Il gruppo di minacce DEV-0196, noto anche come QuaDream, è stato identificato come responsabile di una pericolosa campagna di spionaggio informatico che colpisce la società civile, le organizzazioni non governative e gli individui impegnati nella promozione dei diritti umani. Il malware utilizzato in questa campagna, denominato Kingspawn, è stato sviluppato appositamente da DEV-0196 e ha preso di mira principalmente i dispositivi iOS, in particolare quelli con iOS 14, ma alcune parti del codice potrebbero essere utilizzate anche su dispositivi Android.
Il malware
Gli analisti di Microsoft Threat Intelligence hanno rilevato che Kingspawn è diviso in più componenti, tra cui un agente di monitoraggio e un agente principale del malware. L’agente di monitoraggio è responsabile della riduzione dell’impronta forense del malware al fine di prevenire il rilevamento e ostacolare le indagini. Utilizza diverse tecniche per nascondere la sua presenza, tra cui il monitoraggio di varie directory per eliminare eventuali artefatti legati all’esecuzione del malware.
L’agente principale del malware, scritto in linguaggio di programmazione Go, presenta una serie di funzionalità che permettono di raccogliere informazioni sul dispositivo compromesso, come la versione di iOS, lo stato della batteria, informazioni sulla rete Wi-Fi e dati sulla SIM card. Inoltre, è in grado di accedere alla fotocamera del dispositivo in background, monitorare le chiamate telefoniche, accedere al portachiavi iOS e generare una password monouso basata sul tempo per iCloud. Per eludere le misure di sicurezza dei dispositivi iOS, l’agente principale del malware sfrutta tecniche avanzate come la compromissione dei processi di sicurezza interni al sistema operativo e la creazione di un canale sicuro per le comunicazioni tra i vari componenti del malware. Questo permette a Kingspawn di operare in modo furtivo, evitando il rilevamento da parte degli utenti e delle applicazioni di sicurezza.
Le vittime
Sulla base dell’analisi di campioni condivisi da Microsoft Threat Intelligence con CitizenLab, sono stati sviluppati indicatori che hanno permesso di identificare almeno cinque vittime della società civile colpite dallo spyware e dagli exploit di QuaDream in Nord America, Asia Centrale, Sud-est asiatico, Europa e Medio Oriente. Tra le vittime figurano giornalisti, esponenti dell’opposizione politica e un lavoratore di un’ONG. Al momento, non si rendono noti i nomi delle vittime. Inoltre, sono state identificate tracce di un presunto exploit zero-click per iOS 14 utilizzato per distribuire lo spyware di QuaDream. L’exploit è stato distribuito come zero-day contro le versioni iOS 14.4 e 14.4.2, e forse altre versioni. Il presunto exploit, chiamato ENDOFDAYS, sembra utilizzare inviti invisibili al calendario iCloud inviati dall’operatore dello spyware alle vittime.
È stata effettuata una scansione su Internet per identificare i server di QuaDream e, in alcuni casi, è stato possibile individuare le posizioni degli operatori dei sistemi QuaDream. Sono stati rilevati sistemi gestiti da Bulgaria, Repubblica Ceca, Ungheria, Ghana, Israele, Messico, Romania, Singapore, Emirati Arabi Uniti (EAU) e Uzbekistan. QuaDream ha avuto un partenariato con un’azienda cipriota chiamata InReach, con la quale è attualmente coinvolta in una controversia legale. Numerose persone chiave associate a entrambe le aziende hanno avuto precedenti collegamenti con un altro fornitore di sorveglianza, Verint, oltre che con le agenzie di intelligence israeliane. Questa campagna di spionaggio informatico mette in luce l’importanza di mantenere aggiornati i sistemi operativi e le applicazioni di sicurezza dei propri dispositivi, nonché di essere sempre vigili e cauti nell’apertura di link o nell’installazione di applicazioni di provenienza sconosciuta.
Leave a Reply