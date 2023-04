Aktualisierung vom 12. April 2023:

Während sich die NSO Group wegen ihrer Hacker-Software Pegasus vor der EU-Kommission verantworten muss, ist der kleinere Wettbewerber Quadreams nach wie vor auf dem Markt für ausgeklügelte iPhone-Hacks aktiv. So berichtet “Tech Crunch” darüber, dass Quadreams nach den geschlossenen iMessage-Lücken einige wenige iPhones von Politikern, Aktivisten und Journalisten mittels einer präparierten Kalender-Einladung gehackt hat.

Die Lücke wurde in iOS 14.4 und 14.4.2 nachgewiesen, mindestens fünf Personen sind Opfer des Cyber-Angriffes geworden, so “Citizen Lab”, einer der Entdecker. Die recht veraltete Software bedeutet nicht, dass die Angriffe ausschließlich vor zwei Jahren stattfanden. Microsoft Thread Intelligence, der zweite Entdecker, hat ein Netzwerk von knapp zweihundert Domains aufgelistet, die mit dem aktuellen Kalender-Angriff in Verbindung stehen. Die neueste registrierte Domain youristores[.]com wurde zum ersten Mal am 16. März 2023 in Betrieb genommen. Die gesamte Liste der Domains, die in Verbindung mit dem Quadreams-Hack stehen, ist hier aufgelistet.

Der Hack, von Citizen Lab ENDOFDAYS (End of Days) genannt, nutzte eine Schwachstelle im iCloud-Kalender. Das Opfer erhält eine Einladung zum Ereignis, das in der Vergangenheit liegt. Das System konnte diese vergangene Einladung zum Kalender ohne Benachrichtigung des Nutzers oder der Nutzerin hinzufügen. Die Einladung bestand jedoch aus einer präparierten ICS-Datei, die wiederum einen XML-Code enthielt. Nach Vermutungen von Citizen Lab wurde dieser XML-Code als Angriff auf das System genutzt, “End of Days” konnte sich selbstständig auf dem iPhone installieren, nach der Installation nicht nur die Spuren im Kalender und im Adressbuch des Opfers löschen, sondern auch die eigenen Spuren im System bereinigen.

Ab dann wurde das gehackte iPhone durch den entfernten Server kontrolliert, neben den üblichen Abhör- und Screenshotfunktionen kann “End of Days” sogar die einmaligen iCloud-Schlüssel für die 2-Faktor-Authentifizierung generieren. Die Kontrollserver der Malware haben die Forscher in Bulgarien, Tschechei, Ungarn, Ghana, Israel, Mexiko, Rumänien, Singapur, in den Vereinten Arabischen Emiraten (UAE) und Usbekistan gefunden.

Ursprünglicher Bericht vom 4. Februar 2022:

Im Sommer 2021 hat der Bericht von Amnesty Internation und Citizen Lab ein großes Aufsehen erregt, dass es eine Software existiert, die iPhones ohne einen einzelnen Klick hacken und dessen Nutzer fortan in allen Aspekten überwachen kann. Nun berichtet Reuters unter Berufung auf fünf unterschiedliche Quellen, dass in Israel eine zweite Firma die gleiche Technologie besitzt wie NSO Group und die Smartphones wie iPhones und Android-Telefone ohne Klicks knacken kann. Quadreams, so heißt die Firma, ist im Vergleich zu NSO Group kleiner und nicht so bekannt. Laut früheren Berichten von Haaretz sind ihre Dienstleistungen etwas kostengünstiger als diese von NSO mit ihrem Tool Pegasus.

Schwachstelle in iMessages

Das Prinzip von Quadreams unterscheidet sich aber nicht sonderlich von dem der NSO Group, die Sicherheitsforscher melden gar, die beiden Firmen haben die gleichen Schwachstellen in iMessage ausgenutzt, obwohl sie diese Lücken wohl unabhängig voneinander fanden. Die Experten bei Citizen Labs haben bestätigt, dass Quadreams Technologie namens Reign vergleichbar mit Pegasus von NSO Group sei.

Quadream wurde 2016 von zwei ehemaligen NSO-Mitarbeitern gegründet – Guy Geva und Nirod Reznik, mit dabei war auch ein ehemaliger israelischer Offizier Ilan Dabeilstein , sie und noch weitere drei Personen sowie sechs Firmen sind als Aktieninhaber der Firma im israelischen Firmenregister gelistet. Ein früherer Bericht von “Globes” fand die Verbindung mit einer zypriotischen Firma Inreach. Offiziell werden alle Verträge über Zypern abgewickelt, Inreach sollte demnach 92 Prozent der Umsätze weiter nach Israel überweisen. Auch die Hacking-Technologie Reign gehört laut Berichten nicht Quadream selbst, sondern der Firma auf Zypern. Laut aktuellen israelischen Gesetzgebung muss sich der Export von solchen Gütern und Dienstleistungen wie Hacking-Software einer Überprüfung des Verteidigungsministeriums unterziehen. Mit dem Sitz auf Zypern kann Quadream mit Inreach eine solche Überprüfung umgehen.

Laut Berichten von Reuters hat Quadream seine Software nach Saudi Arabien und Mexiko verkauft, in die gleichen Länder, die auch bei NSO eingekauft haben. Haaretz berichten über einen möglichen Einsatz in Ghana, als der aktuelle Präsident Nana Akufo-Addo sich just vor Wahlen im September 2020 mit den Vertretern von Quadream traf.