Reign برنامج تجسس شبيه ببيغاسوس يستهدف الصحفيين وشخصيات معارضة سياسية

نشرت في: 13/04/2023

تقرير مختبر سيتيزن لاب و مختبر مايكروسوفت عن كشف برنامج تجسس “Reign” تطوره وتسوقه شركة QuaDream الإسرائيلية، استهدف حتى الآن هواتف خمس ضحايا من المجتمع المدني في أمريكا الشِّمالية وآسيا الوسطى وجنوب شرق آسيا وأوروبا والشرق الأوسط. ومن بين المستهدفين أيضا صحفيين وشخصيات سياسية معارضة وموظف في منظمة غير حكومية.

كشف خبراء أمن مختبر Citizen Lab  الذي يحلل مخاطر السيطرة على المعلومات و البيانا  التي تشكل تهديدًا للحرية وحقوق الإنسان، مثل الرِّقابة على الإنترنت أو المراقبة التجارية أو الهجمات التي تستهدف المواطنين، و مختبر مايكروسوفتMicrosoft Threat  Intelligenceعن برنامج تجسس “Reign“ تطوره وتسوقه شركة QuaDream الإسرائيلية.برنامج تجسس غير معروف، لكنه ليس حديثًا، فإنه اكتشف منذ مدة قصيرة.

يتمتع برنامج التجسس “Reign”بقدرات مماثلة لقدرات برنامج Pegasus التي تطوره مجموعة NSO الإسرائيلية، أي استغلال الهفوات البرمجية   في أنظمة تشغيل الأيفون، واختراق الهاتف من خلال ما يعرف بالـ Zero Click ، أي الاختراق دون مطالبة المستخدم بالنقر فوق أي رابط خبيث، أو، اتخاذ أي إجراء على الهاتف لتفعيل التلوث ببرمجية التجسس.

NEW REPORT: SWEET QUADREAMS: A first look at #spyware vendor QuaDream’s spy tools, victims and customers.
We identified traces of suspected exploit deployed against iOS versions 14.4 and 14.4.2 and possibly other versions as zero-day vulnerability. https://t.co/u7jcxJpu9H

— Citizen Lab (@citizenlab) April 11, 2023

من هم المستهدفون ببرنامج تجسس “Reign”؟

بناءً على تحليل العينات من قبل Microsoft Threat Intelligence، و سيتزن لاب، استهدف برنامج التجسس “Reign” حتى الآن هواتف خمس ضحايا من المجتمع المدني في أمريكا الشِّمالية وآسيا الوسطى وجنوب شرق آسيا وأوروبا والشرق الأوسط.  ومن بين المستهدفين أيضا صحفيين وشخصيات سياسية معارضة وموظف في منظمة غير حكومية.

ما هي آلية عمليات الاختراق؟

عملية الاختراق رصدت بين عامي 2019 و2021 عن طريق استغلال هفوات في نظام تشغيل iOS 14 وأيضا في إصدارات iOS 14.4 و 14.4.2iOS، وربما الإصدارات الأخرى. أطلق مختبرسيتزن لاب على هذه العملية اسم ENDOFDAYS، تتم عملية الاختراق بواسطة إرسال دعوة، ربما عبر البريد الإلكتروني، لبرنامج التقويم الأجندة في هاتف الضحية، غير مرئية، لإضافتها لأجندة عبرiCloud، و هذه الدعوة محددة بتاريخ سابق، أي تسجيل دعوات لحدث في الماضي، مما يمنع iCloud من إخطار المستخدمين تلقائيًا بالدعوات  مما يجعلها غير مرئية لتنفيذ الهجوم.

وفقًا لتقرير سيتزن لاب تعمل برمجية التجسس” Reign” كبرمجية  Pegasus من مجموعة   NSO، بمجرد تلويث جهاز الهاتف ببرمجية التجسس  “Reign”، يمكنها  تسجيل المحادثات التي تحدث بالقرب من الهاتف عن طريق التحكم في مسجل الهاتف، وتسجيل الصوت من المكالمات الهاتفية، وقراءة الرسائل على التطبيقات المشفرة، والتقاط الصور سراً،  والبحث في الجهاز عن الملفات، وتتبع موقع المستخدم، و أيضا من ضمن قدرات برمجية التجسس هذا التدمير الذاتي، المحو الذاتي، لمسح آثار وجود برنامج تجسس، مما يجعل من الصعب فهم النطاق الكامل للهجوم.

من هي شركة  QuaDream؟

بالرغم من كون شركة QuaDream  شديدة التكتم، فهي ليس لديها موقع ويب، أو أي تغطية إعلامية واسعة، أو حسابات على المنصات الاجتماعية،  فقد تمكن فريق سيتيزن لاب بواسطة مراجعة وثائق الشركة وقواعد البيانات ومقالات الصحف  من تحديد الأفراد الرئيسيين المرتبطين بـشركة  QuaDream ، من بينهم مسؤول عسكري إسرائيلي سابق وموظفون سابقون في مجموعة، فقد تمكن خبراء  سيتيزن لاب من تحديد العديد من الشخصيات الرئيسية المرتبطة بالشركة، بما في ذلك مؤسسيها الثلاثة:  إيلان دابيلشتاين Ilan Dabelstein، وغاي جيفاGuy Geva، ونمرود رينسكي   Nimrod Rinsky.

يبدو أيضا أن اسم شركة QuaDream ظهر في تقرير أمني صدر في ديسمبر 2022 عن شركةميتا، الشركة الأم لـ فيسبوك، وصفQuaDream كشركة مقرها إسرائيل، أسسها موظفون سابقون في. NSO  

أزالت ميتا حينها 250 حسابًا مرتبطا بـ QuaDream على منصتي فيسبوك و انستغرام ؛ يعتقد أن هذه الحسابات المزيفة كانت تستخدم  لاختبار قدرات برامج التجسس لنظامي التشغيل iOS و Android.

هذا و حدد تقرير سيتيزن لاب مواقع خوادم تشغيل برامج QuaDream، في  بلغاريا وجمهورية التشيك والمجر وغانا وإسرائيل والمكسيك ورومانيا وسنغافورة والإمارات العربية المتحدة وأوزبكستان.

وفقًا لتقرير من رويترز نشر في فبراير 2022، باعت QuaDream  تقنيات برامج التجسس الخاصة بها لعملاء إنفاذ القانون في المكسيك والمملكة العربية السُّعُودية وسنغافورة.

يحذر خبراء أمن مختبر مايكروسوفت بأنه مع أنّ أبل صححت الثغرات في أنظمة تشغيلها من “من المحتمل جدًا” أن تقوم شركةQuaDream بتحديث تكتيكاتها للتمكن من متابعة اختراق أحدث إصدارات iOS في أجهزة الأيفون.

انتهاكات من شركات شهيرة تسوق برامج التجسس!

نشهد هنا مرة جديدة تكرار الانتهاكات من شركات شهيرة تسوق برامج التجسس والثغرات في أنظمة التشغيل كمجموعة NSO و برنامج التجسس بيغاسوس و شركة Cytrox’s، و برنامج التجسس Predator  وقبلهم كنت قد سلطت الضوء  منذ سنوات على شركتي Hacking TeamFinFisher.

أخيرا، يعتبر مختبر سيتيزن لاب أن هذا التقرير هو بمثابة تذكير بأن صناعة، برامج التجسس التجارية  الخارجة عن نطاق السيطرة المُرْتَزِقَة لا ترتبط بشركة واحدة فقط، وأن اليقظة المستمرة مطلوبة من قبل الباحثين حتى يتم تقليص انتشار هذه البرامج التي تستمر الدول و أجهزة الاستخبارات بإساءة استخدامها عمليات مدعومة من شركات ذات أسماء معروفة، وكذلك شركات أخرى لا تزل تعمل في الظل.

نايلة الصليبييمكن الاستماع لـ “بودكاست ديجيتال توك ”على مختلف منصات البودكاست. الرابط
للبودكاست على منصة أبل