Tags : Maroc, Quadream, espionnage, Pegasus, NSO Group, Israël, piratage, hacking, IPhone,
Sweet QuaDreams
Un premier aperçu des exploits, des victimes et des clients du fournisseur de logiciels espions QuaDream
Par Bill Marczak , John Scott-Railton , Astrid Perry , Noura Al-Jizawi , Siena Anstis , Zoe Panday , Emma Lyon 1 , Bahr Abdul Razzak et Ron Deibert
[1] Pseudonyme d’un chercheur qui choisit de rester anonyme
11 avril 2023
Principales conclusions
Sur la base d’une analyse d’échantillons partagés avec nous par Microsoft Threat Intelligence , nous avons développé des indicateurs qui nous ont permis d’identifier au moins cinq victimes de la société civile des logiciels espions et des exploits de QuaDream en Amérique du Nord, en Asie centrale, en Asie du Sud-Est, en Europe et au Moyen-Orient. Parmi les victimes figurent des journalistes, des personnalités politiques de l’opposition et un employé d’une ONG. Nous ne nommons pas les victimes pour le moment.
Nous identifions également des traces d’un exploit présumé sans clic sur iOS 14 utilisé pour déployer le logiciel espion de QuaDream. L’exploit a été déployé en tant que zero-day contre les versions iOS 14.4 et 14.4.2, et éventuellement d’autres versions. L’exploit suspecté, que nous appelons ENDOFDAYS , semble utiliser des invitations de calendrier iCloud invisibles envoyées par l’opérateur du logiciel espion aux victimes.
Nous avons effectué une analyse Internet pour identifier les serveurs QuaDream et, dans certains cas, nous avons pu identifier les emplacements des opérateurs pour les systèmes QuaDream. Nous avons détecté des systèmes exploités depuis la Bulgarie, la République tchèque, la Hongrie, le Ghana, Israël, le Mexique, la Roumanie, Singapour, les Émirats arabes unis (EAU) et l’Ouzbékistan.
QuaDream a noué un partenariat avec une société chypriote appelée InReach, avec laquelle elle est actuellement impliquée dans un litige. De nombreuses personnes clés associées aux deux sociétés ont des relations antérieures avec un autre fournisseur de surveillance, Verint, ainsi qu’avec des agences de renseignement israéliennes.
1. Contexte : QuaDream et InReach
QuadDream
QuaDream Ltd ( קוודרים בע”מ ) est une société israélienne spécialisée dans le développement et la vente de technologies numériques offensives avancées aux clients gouvernementaux. La société est connue pour son logiciel espion commercialisé sous le nom de « Reign », qui, comme le logiciel espion Pegasus de NSO Group, utilise des exploits sans clic pour pirater les appareils cibles.
Des reportages récents dans les médias indiquent que QuaDream a vendu ses produits à une gamme de clients gouvernementaux, dont Singapour, l’Arabie saoudite, le Mexique et le Ghana, et a proposé ses services à l’Indonésie et au Maroc. De plus, dans leur rapport sur les menaces de décembre 2022 sur l’industrie de la surveillance pour la location , Meta mentionne qu’ils ont détecté une activité sur leurs plateformes qu’ils ont attribuée à QuaDream. L’activité comprenait l’utilisation d' »environ 250 comptes », qui, selon Meta, étaient utilisés pour tester les capacités des logiciels espions iOS et Android de QuaDream.
QuaDream fonctionne avec une présence publique minimale, sans site Web, ni couverture médiatique étendue ni présence sur les réseaux sociaux. Les employés de QuaDream auraient reçu pour instruction de s’abstenir de mentionner leur employeur sur les réseaux sociaux. Cependant, nous avons pu identifier plusieurs personnalités clés associées à l’entreprise, dont ses trois fondateurs (Ilan Dabelstein, Guy Geva et Nimrod Rinsky), grâce à une revue de la documentation de l’entreprise, des articles de journaux et des bases de données. Nous énumérons ces personnes clés à l’annexe A .
QuaDream est empêtré dans un différend juridique avec InReach, une société enregistrée à Chypre. Ce différend a entraîné la révélation de détails intéressants sur les activités des entreprises. Selon des documents judiciaires obtenus auprès du tribunal de district de Limassol à Chypre (le dossier chypriote ), QuaDream a vendu ses produits en dehors d’Israël via InReach, une société enregistrée à Chypre. Bien que les informations open source et les documents judiciaires que nous avons examinés suggèrent fortement que QuaDream a vendu ses produits en dehors d’Israël via InReach, il est essentiel de noter que cela n’indique pas nécessairement qu’InReach était le distributeur exclusif ou principal de QuaDream.
InReach
InReach a été constituée à Chypre en septembre 2017. Selon les affirmations de QuaDream dans le dossier chypriote, InReach a été créée dans le seul but de promouvoir les produits de QuaDream en dehors d’Israël. Selon le dossier, un « accord de consortium » a été signé entre QuaDream et InReach le 5 juillet 2017, et que QuaDream a pris l’initiative de créer le consortium afin de vendre leurs produits en dehors d’Israël. L’accord stipulait que QuaDream recevrait 92 % des revenus de la vente des produits de QuaDream, InReach conservant les 8 % restants.
Nous identifions les personnes clés associées à InReach à l’annexe A , grâce à un examen des documents d’entreprise, des articles de journaux et de diverses bases de données.
Le différend entre QuaDream et InReach
Une source d’information utile sur les activités de QuaDream est un différend juridique en cours entre QuaDream et InReach. Le différend a donné lieu à des révélations sur les pratiques commerciales de QuaDream.
La relation entre QuaDream et InReach semble être une combinaison de liens d’intérêts personnels et mutuels. Il existe des intersections notables ( annexe A ) entre les deux sociétés et bon nombre des personnes clés des deux sociétés semblent avoir d’anciens liens avec Verint ainsi qu’avec les agences de renseignement israéliennes.
Selon le dossier chypriote, un différend est survenu entre les sociétés lorsque InReach n’a pas transféré à QuaDream 92 % des revenus provenant de la vente des produits de QuaDream, à commencer par une facture datée du 26 juin 2019. Le 7 mai 2020, QuaDream a demandé au tribunal de Chypre pour geler les actifs d’InReach, dans l’attente d’un éventuel arbitrage devant la Cour d’arbitrage d’Amsterdam. Pour étayer sa demande d’ordonnance de gel, QuaDream a présenté un avis juridique en anglais indiquant que QuaDream est en droit de recevoir la somme de 6 079 814 USD d’InReach (ce montant reflétant vraisemblablement 92 % des ventes de produits de QuaDream qu’InReach n’avait pas réussi à transférer, à partir avec la facture de juin 2019).
Dans la demande d’ordonnance de gel, QuaDream a affirmé qu’InReach avait tenté de dissimuler et de céder les actifs du consortium par des moyens frauduleux, notamment en ouvrant un compte bancaire secret en Suisse, puis en tentant de canaliser les paiements des clients vers ce nouveau compte bancaire, à l’insu de QuaDream. QuaDream a affirmé qu’InReach avait licencié Lora Plotkin ( annexe A ), une actionnaire de QuaDream qui avait des droits de signature et de surveillance sur le compte bancaire d’InReach qui recevait des paiements de clients, le 17 avril 2020, afin qu’InReach puisse acheminer les paiements vers le compte secret sans l’accord de QuaDream. autorisation. Le tribunal de district de Limassol a accordé l’ordonnance de gel à QuaDream et le litige est en cours.
2. Analyse d’un composant logiciel attribuable à QuaDream
Microsoft Threat Intelligence a partagé avec le Citizen Lab deux échantillons de logiciels espions iOS qu’ils appellent KingsPawn et attribuent à QuaDream avec une grande confiance. (Lire l’analyse Microsoft Threat Intelligence du logiciel espion ici ).
Nous avons ensuite analysé ces binaires, cherchant à développer des indicateurs qui pourraient être utilisés pour identifier un appareil compromis par le logiciel espion QuaDream. La section suivante décrit les éléments de notre analyse des logiciels espions.
L’échantillon 1 semblait être un téléchargeur conçu pour exfiltrer les informations de base de l’appareil, et télécharger et exécuter une charge utile supplémentaire. L’échantillon 2 semblait être une charge utile complète de logiciels espions. Néanmoins, l’échantillon 1 et l’échantillon 2 partageaient des points communs très distinctifs, y compris des fonctions largement identiques pour les processus de frai. Les fonctions créent (puis suppriment) un sous-dossier distinctif dans le dossier com.apple.xpc.roleaccountd.staging sur le téléphone :
/private/var/db/com.apple.xpc.roleaccountd.staging/PlugIns/fud.appex/
De plus, les exemples 1 et 2 analysent le même codage JSON distinctif de 40 décalages de mémoire du noyau qui fournissent l’emplacement de diverses structures du noyau iOS vraisemblablement importantes pour le fonctionnement du logiciel espion. Nous soupçonnons que cet encodage est généré par une étape antérieure de la chaîne d’exploitation et transmis aux exemples 1 et 2 .
En plus de l’attribution hautement fiable de Microsoft Threat Intelligence à QuaDream, nous avons trouvé plusieurs références pouvant être liées à QuaDream dans l’exemple 1 . Le deuxième échantillon, l’échantillon 2 , ne contenait pas ces références.
Fonctionnalité
L’échantillon 1 semblait être une charge utile initiale dont le but était de télécharger une autre charge utile. L’échantillon 2 , cependant, semblait être la charge utile finale du logiciel espion. Notre analyse de l’échantillon 2 nous a permis d’identifier une gamme de fonctionnalités qui aident l’implant à exécuter ses principales capacités de surveillance. Comme d’autres logiciels espions mercenaires similaires, l’implant dispose d’une gamme de fonctionnalités allant de l’enregistrement audio des appels et de l’environnement à des fonctionnalités plus avancées pour effectuer des recherches dans le téléphone.
L’exemple 2 semble avoir des fonctionnalités pour :
Enregistrement audio des appels téléphoniques
Enregistrement audio du microphone
Prendre des photos via l’appareil photo avant ou arrière de l’appareil
Exfiltrer et supprimer des éléments du trousseau de l’appareil
Détourner le framework Anisette du téléphone et accrocher l’ appel système gettimeofday pour générer des codes de connexion iCloud à mot de passe à usage unique (TOTP) pour des dates arbitraires. Nous soupçonnons que cela est utilisé pour générer des codes d’authentification à deux facteurs valides pour les dates futures, afin de faciliter l’exfiltration persistante des données de l’utilisateur directement depuis iCloud
Exécuter des requêtes dans des bases de données SQL sur le téléphone
Nettoyer les restes qui pourraient être laissés par des exploits sans clic
Suivi de l’emplacement de l’appareil
Effectuer diverses opérations sur le système de fichiers, y compris la recherche de fichiers correspondant aux caractéristiques spécifiées
Nous avons constaté que le logiciel espion contient également une fonction d’autodestruction qui nettoie diverses traces laissées par le logiciel espion lui-même. Notre analyse de la fonction d’autodestruction a révélé un nom de processus utilisé par le logiciel espion, que nous avons découvert sur les appareils victimes.
Le nom du processus de QuaDream Spyware émerge
Une fonction dans l’exemple 2 code en dur le chemin d’accès à la charge utile principale du logiciel espion (dans une chaîne masquée XOR) en tant que /private/var/db/com.apple.xpc.roleaccountd.staging/subbridged . Bien que subridged soit le nom d’un exécutable iOS légitime, le subridged légitime ne serait pas lancé à partir du répertoire /private/var/db/com.apple.xpc.roleaccountd.staging/ . Ce nom de processus n’a jamais été observé utilisé par le logiciel espion Pegasus de NSO Group (qui utilise également le répertoire /private/var/db/com.apple.xpc.roleaccountd.staging/ ), ni aucun autre type de logiciel espion dont nous avons connaissance.
Une autre fonction de l’exemple 2 supprime les entrées du fichier /private/var/root/Library/Caches/locationd/clients.plist, qui est une source médico -légale bien connue où les indicateurs de logiciels espions peuvent persister. La fonction tente de supprimer les entrées se terminant par la chaîne « subbridged » de ce fichier.
Le code de nettoyage met en évidence les exploits présumés sans clic
Nous avons identifié une fonctionnalité dans l’exemple 2 qui supprime les événements du calendrier iOS. La fonctionnalité est située dans deux « fonctions de nettoyage de calendrier », que nous appelons CCF1 et CCF2 . Les fonctions semblent être exécutées lorsqu’une commande de nettoyage spéciale est reçue du serveur de commande et de contrôle du logiciel espion. La commande de nettoyage inclut une adresse e-mail qui spécifie l’étendue du nettoyage.
CCF1 énumère (via EventKit) tous les événements de calendrier dans tous les calendriers dont la date de début est postérieure à 728 jours et vérifie si l’adresse e-mail de l’organisateur de l’événement est égale à l’adresse e-mail fournie. Si tel est le cas, l’événement est supprimé via la fonction -[EKEventStore removeEvent:span:commit:error:] .
CCF2 ouvre la base de données SQLite qui stocke les informations de calendrier sur le téléphone, située dans /var/mobile/Library/Calendar/Calendar.sqlitedb, en utilisant les paramètres suivants :
fichier :%s?cache=shared&mode=rwc&_journal_mode=WAL&_timeout=10000
CCF2 vérifie alors si l’adresse e-mail fournie est présente dans la table ‘Participant’ de la base de données :
SELECT DISTINCT identity_id FROM Participant WHERE email = « %s »
Si elles sont présentes, ces requêtes de suppression sont exécutées :
SUPPRIMER DE L’Identité WHERE ROWID = %d ;
DELETE FROM CalendarItemChanges WHERE record IN ( SELECT owner_id FROM ParticipantChanges WHERE email = « %[2]s » );
DELETE FROM ParticipantChanges WHERE email = « %[2]s » ;
Enfin, CCF2 aspire la base de données :
VIDE;
PRAGMA wal_checkpoint(TRUNCATE);
La même commande de nettoyage qui déclenche la suppression des événements de calendrier associés à une adresse e-mail spécifique entraîne également la suppression de cette même adresse e-mail du fichier com.apple.identityservices.idstatuscache.plist (dans /private/var/mobile/Library/Preferences/ ). Dans les versions iOS 14.6 et antérieures, ce fichier contenait un enregistrement des comptes iCloud avec lesquels l’appareil avait interagi en utilisant certains services Apple (par exemple, iMessage). Ce fichier semble être obsolète depuis la version 14.7 d’iOS et ne stocke plus aucune information.
Le facteur ectoplasme
Nous avons noté une fonctionnalité dans l’exemple 2 qui laisse parfois des traces sur les appareils infectés après la suppression du logiciel espion. Nous appelons ces traces le facteur ectoplasme . Nous omettons la discussion sur le facteur ectoplasme de notre rapport, car nous pensons que cela peut être utile pour suivre les logiciels espions de QuaDream à l’avenir.
Exfiltration
Le logiciel espion exfiltre les données via des requêtes HTTPS POST. Le module d’exfiltration du logiciel espion semble avoir la capacité d’utiliser un certificat racine personnalisé pour cette connexion HTTPS, indiquant que l’exfiltration peut impliquer des certificats auto-signés. Par ailleurs, nous avons observé une exfiltration présumée de QuaDream vers des serveurs renvoyant des certificats Kubernetes auto-signés.
3. Cibler la criminalistique
Nous avons découvert des indices qui, selon nous, sont liés à l’exploit zéro clic iOS 14 de QuaDream. Alors que NSO Group déployait FORCEDENTRY en tant qu’exploit zero-click et zero-day contre les appareils iOS 14, QuaDream semble avoir déployé un autre exploit zero-click et zero-day contre les appareils iOS 14 que nous appelons ENDOFDAYS . Apple aurait notifié les cibles du piratage de Pegasus et de QuaDream dans une série de notifications publiées le 23 novembre 2021.
Nous avons partagé notre analyse de cette attaque avec Apple Inc. à plusieurs reprises au cours de notre enquête.
ENDOFDAYS, un possible exploit sans clic
Nous avons identifié deux cas de 2021 où des cibles en Amérique du Nord et en Asie centrale ont montré qu’un processus nommé /private/var/db/com.apple.xpc.roleaccountd.staging/subbridged avait été exécuté sur le téléphone sur les versions iOS 14.4 et 14.4.2. , alors qu’il s’agissait des dernières versions d’iOS.
Dans un cas, nous avons pu examiner le fichier Calendar.sqlitedb de l’utilisateur et également nous connecter (via CalDAV) à son calendrier iCloud. Le fichier Calendar.sqlitedb de l’utilisateur a montré un événement suspect ajouté au calendrier en 2021 organisé par un utilisateur [REDACTED1]@icloud.com . Le résumé de l’événement était « Réunion » et la description de l’événement était « Notes ». Nous avons obtenu un fichier .ics pour cet événement à partir de leur calendrier iCloud via CalDAV. L’événement contenait des restes d’un échappement XML possible, où les balises d’ouverture et de fermeture CDATA étaient intégrées dans les clés du fichier .ics (mis en évidence ci-dessous).
DESCRIPTION]]>:X
ATTENDEE;EMAIL=[victime expurgée]…
PARTICIPANT<![CDATA[:Remarques
Nous avons localisé un deuxième fichier .ics pour un événement ajouté en 2021 contenant le même résumé et la même description, et la même injection XML possible, mais organisé par un utilisateur différent [ REDACTED2]@icloud.com . Les détails de cet événement et de cet organisateur n’apparaissent pas dans le fichier Calendar.sqlitedb de l’utilisateur et peuvent avoir été supprimés par le logiciel espion.
Nous soupçonnons que l’utilisation par l’attaquant de balises CDATA de fermeture et d’ouverture dans le .ics pourrait potentiellement faciliter l’inclusion de données XML supplémentaires qui seraient traitées par le téléphone de l’utilisateur, afin de déclencher un comportement souhaité par l’attaquant. Lorsqu’un utilisateur est invité à un événement de calendrier iCloud, les APN (le service de notification push d’Apple) envoient un message avec le sujet com.me.cal aux appareils de l’utilisateur. Le message comprend le DSID (Directory Services Identifier) de l’utilisateur. Ce message est acheminé vers le processus dataaccessd de l’iPhone , ce qui l’oblige à effectuer une synchronisation WebDAV (RFC 6578) avec le serveur de calendrier iCloud pour obtenir une liste des URL des nouveaux événements de calendrier à récupérer. L’ accès aux donnéesLe processus fournit ensuite ces URL au serveur de calendrier iCloud dans un CALDAV:calendar-multiget REPORT (RFC 4791), et le serveur répond avec les données iCalendar de chaque fichier intégrées dans des balises CDATA dans un élément XML de données de calendrier .
<réponse xmlns= »DAV : »>
/chemin/vers/event.ics
« … »
<![CDATA[BEGIN:VCALENDAR
…
Ainsi, l’utilisation par l’attaquant de balises CDATA de fermeture et d’ouverture dans le .ics pourrait potentiellement lui permettre d’injecter des données XML qui seraient traitées par le téléphone de l’utilisateur dans la réponse. Bien que nous n’ayons pu récupérer aucune donnée XML à partir des fichiers .ics, ces fichiers semblent avoir été mis à jour une fois, à en juger par les champs SEQUENCE et LAST-MODIFIED.
Une Signature pour ENDOFDAYS
Tous les événements de calendrier que nous avons identifiés et utilisés dans le cadre de l’ attaque ENDOFDAYS peuvent être détectés en exécutant la requête suivante sur le fichier Calendar.sqlitedb d’un téléphone.
SELECT * FROM calendaritem WHERE summary= »Réunion » AND description= »Notes » ;
Les événements de calendrier malveillants ont des caractéristiques distinctives supplémentaires qui semblent toujours être les mêmes. Le fichier .ics contient des invitations à deux événements qui se chevauchent et qui sont antidatés . Sur iOS 14, toute invitation de calendrier iCloud avec une heure antidatée reçue par le téléphone est automatiquement traitée et ajoutée au calendrier de l’utilisateur sans invite ni notification. Nous ne savons pas pourquoi les événements se chevauchent, bien qu’il puisse y avoir un comportement spécifique déclenché par des événements qui se chevauchent.
Nous avons examiné les fichiers Calendar.sqlitedb de deux téléphones qui affichaient le nom du processus /private/var/db/com.apple.xpc.roleaccountd.staging/subbridged en 2019 et 2020. Dans l’ensemble, nous n’avons observé aucun événement de calendrier ENDOFDAYS généré avant janvier 2021, nous laissant croire que ENDOFDAYS visait iOS 14.
Autres observations sur ENDOFDAYS
Au moins une cible notifiée par Apple a été testée positive pour le logiciel espion de QuaDream et négative pour Pegasus.
Nous n’avons observé aucun cas d’individus ciblés par ENDOFDAYS avant janvier 2021 ou après novembre 2021.
Nous avons également observé des preuves d’infections où la charge utile du logiciel espion QuaDream a été personnalisée. Dans un cas, nous avons trouvé des indications selon lesquelles le processus duetexpertd du téléphone était en quelque sorte persuadé de lancer une instance WebKit, qui aurait pu être amenée à naviguer vers une URL malveillante, conduisant à une exploitation plus poussée et à l’exécution du logiciel espion.
Résumé de la criminalistique cible
Dans l’ensemble, nous avons identifié au moins cinq cibles présentant des indicateurs d’infection ou de ciblage avec les logiciels espions ou les exploits de QuaDream. Nous attribuons deux cas aux logiciels espions ou aux exploits de QuaDream avec une confiance élevée, car ils correspondent à plusieurs indicateurs QuaDream, et trois cas avec une confiance moyenne, car ils ne correspondent qu’à un seul indicateur.
4. Analyse Internet pour les serveurs QuaDream
Les partenaires de la communauté des renseignements sur les menaces ont partagé avec nous un indicateur de réseau lié au logiciel espion de QuaDream. À partir de cet indicateur, nous avons pu concevoir des empreintes digitales et identifier plus de 600 serveurs et 200 noms de domaine dont nous concluons avec une grande confiance qu’ils étaient liés au logiciel espion de QuaDream entre fin 2021 et début 2023, y compris des serveurs qui, selon nous, sont utilisés pour recevoir des données. exfiltrés des victimes de QuaDream et des serveurs utilisés pour les exploits de navigateur en un clic de QuaDream.
Dans plusieurs cas, nous avons pu retracer ces serveurs jusqu’à leurs opérateurs. Nous pensons qu’il existe des systèmes QuaDream exploités depuis les pays suivants :
Bulgarie
République tchèque
Hongrie
Ghana
Israël
Mexique
Roumanie
Singapour
Emirats Arabes Unis (EAU)
Ouzbékistan
Nous avons partagé nos résultats avec Microsoft Threat Intelligence, qui a effectué une analyse supplémentaire pour identifier les noms de domaine liés à QuaDream. Microsoft Threat Intelligence publie les résultats de son analyse dans son rapport .
Pays préoccupants
La Hongrie, le Mexique et les Émirats arabes unis sont connus pour abuser des logiciels espions pour cibler les défenseurs des droits humains (DDH), les journalistes et d’autres membres de la société civile. Le Citizen Lab a publié de nombreux rapports sur les abus de logiciels espions au Mexique. Un rapport publié en mars 2023 par l’organisation mexicaine de défense des droits numériques R3D a révélé des preuves que l’armée mexicaine était à l’origine de certains de ces abus de surveillance. Le Citizen Lab a également fait de nombreux reportages sur l’utilisation abusive de logiciels espions par le gouvernement des Émirats arabes unis pour cibler les DDH, les intellectuels et les militants . Le projet Pegasus découvertdes preuves suggérant que le gouvernement hongrois était à l’origine de l’utilisation abusive de logiciels espions pour cibler les journalistes hongrois, et le Citizen Lab a vérifié que le téléphone du photojournaliste hongrois Dániel Németh était infecté par Pegasus.
Nous ne pouvons pas déterminer si les systèmes exploités depuis Israël sont exploités par le gouvernement israélien ou QuaDream lui-même. Néanmoins, le gouvernement israélien est également soupçonné d’avoir utilisé des logiciels espions mercenaires pour cibler les DDH palestiniens , ainsi que des militants politiques nationaux .
En outre, plusieurs autres pays sont connus pour avoir des lacunes dans la surveillance de la surveillance, ou d’autres mauvais dossiers en matière de droits de l’homme. L’Ouzbékistan a un long passé de graves violations des droits humains, et le régime impose des restrictions importantes aux droits humains fondamentaux , notamment la liberté d’expression, d’association et de réunion pacifique. La constitution de Singapour ne reconnaît pas le droit à la vie privée et les autorités de l’État disposent de vastes pouvoirs de surveillance qui contournent les mécanismes judiciaires standard.
5. Demande de commentaires
Le 7 avril 2022, le Citizen Lab a envoyé un e-mail à Vibeke Dank , qui est répertorié comme conseiller juridique de QuaDream, posant des questions sur la manière dont les pratiques commerciales de QuaDream tiennent compte des droits de l’homme et du potentiel d’abus de logiciels espions, et invitant à commenter les emplacements de opérateurs suspects que nous identifions dans notre rapport. Nous n’avons reçu aucune réponse à la date de publication de ce rapport.
6. Conclusion
L’obscurité de QuaDream reflète un effort pour éviter l’examen des médias qui a réussi, pendant un certain temps. Pourtant, une fois que les infections de QuaDream sont devenues détectables grâce à des méthodes techniques, un groupe prévisible de victimes a émergé : la société civile et les journalistes. Ce modèle est une répétition des abus constatés avec des acteurs plus notoires, comme le logiciel espion Pegasus de NSO Group, le logiciel espion Predator de Cytrox , et avant eux Hacking Team et FinFisher .
QuaDream est en affaires depuis plusieurs années, a développé des logiciels espions sophistiqués et semble avoir des relations avec de nombreux clients gouvernementaux dans le monde. L’entreprise a des racines communes avec le groupe NSO, ainsi qu’avec d’autres sociétés de l’industrie israélienne des logiciels espions commerciaux et les propres agences de renseignement du gouvernement israélien.
Comme NSO Group, Intellexa et d’autres entreprises commerciales de logiciels espions que nous avons étudiées, QuaDream utilise des pratiques d’entreprise complexes et opaques qui peuvent être conçues pour échapper à l’examen et à la responsabilité du public. Par exemple, il semble que son partenariat difficile avec InReach ait été conçu comme un moyen d’échapper aux contrôles des exportations et à la surveillance gouvernementale. Ces structures d’entreprise alambiquées nuisent à la responsabilité en empêchant les enquêtes et en rendant difficile de s’assurer que les entreprises opèrent en conformité avec les lois et réglementations applicables.
En fin de compte, ce rapport rappelle que l’industrie des logiciels espions mercenaires est plus importante que n’importe quelle entreprise et qu’une vigilance continue est requise de la part des chercheurs et des cibles potentielles. Jusqu’à ce que la prolifération incontrôlée des logiciels espions commerciaux soit réduite avec succès par des réglementations gouvernementales systémiques, le nombre de cas d’abus continuera probablement de croître, alimenté à la fois par des entreprises aux noms reconnaissables, ainsi que par d’autres opérant encore dans l’ombre.
Annexe A : Personnes clés chez QuaDream et InReach
Nous avons identifié les personnes clés associées à QuaDream et InReach grâce à un examen des documents d’entreprise, des articles de journaux et de diverses bases de données.
Personnes clés chez QuaDream
Ilan Dabelstein : Dabelstein est un ancien officier militaire israélien qui occupe un poste important dans QuaDream en tant que co-fondateur, actionnaire principal et membre du conseil d’administration. Les documents d’enregistrement de la société en Israël datés du 17 février 2021 indiquaient qu’il occupait le poste de PDG. Selon un rapport d’ Intelligence Online du 22 juin 2022 , Ilan Dabelstein est le seul membre fondateur détenant encore des actions de QuaDream.
Guy Geva et Nimrod Rinsky : Selon des documents obtenus du registre des sociétés d’Israël, Geva et Rinsky sont des co-fondateurs et des actionnaires importants de QuaDream qui, selon Reuters , ont tous deux travaillé auparavant pour le groupe NSO. Bien que les derniers documents que nous avons obtenus du registre des sociétés israélien montrent que Geva et Rinsky sont actionnaires de QuaDream, Intelligence Online a rapporté que les deux hommes ont vendu leurs parts dans la société au début de 2022.
Vibeke Dank : Selon les documents d’enregistrement des sociétés israéliennes, Dank est un avocat qui a été autorisé à signer des documents juridiques au nom de QuaDream. Reuters a noté que l’adresse e-mail de Dank figurait sur le formulaire d’enregistrement d’entreprise de QuaDream. Un récent rapport d’IntelligenceOnline a souligné le rôle de Dank dans la fourniture d’une assistance juridique aux fournisseurs de logiciels espions mercenaires, tels que NSO Group, QuaDream et NFV Systems, qui ont été sanctionnés par le ministère israélien de la Défense en mars 2023.
Avi Rabinowitz/Avi Rabinovitch : Rabinowitz (ou Rabinovitch) est l’un des principaux directeurs et PDG de QuaDream selon DNB et Haaretz . Il a également été décrit par QuaDream dans le dossier chypriote comme le « directeur des ventes » de QuaDream. Selon son profil LinkedIn , il a occupé le poste de vice-président exécutif des ventes d’une « Cyber Startup » entre novembre 2018 et mai 2021, « CEO » de juin 2021 à janvier 2023, et depuis janvier 2023, il a été « Cooking New Things ». .” Avant de travailler chez QuaDream, Rabinovitch a cofondé une société appelée Mabaya qui a ensuite été vendue à la société cotée au NASDAQ, Criteo. Avant cela, il a travaillé pour Verint dans un rôle de vente pendant plus de 8 ans.
Zvi Fischler : En novembre 2019, Intelligence Online rapportait que Fischler « a longtemps été le chef des ventes de QuaDream ». Selon son LinkedIn , Fischler a été officier dans l’unité de renseignement d’élite de l’armée israélienne pendant 16 ans (1973-1989). Après cette période, il a passé 22 ans chez Verint (1993-2015) dans les ventes et le marketing pour la région EMEA. En janvier 2019, il s’est inscrit comme « spécialiste des ventes » indépendant. Fischler et Rabinovitch sont connectés sur LinkedIn, le second ayant « avalisé » le premier dans les compétences « télécommunications ».
Lora Plotkin : Plotkin est une ancienne actionnaire de QuaDream et une ancienne responsable financière chez InReach.
Uri Ashkenazi : Intelligence Online a rapporté en juillet 2022 qu’Ashkenazi développait ses intérêts dans le cyber-renseignement israélien et avait acquis des parts dans QuaDream. Il est également l’un des principaux actionnaires de D&W Ventures qui détient une participation substantielle dans QuaDream. Ashkenazi, comme le décrivent les rapports , est un financier israélien qui investit de plus en plus dans le secteur du cyber-espionnage israélien. Son profil LinkedIn indique qu’il est l’associé directeur de Titan Ventures, un fonds de capital-risque qui investit dans des startups en phase de démarrage, en se concentrant sur des solutions logicielles perturbatrices pour les industries du cyber-renseignement et de la défense. Il est également investisseur dans d’autres sociétés telles que Cobwebs etFalkor .
Personnes clés chez InReach
Roy Glasberg Keller : Les statuts d’InReach identifient Cycotech Ltd. comme l’unique propriétaire d’InReach avec 1000 actions. Cycotech a été constituée à Chypre le 31 août 2017. Elle était initialement enregistrée sous le nom de «Zovisel», mais a ensuite changé son nom en Cycotech peu de temps après. Les statuts de Cycotech indiquent que Roy Glasberg Keller, un homme d’affaires israélien vivant en Amérique, est l’unique actionnaire avec 1000 actions. Cela fait de Keller l’unique actionnaire d’InReach.
Selon son profil LinkedIn , Keller est basé à Los Angeles, en Californie. Il est le CTO de Prelude Communications et se décrit sur LinkedIn comme ayant :
a passé sa carrière [sic] à faire progresser la cybersécurité et la sécurité de l’information du service dans l’armée de l’air israélienne à un vice-président américain et un conseiller stratégique principal chez Verint (NASDAQ: VRNT), un leader mondial du renseignement exploitable. Roy a dirigé [sic] des équipes à l’appui des forces américaines et de l’OTAN dans la guerre contre le terrorisme dans l’évaluation opérationnelle et sur le terrain. Roy soutient également les efforts continus de l’industrie de la correction pour vaincre les téléphones portables dans les établissements de correction aux États-Unis et à l’étranger [sic].
Il semble avoir servi dans l’armée de l’air israélienne entre 1992 et 1999 et a occupé le poste de PDG d’U-TX entre 2007 et 2014. Après l’acquisition d’U-TX par Verint, il est devenu le PDG d’U-TX pendant un an et puis a servi pendant un an de plus en tant que vice-président conseiller stratégique principal chez Verint. Son temps à Verint a chevauché avec Fischler.
Doron Breiter , Christos Shiakallis et Nenad Grozdanic : Breiter, Shiakallis et Grozdanic sont les trois fondateurs d’InReach. Grozdanic est le directeur de l’information (CIO) de la société. Les trois fondateurs étaient auparavant chez U-TX Technologies. U-TX a été acquis par Verint en 2014 pour 83 millions de dollars. Alors que les médias suggèrent que Shiakallis et Grozdanic sont les propriétaires d’InReach, les documents d’entreprise que nous avons obtenus du registre des sociétés chypriotes montrent que Cycotech Ltd. est l’unique propriétaire.
Doron Breiter : Des rapports d’ Intelligence Online l’identifient comme l’un des fondateurs d’InReach. Son profil LinkedIn indique qu’il réside actuellement à Chypre et occupe actuellement deux postes, l’un en tant que « consultant dans une startup en mode furtif » et l’autre en tant que « co-fondateur de Confidential ». Il semble également avoir des relations professionnelles avec Verint. Il a déposé quatre demandes de brevet liées aux produits IMSI auprès de Verint en 2015, 2017 et 2019. De plus, une récente demande de brevet déposée aux États-Unis en 2020 suggère qu’il pourrait également avoir des liens avec la société israélienne Cognyte .
Christos Shiakallis : Shiakallis est l’un des fondateurs d’InReach. Il a complété son MBA à la Kellogg School of Management dans l’Illinois, comme Breiter et Keller. Selon son profil LinkedIn , il est basé à Dubaï, Emirats Arabes Unis, et similaire à Breiter, depuis juillet 2018 à ce jour, il est consultant chez « start-up en mode furtif » et « co-fondateur en confidentiel ».
Nenad Grozdanic : Selon Intelligence Online , Nenad est l’un des fondateurs d’InReach. Le dossier chypriote le décrit comme le directeur général et le directeur de l’information de la société. Selon sa page LinkedIn , Nenad est basé à Dubaï et est un « architecte système senior chez confidentiel ».
Lora Plotkin : En plus d’être une ancienne actionnaire de QuaDream, selon le dossier chypriote, Plotkin est également l’ancienne directrice financière d’InReach. QuaDream affirme dans la procédure chypriote qu’elle était la méthode par laquelle QuaDream exerçait la surveillance des finances d’InReach. Plotkin est membre d’un groupe Facebook appelé « Questions et réponses – Aide aux startups ». En juillet 2017, trois mois avant la signature de l’accord avec InReach, elle a posté un message sur le groupe demandant à consulter un expert de l’exportation « indirecte ».
Savvas Angelides et Christos Ioannides : AIL Nominee Services Ltd (AIL) sont répertoriés comme directeur et secrétaire d’InReach dans les documents d’entreprise obtenus de Chypre (la société est également directeur et secrétaire de Cycotech). AIL a été enregistrée à Chypre le 27 juillet 2010 et déclare ses principales activités en tant que « services commerciaux, de gestion et de conseil ». Savvas Angelides était l’un des actionnaires fondateurs d’AIL Angelides est l’actuel sous-procureur général et ancien ministre de la Défense de Chypre. Il a transféré ses parts dans AIL à Christos Ioannides le 16 février 2018 et a été nommé ministre de la Défense le 1er mars 2018. Le 29 juin 2020, il a été nommé sous-procureur général. Ioannides reste le seul actionnaire d’AIL
Remerciements
Nous sommes particulièrement reconnaissants aux victimes et aux cibles présumées de cette enquête. Bien qu’ils ne soient pas nommés dans ce rapport initial, sans leur volonté de partager du matériel d’analyse, ce rapport n’aurait pas été possible.
Nous remercions Adam Senft et Snigdha Basu pour leur aide éditoriale, et Mari Zhou pour le travail graphique sur ce rapport.
Remerciements particuliers à Access Now, en particulier à la ligne d’assistance téléphonique sur la sécurité numérique.
Remerciements particuliers à Microsoft Threat Intelligence pour le partage d’échantillons et à Censys.
Remerciements particuliers à TNG et CQ.
Source : CitizenLab, 11/04/2023
#Maroc #Quadream #Pegasus #NSOgroup #Espionnage #Piratage #Hacking
Soyez le premier à commenter