마이크로소프트와 사이버 보안 연구소 시티즌랩이 이스라엘을 거점으로 하는 쿼드림(QuaDream)이라는 기업이 만든 상용 스파이웨어인 레인(Reign)을 발견했다. 레인은 제로 클릭 익스플로잇(ENDOFDAYS)을 이용해 아이클라우드 캘린더를 통해 아이폰을 해킹하는 것으로 나타났다.
쿼드림 상용 스파이웨어인 레인은 2021년 1월부터 11월까지 iOS 1.4에서 iOS 14.4.2를 설치한 아이폰에 영향을 미치는 제로데이 취약점 ENDOFDAYS를 악용하고 과거 날짜가 보이지 않는 아이클라우드 캘린더 초대장을 이용해 아이폰에 해킹을 가한다는 것. 스파이웨어 운영자가 대상 기기에 아이클라우드 캘린더 초대장을 보내 기기를 해킹한다.
ENDOFDAYS는 쿼드림이 개발한 제로데이 취약점으로 타임스탬프가 만난 아이클라우드 캘린더 초대장을 iOS 기기에서 수신하면 알림이나 프롬프트 없이 자동으로 사용자 캘린더에 일정이 추가된다. 여기에 악성코드를 포함하면 피해자 조작 없이 아이폰을 해킹할 수 있다.
시티즌랩 측은 이 아이클라우드 캘린더 초대장은 단말에 통지를 하지 않기 때문에 피해자는 자신이 공격을 받고 있다는 걸 인식할 수 없다고 지적한다. 시티즌랩 분석으로 판명된 레인 기능 목록을 보면 통화 음성 녹음, 마이크 음성 녹음, 기기 전면 혹은 배면 카메라 사진 촬영, 아이클라우드 키체인으로부터 암호 정보 절취 혹은 삭제일 아이클라우드 시간 기반 1회용 비밀번호 로그인 코드 생성. 앞으로 날짜에 유효한 이중 인증 코드 생성에 사용되며 아이클라우드에서 직접 사용자 데이터를 영구 도용하는 걸 용이하게 하는데 사용된 것으로 추측된다. 다음은 SQL 데이터베이스에서 쿼리 실행. 또 제로클릭 익스플로잇으로 남아 있을 수 있는 흔적 삭제. 장치 위치 정보를 추적. 지정된 특성과 일치하는 파일 검색을 포함한 다양한 파일 시스템 작업 수행.
레인은 단말로부터 정보를 훔친 뒤에 자신의 파일 데이터를 삭제해 피해자 아이폰상으로부터 모든 트래픽을 삭제하는 것으로 모든 흔적을 소거하도록 설계되고 있다고 한다. 하지만 레인을 추적할 수 있는 흔적도 남아 있으며 이를 시티즌랩 측은 엑토플라즘 팩터(Ectoplasm Factor)라고 부른다. 시티즌랩은 불가리아, 체코, 헝가리, 가나, 이스라엘, 멕시코, 루마니아, 싱가포르, 아랍에미티르연방, 우즈베키스탄 등을 포함한 여러 국가에서 쿼드림 서버를 발견했다고 보고하고 있다.
시티즌랩 연구팀은 북미와 중앙아시아, 동남아시아, 유럽, 중동에서 쿼드림 스파이웨어와 익스플로잇 피해를 입은 적어도 피해자 5명을 파악하는데 성공했다며 피해자는 기자, 야당 관계자, 비정부조직 직원 등이 포함된다며 피해자명을 공표할 수 없다고 밝혔다.
레인 같은 스파이웨어는 타깃이 뭘 개발하고 있는지 감시하기 위해 사용되는 것으로 국가로부터 지원을 받고 있는 경우는 개발비가 수십억 원에 달할 수 있다고 한다. 따라서 시티즌랩은 레인 같은 스파이웨어가 대다수 아이폰 사용자를 대상으로 사이버 공격을 수행하지 않는다며 레인 같은 스파이웨어가 일반 시민에게 영향을 미칠 가능성은 적다고 말한다. 또 시티즌랩에 따르면 쿼드림은 인리치(InReach)라고 불리는 사이프러스 거점 기업을 이용해 상용 스파이웨어를 판매하고 있다고 한다. 스파이웨어 업계에서 일헀다는 익명 인물은 쿼드림은 이스라엘 규제 당국을 피하기 위해 인리치를 사용하고 있다고 한다. 그 밖에 정보통은 쿼드림 시스템은 현재 멕시코어에서 가장 중요한 시스템이라고 말해 쿼드림 스파이웨어가 멕시코 대통령에 의해 이용되고 있어 명목상 멕시코시티 지방정부를 조용하게 유지하기 위해 이용되고 있는 것도 밝혔다.
더구나 쿼드림은 최근 안드로이드 부문을 폐쇄하고 현재는 iOS에만 주력하고 있다고 한다. 쿼드림은 지명도가 낮은 스파이웨어 개발 기업이지만 NSO 그룹이 개발한 스파이웨어 페가수스에서 이용된 제로클릭 익스플로잇(FORCEDENTRY)을 이용하고 있었다고 한다.
또 시티즌랩은 상업용 스파이웨어 통제 불가능한 확산이 정부 조직적 규제에 의해 성공적으로 억제될 때까지 스파이웨어 악용 사례가 계속 증가할 가능성이 있다고 밝혔다. 애플 관계자는 ENDOFDAYS에 대응한 업데이트를 발표한 2021년 3월 이후 해당 제로데이 취약성이 악용된 흔적은 없다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.