Citizen Lab ve Microsoft Threat Intelligence tarafından üç kıtada gazeteciler, siyasi figürler ve bir sivil toplum çalışanı üzerinde kullanılan casus yazılım üreten İsrail merkezli QuaDream şirketi hakkında aynı gün raporlar yayınlandı.
QuaDream Ltd ( קוודרים בע”מ ) şirketinin, diğer casus yazılım satan şirketler gibi gelişmiş dijital saldırı teknolojisinin geliştirdiği ve bunu da devletlere sattığı belirtiliyor. Şirketin, NSO Group’un Pegasus adlı casus yazılımı gibi hedef cihazlara erişebilmek için zero-click denilen güvenlik açıklıklarından yararlandığı ve hükümetlere de Reign adlı bir gözetim platformu olarak pazarladığı belirtiliyor. İhracat kontrollerinden ve denetiminden kaçması muhtemel olan şirket, ürünlerini İsrail dışında InReach adlı Kıbrıs merkezli bir kuruluş aracılığıyla satıyor.
Yapılan araştırmalarda QuaDream’in minimum düzeyde bilinirliği baz alarak herhangi bir web sitesi, herhangi bir sosyal medya hesabı olmadan hareket etmiş. Hatta çalışanlarına da sosyal medyada kendilerinden bahsetmemeleri yönünde talimatlar vermiş.
QuaDream’in Kıbrıs’ta kayıtlı bir şirket olan InReach ile yasal bir anlaşmazlığa düşmesi sebebiyle şirketlerin işleriyle ilgili detaylar ortaya çıkmış. CitizenLab araştırmacıları açık kaynak bilgileri ve mahkeme belgeleri incemelerine dayanarak, QuaDream’in ürünlerini İsrail dışında InReach aracılığıyla sattığını kuvvetle öne sürüyor ancak InReach’in QuaDream’in münhasır veya ana distribütörü olduğu anlamına gelmediğini belirtiyor.
Microsoft araştırmacıları, büyük bir güvenle QuaDream’e atfettikleri KingsPawn adını verdikleri zararlı yazılımın iOS cihazlarında çalışan iki örneğini tespit etmişler. Ayrıca analiz edilen bazı kod parçacıklarında, bunların Android cihazlarda da kullanılabileceğine dair göstergeler tespit edilmiş. Keşfedilen örneklerden birinde konum izleme, cihaz kamerasının kullanımı ve dosya erişimi dahil olmak üzere bir dizi gözetim etkinliği için kapı açtığı belirtiliyor.
Microsoft tarafından tespit edilen örnekler CitizenLab ile paylaşılmış ve yapılan analizlere göre casus yazılım tarafından Kuzey Amerika, Avrupa, Orta Asya, Güneydoğu Asya ve Orta Doğu’daki en az beş kurbanının hedef alındığı ortaya çıkarılmış. Bununla birlikte CitizenLab araştırmacıları Bulgaristan, Çek Cumhuriyeti, Macaristan, Gana, İsrail, Meksika, Romanya, Singapur, Birleşik Arap Emirlikleri ve Özbekistan’da QuaDream’e ait sunucularıda ortaya çıkarmış.
CitizenLab araştırmacıları, casus yazılımın iOS 14.4 ve 14.4.2 sürümlerini etkilediğine inandıkları şüpheli zero-click güvenlik açığının izlerini tespit etmişler. NDOFDAYS olarak adlandırılan şüpheli istismar, casus yazılımın operatöründen kurbanlara gönderilen görünmez iCloud takvim davetlerini kullanıyor gibi göründüğü belirtiliyor.
