이스라엘 NSO 그룹이 개발한 스파이웨어에 의해 악용된 iOS 취약점 중 하나가 ‘QuaDream’이라는 또 다른 감시 회사에서도 악용된 사실이 밝혀졌다.

NSO 그룹과 마찬가지로 QuaDream도 정부 및 정보 기관을 위한 감시 멀웨어를 개발한다.

QuaDream은 2016년 이스라엘 군인과 전 NSO 직원 두명이 설립했다.

로이터에 따르면 “신뢰할 수 있는 5명의 소식통에 따르면 NSO Group이 2021년 아이폰을 해킹하기 위해 악용한 결함을 QuaDream도 동시에 악용했고, QuaDream 또한 정부 고객을 대상으로 하는 스마트폰 해킹 도구 개발 회사이다”라고 보도했다.

한편 두 회사가 같은 기간에 iOS 제로데이를 무기화하고 있다는 것이고, 모두 사용자 상호작용 없이 원격으로 기기를 손상시킬 수 있었다는 점이다.

두 회사는 FORCEDENTRY(CVE-2021-30860) 제로클릭 iMessage 익스플로잇을 사용했다. 애플은 2021년 9월 FORCEDENTRY 익스플로잇에 사용된 결함을 패치해 NSO와 QuaDream 스파이웨어를 무력화했다.

시큐리티어페어스 보도에 따르면, 2021년 8월, 시티즌랩 연구원들은 NSO Group의 페가수스 스파이웨어를 바레인 활동가 기기에 유포하는데 사용된 제로클릭 iMessage 익스플로잇을 발견했다.

시티즌랩이 발표한 분석 자료는 “2020년 6월부터 2021년 2월 사이에 바레인 활동가 9명의 아이폰이 NSO Group의 페가수스 스파이웨어를 통해 해킹되었다. 이들 중 일부는 2020 KISSET 익스플로잇과 2021 FORCEDENTRY 익스플로잇, 이 2개 제로클릭 iMessage 익스플로잇을 사용해 해킹되었다.”고 설명했다. 또한 “우리는 FORCEDENTRY 익스플로잇이 iOS 버전 14.4 및 14.6에 성공적으로 유포된 것을 확인했다. 활동가들의 동의 하에 크래시 로그와 몇가지 추가 전화 로그를 애플사와 공유하였고, 조사 중임을 확인했다.”고 덧붙였다.

시티즌랩 연구원들은 FORCEDENTRY 익스플로잇이 8개월 전에 iOS에서 도입된 ‘BlastDoor’를 우회하여 iMessage 제로클릭 익스플로잇을 차단할 수 있다는 사실을 발견했다.

QuaDream이 개발한 스파이웨어 이름은 ‘REIGN’이다. NSO Group의 페가수스 스파이웨어와 동일한 기능을 가지고 있고, 운영자가 장치를 완전히 제어할 수 있다. REIGN의 프리미엄 컬렉션에는 실시간 통화 녹음, 카메라 활성화-전면 및 후면, 마이크 활성화가 포함되어 있다.

로이터는 또한 2019년 브로셔에 포함된 QuaDream 서비스 가격에 대한 정보를 공유했다. 연간 50대 스마트폰을 해킹할 수 있는 시스템 한 개의 비용이 유지 관리 비용 제외 220만 달러(한화 약 26억)에 달한다.

사우디아라비아와 멕시코를 포함한 4명의 소식통과 일부 문서에 따르면 QuaDream 구매자 중 일부가 NSO와 중복됐고, QuaDream 첫번째 고객 중 하나는 싱가포르 정부였으며, 인도네시아 정부에도 구매 제안이 있었다고 한다.

★정보보안 대표 미디어 데일리시큐!★