Программа-шпион Reign использует уязвимость нулевого дня операционной системы iOS 14. Для проникновения на iPhone жертвы она отправляла "невидимые" приглашения календаря iCloud.
После установки шпионское ПО получало доступ к ключевым компонентам и функциям iOS и iPhone. Среди них: запись аудио звонков, запись с микрофона, доступ к камере, эксфильтрация и удаление предметов из связки ключей, генерация паролей iCloud 2FA, поиск по файлам и базам данных на устройстве, отслеживание местоположения устройства, очистка следов программного обеспечения для минимизации обнаружения.
То есть, злоумышленник незаметно для владельца iPhone получал практически полную информацию о его действиях.
Программу обнаружили исследователи лаборатории Citizen Lab университета Торонто при содействии Microsoft Threat Intelligence. Новое ПО во многом похоже на знаменитую программу Pegasus, шпионское программное обеспечения израильской компании NSO Group. Как утверждают в Citizen Lab программа Reign также разработана израильской компанией. Это компания QuaDream, причем ее ключевые фигуры имеют "общие корни" с NSO Group и другими компаниями израильской индустрии коммерческого шпионского ПО, а также с разведывательными службами Израиля.
Компания NSO Group cтала широко известна благодаря своими программными инструментами, которые используют для наблюдения, путем внедрения вредоносного ПО на устройство. Наиболее известный их продукт - хакерский инструмент Pegasus с помощью которого проникали в айфоны политиков и журналистов во многих странах мира. Согласно отчету New York Times в 2019 году ПО Pegasus приобрело Федеральное бюро расследований.
Специалистам удалось выявить более 600 серверов и 200 доменных имен, которые были связаны со QuaDream. Активность Reign была зафиксирована в Болгарии, Чехии, Венгрии, Гане, Израиле, Мексике, Румынии, Сингапуре, Объединенных Арабских Эмиратах (ОАЭ) и Узбекистане. В основном жертвами шпионажа становились известные политики, бизнесмены и журналисты. В своем отчете об угрозах в индустрии "шпионажа по найму" за 2022 год, владелец Facebook и Instagram, компания Meta (признана в России экстремистской и запрещена) отмечает, что обнаружила на своих социальных платформах активность, которую атрибутировали как действия QuaDream. Эта деятельность затронула около 250 учетных записей. Предполагается, что их использовали для проверки возможностей ПО QuaDream для iOS и Android.
Reign относится к продвинутому шпионскому ПО - сложным в техническом плане и дорогим программам. Они используют уязвимости нулевого дня (ранее не обнаруженные) в приложениях и операционных системах, что повышает конечную стоимость таких инструментов.
"Точных цен на данный продукт в открытом доступе не имеется. Но, мы можем предположить, что цена может варьироваться в пределах от $0,5 млн. до $5 млн (зависит от заказчика, задач и т.д.). С технической точки зрения, эксплоиты под iOS являются высокотехнологичными и дорогостоящими продуктами", - говорит специалист лаборатории компьютерной криминалистики Group-IB Игорь Михайлов.
По мнению эксперта по кибербезопасности "Лаборатории Касперского" Татьяны Шишковой ПО такого класса используется для реализации сложных целевых атак и предназначено для слежки за отдельными людьми, представляющими для злоумышленников особый интерес. "Иными словами, это не "массовая" киберугроза", - считает Шишкова.
Аналогичного мнения придерживается и эксперт Group-IB. "Вряд ли этот продукт выйдет на массовый рынок хотя бы в силу того, что Apple оперативно перекрывает использование выявленных уязвимостей, что делает продажу таких изделий широкому кругу покупателей невозможной. Скорее всего Reign будет использоваться для точечных атак на VIP-цели", - считает Михайлов.
При этом все эксперты отмечают, что защититься от такого ПО достаточно сложно, так как оно максимально скрывает факт своего присутствия на устройстве.
По мнению специалистов из Group-IB и "Лаборатории Касперского" основной рекомендацией для защиты от такого ПО является - своевременное обновление системного программного обеспечения iPhone, так как новые версии приложений и ОС не позволят эксплуатировать уязвимости, которые использует Reign для заражения устройства.
"Кроме того, следует обращать на признаки аномального поведения iPhone (включение/выключение индикаторов, указывающих на работу микрофона, видеокамеры; нагревание устройства; быстрый разряд батареи питания и т.п.", - говорит Михайлов.