加拿大公民实验室(Citizen Lab)及微软周二(4/11)揭露了低调的QuaDream,该公司既无官网,也不直接面对客户,而是由位于塞浦路斯的InReach负责销售,且是除了NSO Group之外,另一家浮上台面的以色列黑客公司。
根据微软的调查,QuaDream销售名为Reign的平台予全球政府组织,该平台供应了各种攻击程序、恶意程序,以及用来向各种移动设备汲取数据的基础设施,其中之一即为iOS恶意程序KingsPawn。
KingsPawn锁定iOS 14,可用来窃取装置信息、Wi-Fi资讯、行动网路资讯、搜寻及取得装置文件、于背景中使用装置摄影机、取得装置位置、监控手机通话、访问iOS钥匙圈,甚至是产生iCloud的一次性密码。
此外,QuaDream非常擅于利用域注册服务及便宜的网络托管服务,并有不少域部署了免费的Let’s Encrypt SSL凭证。 公民实验室的调查则显示,QuaDream至少注册了200个域名,使用超过600个服务器。
而公民实验室则发现,相较于NSO Group所开发的Forcedentry零点击攻击程序,QuaDream则打造了非常类似的Endofdays,且这两个攻击程序皆是锁定iOS 14。
尽管QuaDream极力保持低调,没有官网、不在媒体上现身,也要求员工避免于社交网站上揭露雇主,不过,媒体依然发现QuaDream的客户包括新加坡、沙乌地阿拉伯、匈牙利与墨西哥等,且Meta也在去年12月宣布已移除250个与QuaDream有关的帐号。
公民实验室指出,QuaDream系统运作的区域涵盖保加利亚、捷克、匈牙利、加纳、以色列、墨西哥、罗马尼亚、新加坡、阿拉伯联合酋长国及乌兹别克斯坦等,且QuaDream虽然宣称只将恶意程序销售给各国政府所为执法之用,但受害者却涵盖了北美、中亚、东南亚、欧洲与中东的记者、反对党与NGO工作人员。
