IPhone-gebruikers via zeroday-exploit besmet met QuaDream-spyware
De iPhones van medewerkers van maatschappelijke organisaties in Europa, Noord-Amerika, Centraal-Azië, Zuidoost-Azië en het Midden-Oosten zijn door middel van een zerodaylek besmet met de QuaDream-spyware, zo stellen onderzoekers van Citizen Lab en Microsoft. Het gaat zeer waarschijnlijk om een zero-click exploit voor iOS 14, waarbij geen enkele interactie van gebruikers was vereist om besmet te raken.
Bij de aanval op iPhone-gebruikers wordt vermoedelijk gebruikgemaakt van "onzichtbare" iCloud-kalenderuitnodigingen. QuaDream is een Israëlische spywareleverancier die een product genaamd "Reign" aan klanten aanbiedt, vergelijkbaar met de Pegasus-spyware van de NSO Group. Het bedrijf zou onder andere klanten in Singapore, Saudi-Arabië, Mexico en Ghana hebben.
De QuaDream-spyware kan telefoongesprekken die via besmette telefoons worden gevoerd opnemen, de microfoon inschakelen en zo het slachtoffer afluisteren, via de camera's foto's maken, informatie uit de keychain stelen, iCloud 2FA-wachtwoorden genereren, bestanden en databases doorzoeken, verzamelen van wifi-gegevens, locatie van het slachtoffer vaststellen en de eigen sporen verwijderen. Dit moet detectie van de spyware en gebruikte exploit bemoeilijken.
Citizen Lab stelt dat het meer dan zeshonderd servers en tweehonderd domeinen heeft aangetroffen die aan de QuaDream-spyware zijn te koppelen en tussen eind 2021 en begin 2023 zijn gebruikt. Via deze servers wordt informatie van slachtoffers ontvangen. Ook worden ze ingezet voor one-click browser-exploits, waarbij een slachtoffer eerst op een link moet klikken om besmet te raken.
QuaDream werd afgelopen december nog genoemd in een rapport van Meta, dat 250 accounts die vermoedelijk door het bedrijf werden gebruikt offline haalde. Tevens stelde Meta dat het tests van QuaDream zag om zowel Androidtelefoons als iPhones te infecteren en vervolgens allerlei informatie van slachtoffers te stelen. Ook Microsoft stelt dat een deel van de ontdekte spywarecode ook op Androidtoestellen is te gebruiken. CitizenLab stelt dat overheden de spywaremarkt moeten reguleren, omdat de situatie nu helemaal uit de hand loopt en misbruik van de technologie alleen maar verder zal toenemen.
Dan kan ik ook meteen mijn backup strategie verbeteren en een beter wachtwoordbeleid invoeren.
Tijd om mijn digitale leven in een fort knox te veranderen...
En als ik een beetje mag dromen, dan ook een reactive AV erbij:
Bij gevonden malware direct terugslaan en de malware C&C servers bricken. ;)
tueeuy4
[...]
• Exfiltrating and removing items from the device’s keychain
• Hijacking the phone’s Anisette framework and hooking the gettimeofday syscall to generate iCloud time-based one-time password (TOTP) login codes for arbitrary dates. We suspect that this is used to generate two-factor authentication codes valid for future dates, in order to facilitate persistent exfiltration of the user’s data directly from iCloud.
[...]
Die tweede staat bekend als "time traveler" attack; hoe dat werkt legde ik eerder uit in https://www.security.nl/posting/708673/Risico+%22Authenticator%22+apps.
Dan kan ik ook meteen mijn backup strategie verbeteren en een beter wachtwoordbeleid invoeren.
Tijd om mijn digitale leven in een fort knox te veranderen...
En als ik een beetje mag dromen, dan ook een reactive AV erbij:
Bij gevonden malware direct terugslaan en de malware C&C servers bricken. ;)
tueeuy4
Dan kan ik ook meteen mijn backup strategie verbeteren en een beter wachtwoordbeleid invoeren.
Tijd om mijn digitale leven in een fort knox te veranderen...
En als ik een beetje mag dromen, dan ook een reactive AV erbij:
Bij gevonden malware direct terugslaan en de malware C&C servers bricken. ;)
tueeuy4
Wat bedoelt U nou echt duidelijk te maken?
Hmmm, daar ben ik niet zo zeker van.
Hij zegt zelf:
Dus voor de gemiddelde persoon kan dit betekenen:
- "ik heb nog wel ergens een backup liggen, als het goed is"
- "zelfde wachtwoord voor meerdere diensten, waarom ook niet?"
Dan is het zeker wel verstandig om even alles beter op een rijtje te zetten!
Nu noem je dat hij zich beter zorgen kan maken over "echte risico's", maar welke zijn dat dan?
Volgens mij pakt hij zeker wel de zwakke punten aan.
Natuurlijk een beetje overdreven met die auto-bricker, maar zo'n ding zou ik ook wel willen hebben.
anon101
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.