banner

소식

Jan 23, 2024

용병 스파이웨어가 악성 캘린더 초대장으로 iPhone 피해자를 해킹했다고 연구원들이 밝혔습니다.

두 보고서에 따르면 잘 알려지지 않은 사이버 용병 회사가 만든 스파이웨어를 사용하는 해커들이 악성 캘린더 초대를 사용하여 언론인, 야당 인사, NGO 직원의 iPhone을 해킹했다고 합니다.

Microsoft 연구원과 디지털 권리 단체 Citizen Lab은 제로 클릭 익스플로잇을 개발한 것으로 보고된 이스라엘 스파이웨어 제조업체인 QuaDream이 만든 악성 코드 샘플을 분석했습니다. 즉, 대상이 악성 코드를 클릭할 필요가 없는 해킹 도구를 의미합니다. 링크 — iPhone용.

QuaDream은 최근까지 대부분 레이더 아래로 비행할 수 있었습니다. 2021년 이스라엘 신문 Haaretz는 QuaDream이 자사 제품을 사우디아라비아에 판매했다고 보도했습니다. 다음 해 로이터 통신은 QuadDream이 NSO 그룹에서 제공한 것과 유사한 iPhone 해킹용 익스플로잇을 판매했으며 회사가 스파이웨어를 운영하는 것이 아니라 정부 고객이 운영하는 것이라고 보도했습니다. 이는 감시 기술 업계의 일반적인 관행입니다.

Citizen Lab이 인터넷을 검색한 결과에 따르면 QuaDream의 고객은 불가리아, 체코, 헝가리, 루마니아, 가나, 이스라엘, 멕시코, 싱가포르, 아랍에미리트(UAE) 및 우즈베키스탄 등 전 세계 여러 국가의 서버를 운영하고 있었습니다.

Citizen Lab과 Microsoft는 화요일에 QuadDream의 스파이웨어 혐의에 대한 획기적인 새로운 기술 보고서를 발표했습니다.

마이크로소프트는 원본 악성 코드 샘플을 발견한 뒤 이를 시티즌 랩(Citizen Lab) 연구원들과 공유했으며, 이를 통해 아이폰이 해킹된 NGO 직원, 정치인, 언론인 등 5명 이상의 피해자를 식별할 수 있었다고 밝혔습니다. 이러한 대상을 해킹하는 데 사용된 익스플로잇은 iOS 14용으로 개발되었으며 당시 패치가 적용되지 않았고 Apple에 알려지지 않았기 때문에 소위 제로데이가 되었습니다. Citizen Lab에 따르면 QuadDream의 익스플로잇을 갖춘 정부 해커들은 과거 날짜가 포함된 악성 캘린더 초대를 사용하여 악성코드를 전달했다고 합니다.

해당 보고서를 작업한 Citizen Lab의 선임 연구원인 Bill Marczak은 이러한 초대가 전화 알림을 실행하지 않았기 때문에 대상이 볼 수 없게 되었다고 TechCrunch에 말했습니다.

Apple의 대변인 Scott Radcliffe는 Microsoft와 Citizen Lab이 발견한 익스플로잇이 회사가 업데이트를 출시한 2021년 3월 이후에 사용되었다는 증거가 없다고 말했습니다.

시티즌랩은 피해자의 신원을 밝히고 싶지 않기 때문에 피해자의 이름을 밝히지 않고 있습니다. Marczak은 그들이 모두 다른 나라에 있기 때문에 피해자들이 나오기가 더 어렵다고 말했습니다.

"아무도 자신의 지역 사회에서 '예, 저는 표적이었습니다'라고 말하는 첫 번째 사람이 되기를 원하지 않습니다. 피해자가 모두 같은 국가에 있고 같은 커뮤니티에 속해 있으면 일반적으로 더 쉽다고 덧붙였습니다. 또는 그룹.

Microsoft가 Citizen Lab에 연락하기 전에 Marczak은 그와 그의 동료들이 2021년 NSO 그룹 고객이 사용한 것과 유사한 FORCEDENTRY라는 공격의 표적이 된 여러 사람을 식별했다고 말했습니다. 당시 Marczak과 동료들은 해당 사람들이 NSO 그룹이 아닌 다른 회사에서 만든 도구의 표적이 되었다고 결론지었습니다.

이미지 크레딧:시민연구소

분석된 샘플에는 실제 악성코드(두 번째 샘플)를 다운로드하도록 설계된 초기 페이로드가 포함되어 있습니다. Citizen Lab과 Microsoft에 따르면 최종 페이로드는 전화 통화를 녹음하고, 휴대폰 마이크를 사용하여 은밀하게 오디오를 녹음하고, 사진을 찍고, 파일을 훔치고, 개인의 세부적인 위치를 추적하고, 자신의 존재에 대한 법의학적 흔적을 삭제하는 등의 기능을 수행합니다.

그럼에도 불구하고 Citizen Lab 연구원들은 악성 코드가 QuaDream의 스파이웨어를 추적할 수 있는 특정 흔적을 남긴다고 말했습니다. 연구원들은 악성 코드를 추적하는 능력을 유지하기 위해 이러한 추적이 무엇인지 공개하고 싶지 않다고 말했습니다. 그들은 악성 코드의 흔적을 "Ectoplasm Factor"라고 불렀습니다. Marczak은 자신이 플레이하는 인기 게임 Stardew Valley의 퀘스트에서 영감을 받은 이름이라고 말했습니다.

공유하다