QuaDream, zeiden de bronnen, is een kleinere en minder opvallende Israëlische firma die ook smartphone-hacktools ontwikkelt die voor overheidsklanten bestemd zijn.

De twee rivaliserende bedrijven hebben vorig jaar dezelfde mogelijkheid gekregen om op afstand in te breken in iPhones, aldus de vijf bronnen, wat betekent dat beide firma's Apple telefoons konden compromitteren zonder dat een eigenaar een kwaadaardige link hoefde te openen. Dat twee firma's dezelfde geraffineerde hacktechniek gebruikten - bekend als een "zero-click" - toont aan dat telefoons kwetsbaarder zijn voor krachtige digitale spionagetools dan de industrie wil toegeven, zei een deskundige.

"De mensen willen geloven dat zij veilig zijn, en de telefoonbedrijven willen dat u gelooft dat zij veilig zijn. Wat we geleerd hebben is, dat ze dat niet zijn," zei Dave Aitel, een partner bij Cordyceps Systems, een cyberbeveiligingsbedrijf.

Deskundigen die sinds vorig jaar de inbraken van NSO Group en QuaDream analyseren, denken dat de twee bedrijven zeer vergelijkbare software-exploits, bekend onder de naam ForcedEntry, hebben gebruikt om iPhones te kapen.

Een exploit is computercode die ontworpen is om gebruik te maken van een reeks specifieke softwarekwetsbaarheden, waardoor een hacker ongeoorloofde toegang krijgt tot gegevens.

De analisten dachten dat de exploits van NSO en QuaDream vergelijkbaar waren, omdat zij gebruik maakten van veel van dezelfde kwetsbaarheden die diep in het instant messaging platform van Apple waren verborgen, en een vergelijkbare aanpak gebruikten om kwaadaardige software op gerichte toestellen te planten, aldus drie van de bronnen.

Bill Marczak, een beveiligingsonderzoeker van de digitale waakhond Citizen Lab, die de hacktools van beide bedrijven heeft bestudeerd, zei tegen Reuters dat de zero-click mogelijkheid van QuaDream "op gelijke voet" leek te staan met die van NSO.

Reuters heeft herhaaldelijk geprobeerd QuaDream te bereiken voor commentaar, door berichten te sturen naar leidinggevenden en zakenpartners. Een Reuters journalist bezocht vorige week het kantoor van QuaDream, in de buitenwijk van Ramat Gan in Tel Aviv, maar niemand beantwoordde de deur. De Israëlische advocate Vibeke Dank, wier e-mail op het bedrijfsregistratieformulier van QuaDream stond, antwoordde ook niet op herhaalde berichten.

Een woordvoerder van Apple weigerde commentaar te geven op QuaDream of te zeggen welke actie zij eventueel van plan zijn te ondernemen ten aanzien van het bedrijf.

ForcedEntry wordt gezien als "een van de technisch meest geraffineerde exploits" die ooit door beveiligingsonderzoekers zijn buitgemaakt.

De twee versies van ForcedEntry leken zo sterk op elkaar, dat toen Apple in september 2021 de onderliggende fouten herstelde, dit zowel de spionagesoftware van NSO als die van QuaDream onwerkzaam maakte, volgens twee mensen die met de zaak vertrouwd zijn.

In een schriftelijke verklaring zei een woordvoerster van NSO dat het bedrijf "niet heeft samengewerkt" met QuaDream, maar dat "de cyberinlichtingenindustrie wereldwijd snel blijft groeien."

Apple klaagde NSO Group aan over ForcedEntry in november, en beweerde dat NSO de gebruikersvoorwaarden en de dienstenovereenkomst van Apple had geschonden. De zaak bevindt zich nog in het beginstadium.

In zijn rechtszaak zei Apple dat het "voortdurend en met succes een verscheidenheid aan hackpogingen afslaat." NSO heeft elk wangedrag ontkend.

Spywarebedrijven hebben lang betoogd dat zij krachtige technologie verkopen om regeringen te helpen nationale veiligheidsdreigingen te dwarsbomen. Maar mensenrechtengroeperingen en journalisten hebben herhaaldelijk het gebruik van spyware gedocumenteerd om de burgermaatschappij aan te vallen, de politieke oppositie te ondermijnen, en verkiezingen te verstoren.

Apple heeft in november duizenden ForcedEntry-doelwitten op de hoogte gebracht, waardoor verkozen functionarissen, journalisten en mensenrechtenactivisten over de hele wereld beseften dat zij onder toezicht waren geplaatst.

In Oeganda, bijvoorbeeld, werd NSO's ForcedEntry gebruikt om Amerikaanse diplomaten te bespioneren, meldde Reuters .

Naast de rechtszaak tegen Apple, is ook WhatsApp van Meta aan het procederen over het vermeende misbruik van zijn platform. In november werd NSO door het Amerikaanse ministerie van Handel op een zwarte handelslijst geplaatst wegens bezorgdheid over de mensenrechten.

In tegenstelling tot NSO heeft QuaDream zich minder geprofileerd, hoewel het enkele van dezelfde regeringsklanten bedient. Het bedrijf heeft geen website waarop het zijn activiteiten aanprijst en de werknemers is verteld dat zij elke verwijzing naar hun werkgever van de sociale media moeten houden, volgens een persoon die met het bedrijf bekend is.

REIGN

QuaDream werd in 2016 opgericht door Ilan Dabelstein, een voormalige Israëlische militaire ambtenaar, en door twee voormalige NSO-werknemers, Guy Geva en Nimrod Reznik, volgens Israëlische bedrijfsdocumenten en twee personen die met het bedrijf vertrouwd zijn. Reuters kon de drie leidinggevenden niet bereiken voor commentaar.

Net als NSO's Pegasus spyware, zou QuaDream's vlaggenschipproduct - REIGN genaamd - de controle over een smartphone kunnen overnemen, en instantberichten opscheppen van diensten als WhatsApp, Telegram, en Signal, evenals e-mails, foto's, teksten en contacten, volgens twee productbrochures uit 2019 en 2020 die door Reuters werden ingezien.

Tot de "Premium Collection" mogelijkheden van REIGN behoorden de "real time gespreksopnamen", "camera-activering - voor en achter" en "microfoon-activering", aldus een brochure.

De prijzen bleken te variëren. Eén QuaDream systeem, dat klanten de mogelijkheid zou hebben gegeven om 50 smartphone-inbraken per jaar te lanceren, werd aangeboden voor $2,2 miljoen exclusief onderhoudskosten, volgens de brochure van 2019. Twee mensen die bekend zijn met de verkoop van de software zeiden dat de prijs voor REIGN doorgaans hoger was.

In de loop der jaren hebben QuaDream en NSO Group een aantal van dezelfde ingenieurstalenten in dienst gehad, volgens drie personen die met de zaak vertrouwd waren. Twee van die bronnen zeiden dat de bedrijven niet samenwerkten bij hun iPhone-hacks, en hun eigen manieren bedachten om van de zwakke plekken gebruik te maken.

Verschillende van QuaDream's kopers hebben ook overlappingen gehad met die van NSO, zeiden vier van de bronnen, waaronder Saudi-Arabië en Mexico - die beide beschuldigd zijn van misbruik van spionagesoftware om politieke tegenstanders aan te pakken.

Een van de eerste klanten van QuaDream was de Singaporese regering, zeiden twee van de bronnen, en uit documentatie die door Reuters werd bestudeerd blijkt dat de surveillancetechnologie van het bedrijf ook aan de Indonesische regering werd gepromoot. Reuters kon niet vaststellen of Indonesië een klant is geworden.

Mexicaanse, Singaporese, Indonesische en Saudische ambtenaren hebben niet gereageerd op berichten die om commentaar over QuaDream vroegen.