Os ataques de QuaDream foram expostos por investigadores de segurança da Microsoft e do Laboratório Citizen.
Por Jonny Evans com João Miguel Mesquita
Apenas semanas após o Presidente Biden ter assinado uma ordem executiva destinada a impedir o governo dos EUA de comprar spyware comercial utilizado para subverter democracias, os investigadores identificaram mais uma exploração vergonhosa de zero click, e de zero day, que visava os utilizadores de iPhone. Esta “solução” de spy-for-hire foi vendida por uma empresa israelita chamada QuaDream.
Tornando todos menos seguros
Os ataques de QuaDream foram expostos por investigadores de segurança da Microsoft e do Laboratório Citizen. QuaDream é uma entidade mais secreta do que o Grupo NSO, mas partilha muito do mesmo pedigree, incluindo ser fundada por ex-funcionários do Grupo NSO e ter ligações à inteligência israelita. Os seus ataques foram expostos pela primeira vez no ano passado, mas desde então os investigadores descobriram mais sobre a forma como estes mercenários digitais funcionavam.
A empresa vendeu uma plataforma de vigilância assustadora chamada Reign aos governos, ostensivamente para a aplicação da lei. Reign fornece malware, explorações, e infraestruturas para roubar dados de dispositivos comprometidos, incluindo iPhones com iOS 14.
A Apple foi informada destas explorações em 2021 quando notificou os indivíduos visados pelos spooks e endureceu as suas próprias proteções de segurança.
Os investigadores afirmam que agora o QuaDream se concentra exclusivamente nos ataques iOS.
O que é a Defesa Siciliana?
O malware recentemente identificado chama-se KingsPawn e foi proliferado por uma exploração sinistra baptizada EndOfDays, um ataque de zero click que parecia fazer uso de convites invisíveis do calendário iCloud para infetar máquinas – os utilizadores não precisavam sequer de fazer nada para serem atacados.
Os investigadores relatam que estava em uso ativo no México, e o Citizen Lab identificou vítimas situadas nos EUA, Europa, Médio Oriente, e Ásia Central e do Sudeste Asiático. As vítimas incluem políticos, jornalistas, e um trabalhador de uma ONG.
Quando instalado num iPhone, o software espião pode gravar áudio de chamadas ou do microfone, tirar fotografias, roubar e remover itens do porta-chaves, gerar 2 senhas iCloud de FA, localização de pistas, ficheiros de pesquisa, e bases de dados de pesquisa, tudo isto enquanto mascara a sua presença. Tem até uma função de autodestruição.
Para apoiar estes ataques, CitizenLab identificou mais de 600 servidores localizados em pelo menos 10 nações, operados por clientes QuaDream. Estes servidores executam uma série de tarefas, incluindo o armazenamento de dados roubados e a exploração da distribuição/direcção.
As nações nas quais os servidores estão baseados incluem Israel, Emiratos Árabes Unidos, Uzbequistão, Singapura, Hungria, República Checa, Roménia, Bulgária, México, e Gana. Pelo menos três (Hungria, México, e UAE) são conhecidos por utilizarem spyware para atingir defensores dos direitos humanos (HRD), jornalistas, e outros envolvidos na sociedade civil.
Demasiadas incógnitas conhecidas
“Não podemos determinar se os sistemas operados a partir de Israel são operados pelo governo israelita ou pelo próprio QuaDream. No entanto, o governo israelita também é suspeito de ter abusado do mercenário spyware para atingir os HRD palestinianos, bem como os ativistas políticos nacionais”, disseram os investigadores.
Com nomes como KingsPawn, ForcedEntry, EndOfDays, e Pegasus, as explorações utilizadas por estas empresas partilham algumas características, principalmente vetores de ataque sofisticados e uma tendência a proliferar para uma utilização mais alargada.
Não surpreende, pois, saber que dois dos co-fundadores da QuaDream incluem pessoas que trabalharam anteriormente para o Grupo NSO e que a própria empresa é alegadamente dirigida por um antigo oficial militar israelita.
“Numerosos indivíduos-chave associados a ambas as empresas têm ligações anteriores com outro fornecedor de vigilância, Verint, bem como com agências de inteligência israelitas”, afirmou o Citizen Lab. “Até que a proliferação descontrolada de spyware comercial seja reduzida com sucesso através de regulamentos governamentais sistémicos, é provável que o número de casos de abuso continue a crescer, alimentado tanto por empresas com nomes reconhecíveis, como por outras que ainda operam nas sombras”.
Uma ameaça à democracia
A Microsoft está a espalhar-se sobre tais ataques. Descreve o crescimento de empresas mercenárias de spyware como uma ameaça à democracia e aos direitos humanos e adverte que os ataques utilizados por estes players sombrios irão inevitavelmente infiltrar-se numa criminalidade mais vasta, com efeitos extremos.
“Isto representa um risco real para os direitos humanos online, mas também para a segurança e estabilidade do ambiente online mais amplo”, advertiu Amy Hogan-Burney, conselheira geral associada da Microsoft para a política e proteção da cibersegurança. Isto não se deve apenas às próprias ameaças, mas também à cultura que elas criam.
“Os serviços que oferecem requerem ciber mercenários para armazenar vulnerabilidades e procurar novas formas de acesso às redes sem autorização”, disse.
A Apple não fez segredo de que concorda com esta avaliação da Microsoft. “Em 2021, a Apple instaurou um processo contra o NSO Group, chamando a estas pessoas “mercenários do século XXI que criaram mecanismos de cibervigilância altamente sofisticados que convidam a abusos de rotina e flagrantes”.
Ivan Krstić, chefe da Apple Security Engineering and Architecture, afirmou: “As nossas equipas de inteligência e engenharia de ameaças trabalham 24 horas por dia para analisar novas ameaças, remendar rapidamente vulnerabilidades, e desenvolver novas proteções líderes da indústria no nosso software e silício. A Apple gere uma das operações de engenharia de segurança mais sofisticadas do mundo, e continuaremos a trabalhar incansavelmente para proteger os nossos utilizadores de atores abusivos patrocinados pelo Estado, como o NSO Group”.
Protejam-se
Embora o tipo de ataques desenvolvidos por tais grupos sombrios possa custar muito a montar no início, esse custo diminui. Para a Apple, o desafio é continuar a dificultar o suficiente para quebrar a segurança dos dispositivos, pois o custo desses ataques permanece demasiado elevado para os atacantes casuais. Mas com o passar do tempo, as explorações vazam, e aqueles que utilizam dispositivos mais antigos que já não recebem patches de segurança estão em risco acrescido.
É extremamente difícil proteger contra ataques até agora desconhecidos de zero click, mas existem algumas abordagens que podem ajudar a limitar a superfície de ataque:
- Atualizar os dispositivos para o software mais recente, o que inclui as últimas correções de segurança.
- Proteger os dispositivos com um código de segurança.
- Utilizar autenticação de dois fatores e uma palavra-passe forte para ID da Apple.
- Instalar aplicações apenas a partir da App Store.
- Utilizar palavras-passe fortes e únicas online.
- Utilizar as avançadas ferramentas de segurança iCloud+ da Apple, se disponíveis para si.
- Não clique em links ou anexos de remetentes desconhecidos.
Um utilizador de iPhone que acredita que pode ser um alvo de ataque deve ativar o Modo LockDown, que melhora a proteção de segurança existente ao reduzir drasticamente a superfície de ataque disponível, ao custo de alguma funcionalidade do iPhone. Mas uma coisa que todos podem fazer é insistir em que esta indústria seja comprada para se adaptar – particularmente à medida que as máquinas generativas de IA se preparam para se combinar com o profundo poder computacional da computação Quantum.