Le groupe d’analyse des menaces de Google a fourni de nouvelles informations sur les différentes astuces utilisées par les fournisseurs de surveillance pour diffuser les logiciels espions Android.

S’exprimant à l’ Chapeau noir 2022 Mercredi, les chercheurs de Google ont détaillé une paire d’attaques d’exploits enchaînées qui ont, jusqu’à récemment, permis aux fabricants de logiciels malveillants de surveillance d’installer secrètement leurs logiciels espions sur les appareils de cibles involontaires.

Les chercheurs du Threat Analysis Group (TAG) ont déclaré que, bien que la plupart des rapports ne se concentrent que sur un ou deux fournisseurs de logiciels de surveillance, tels que Groupe NSO, l’écosystème des outils de logiciels espions secrets est, en fait, beaucoup plus grand que beaucoup ne le pensent. TAG a déclaré que son équipe à elle seule suit et catalogue plus de 30 fournisseurs différents.

En plus d’utiliser leur propre jour zéro exploits et techniques, les chercheurs ont déclaré que certains des fournisseurs ont également commencé à collaborer les uns avec les autres pour rendre leurs attaques encore plus efficaces.

« C’est une industrie très effrayante avec beaucoup de groupes impliqués », a déclaré Christian Resell, ingénieur en sécurité chez TAG. « Certains de ces groupes partagent ou vendent des exploits entre eux. Il y a beaucoup de coopération ici. »

Publicité

Les chercheurs du TAG ont noté que, avec de nombreuses attaques, plusieurs exploits sont enchaînés et commencent par avoir un peu plus de contact avec la cible que la possibilité d’envoyer un lien hypertexte à usage unique ou une URL unique.

Dans une démonstration, l’équipe TAG a montré comment une attaque de malware de surveillance s’était enchaînée CVE-2021-38003 et CVE-2021-1048 pour permettre à un site d’attaque de s’échapper du bac à sable de Chrome, puis d’entrer dans le composant Libc Android.

« Vous obtenez l’exécution de code pour chaque processus qui utilise Libc, ce qui est tout », a expliqué Resell.

Une fois que l’attaquant a exécuté du code, il lance un shell distant et installe des logiciels malveillants courants de collecte de données pour collecter des éléments tels que les interactions sur les réseaux sociaux et les messages texte.

Bien que les failles aient depuis été corrigées, les attaquants sont toujours en mesure de tirer parti des appareils dont les propriétaires ont pris du retard sur leurs correctifs. De nombreux fournisseurs de surveillance prennent l’empreinte digitale des équipements cibles, puis sélectionnent des exploits spécifiques en fonction du logiciel système et de la version des appareils.

D’autres attaques sont plus techniques et difficiles à réaliser. L’ingénieur en sécurité de Google, Xingyu Jin, a montré comment un fournisseur de surveillance connu sous le nom de Wintego a pu tirer parti de la vulnérabilité Linux d’utilisation après libération, CVE-2021-0920, pour installer des logiciels espions Android.

Révélé par Google en novembre de l’année dernière, CVE-2021-0920 décrit une vulnérabilité dans la façon dont le noyau Linux traite les descripteurs de fichiers au moyen d’un composant de garbage collection. En ciblant spécifiquement la façon dont les descripteurs de fichiers sont envoyés vers et depuis le noyau, un attaquant pourrait potentiellement injecter du code.

Le résultat final est une condition de course qui, bien que difficile à exploiter de manière fiable, comporte le gain massif de laisser l’attaquant échapper à toutes les protections sandbox de Google et exécuter du code avec tous les privilèges.

Dans un article de blog qui l’accompagnait mercredi, Jin a expliqué comment CVE-2021-0920 était particulièrement dangereux car il a persisté pendant plusieurs années après avoir été découvert et signalé par un développeur Red Hat. Et, malheureusement, le rapport de vulnérabilité était contenu dans un échange de courriels public.

« Le bogue a été repéré publiquement en 2016, mais malheureusement, la communauté du noyau Linux n’a pas accepté le correctif à ce moment-là », a écrit Jin. « Tous les acteurs de la menace qui ont vu le fil de discussion public peuvent avoir une chance de développer un LPE [local privilege escalation] exploit contre le noyau Linux. »

Qu’il s’agisse d’exploits connus ou de zero days de pointe, les chercheurs du TAG ont déclaré que le résultat est le même pour bon nombre de ces attaques: un contrôle total sur l’appareil cible, ce qui permet aux fournisseurs de surveillance de présenter aux clients la possibilité d’espionner secrètement leurs cibles sans déclencher de notifications ou d’alertes de sécurité.

Rate this post
Publicité
Article précédentLes services critiques 5G stimulent la productivité et l’efficacité des opérations industrielles
Article suivantCodes Tatakai Reborn – Mise à jour V.2 Trainers !
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici