمان ۲۵۰ حساب فیسبوک و اینستاگرام متعلق به این شرکت را مسدود کرده بود.
گفته میشد کوآ دریم از این حسابها برای آزمایش قابلیتهای جاسوسی خود با استفاده از پروفایلهای جعلی مانند استخراج پیامها، ویدیوها، تصاویر و فایلهای صوتی استفاده میکرد.
سیتیزنلب بر اساس اسنادی که مورد بررسی این مجموعه قرار گرفتهاند، علاوه بر یک کارمند سابق گروه اناساو، یک مقام نظامی سابق اسرائیل را نیز در بین افراد کلیدی شرکت کوآ دریم شناسایی کرده است.
وکیل شرکت کوآ دریم به درخواست ارسال شده سیتیزنلب درباره یافتههای این گزارش پاسخی نداده است.