Analyse Les correctifs logiciels de Microsoft cette semaine ont fermé deux vulnérabilités exploitées par des logiciels espions qui auraient été vendus aux gouvernements par le développeur israélien Candiru.

Jeudi, Citizen Lab a publié un rapport doigté Candiru comme le fabricant de la boîte à outils d’espionnage, une tenue Microsoft portant le nom de code Sourgum. Il est entendu que le logiciel espion, nommé DevilsTongue par Microsoft, a exploité au moins une paire de failles zero-day dans Windows pour infecter les machines de cibles particulières.

Redmond a déclaré qu’au moins 100 personnes – des politiciens, des militants des droits de l’homme et des journalistes, aux universitaires, aux employés des ambassades et aux dissidents politiques – ont vu leurs systèmes infiltrés par le code de Sourgum ; environ la moitié se trouve en Palestine, et le reste se trouve en Israël, en Iran, au Liban, au Yémen, en Espagne, au Royaume-Uni, en Turquie, en Arménie et à Singapour.

Une fois qu’il a complètement compromis un PC Windows, DevilsTongue peut exfiltrer les fichiers de la victime, obtenir ses identifiants de connexion pour les comptes en ligne et réseau, espionner les messages de discussion, et plus encore. Candiru vante également les logiciels espions qui peuvent infecter et surveiller les iPhones, les appareils Android et les Mac, ainsi que les PC Windows, affirme-t-on. Les produits seraient en vente à des agences gouvernementales et à d’autres organisations, qui utilisent ensuite le logiciel d’espionnage contre leurs cibles choisies.

« L’apparente présence généralisée de Candiru, et l’utilisation de sa technologie de surveillance contre la société civile mondiale, est un rappel puissant que l’industrie des logiciels espions mercenaires contient de nombreux acteurs et est sujette à des abus généralisés », a déclaré Citizen Lab, qui fait partie de l’Université de Toronto. son rapport.

« Cette affaire démontre, encore une fois, qu’en l’absence de garanties internationales ou de contrôles gouvernementaux stricts à l’exportation, les vendeurs de logiciels espions vendront à des clients gouvernementaux qui abuseront régulièrement de leurs services. »

On nous dit qu’au moins 764 noms de domaine ont été trouvés qui ont probablement été utilisés d’une manière ou d’une autre pour transmettre le malware de Candiru aux victimes : des sites Web utilisant ces domaines se sont généralement fait passer pour des sites légitimes appartenant à Amnesty International et à des organisations de réfugiés, aux Nations Unies, à des sites Web gouvernementaux, les médias et les communautés Black Lives Matter. L’idée étant, semble-t-il, d’attirer les visiteurs vers des pages Web qui exploitent les bogues du navigateur, de Microsoft Office et de Windows non seulement pour infecter les PC avec DevilsTongue, mais également pour accorder un accès au niveau administrateur du logiciel espion.

Comment se passe ce patch ?

Microsoft a pu corriger les failles du système d’exploitation exploitées par le logiciel de Candiru en le Patch Tuesday de ce mois-ci après que Citizen Lab ait obtenu un disque dur d’une « victime politiquement active en Europe occidentale », a-t-il déclaré. Redmond a procédé à une ingénierie inverse du logiciel espion pour comprendre le processus d’infection.

Le goliath de Windows a constaté que deux vulnérabilités d’escalade de privilèges, CVE-2021-31979 et CVE-2021-33771, étaient exploités et les ont corrigés cette semaine.

« Les armes mises hors service étaient utilisées dans des attaques de précision ciblant plus de 100 victimes dans le monde, notamment des politiciens, des militants des droits humains, des journalistes, des universitaires, des employés d’ambassade et des dissidents politiques. mentionné Cristin Goodwin, directeur général de l’unité de sécurité numérique de Microsoft.

Chez Redmond aperçu technique du logiciel espion, il a déclaré que le logiciel malveillant DevilsTongue prendrait pied sur un système en exploitant des failles, par exemple, dans le navigateur de l’utilisateur lorsqu’il visitait un site piégé, puis utiliserait les trous d’élévation des privilèges susmentionnés pour entrer dans le noyau et gagnez le contrôle total de la boîte.

Le logiciel méchant, une fois sur un PC Windows, est capable de collecter tous les cookies de session et mots de passe des navigateurs, et peut prendre le contrôle des comptes de réseaux sociaux et des applications tierces. Il comportait plusieurs nouvelles fonctionnalités conçues pour éviter la détection, ce qui a conduit Microsoft à conclure que les « développeurs sont très professionnels, ont une vaste expérience dans l’écriture de logiciels malveillants Windows et ont une bonne compréhension de la sécurité opérationnelle ».

Chocolate Factory arrive, prévient que ce n’est pas fini

Google, quant à lui, cette semaine détaillé un tas de bogues qu’il a détectés étant exploités par des pages Web et des documents malveillants pour obtenir l’exécution de code sur les machines des internautes.

Il semblerait que DevilsTongue soit exploité CVE-2021-21166 et CVE-2021-30551 dans Chrome, et CVE-2021-33742 dans le moteur de script MSHTML d’Internet Explorer – utilisé par Microsoft Office, par exemple – et les a enchaînés avec les bogues Windows ci-dessus pour s’installer sur le PC de la victime et obtenir un accès de niveau administrateur aux données et aux applications. Tout ce qu’une victime aurait à faire est de naviguer vers une page piégée dans Chrome ou d’ouvrir un document conçu de manière malveillante dans Office.

Ces défauts ont déjà été corrigés. « Sur la base de notre analyse, nous estimons que les exploits Chrome et Internet Explorer … ont été développés et vendus par le même fournisseur fournissant des capacités de surveillance aux clients du monde entier », ont noté les Googleurs Maddie Stone et Clement Lecigne, ajoutant : « Citizen Lab a publié un rapport liant l’activité au vendeur de logiciels espions Candiru. »

Google a également documenté une faille d’exécution de code à distance sans rapport dans le moteur Webkit de Safari pour faire bonne mesure.

On nous dit que les failles de Chrome ont été repérées et exploitées pour réquisitionner des ordinateurs Windows en Arménie. Les marques seraient attirées vers des sites Web qui analysaient leur résolution d’écran, leur fuseau horaire, les langues prises en charge, les plug-ins de navigateur et les types MIME disponibles pour décider de compromettre ou non leur navigateur.

« Ces informations ont été collectées par les attaquants pour décider si un exploit doit être livré ou non à la cible », a déclaré le groupe d’analyse des menaces (TAG) de Google. « En utilisant des configurations appropriées, nous avons pu récupérer deux exploits zero-day. »

Une enquête plus approfondie a révélé que les utilisateurs arméniens de Windows étaient ciblés via la faille Internet Explorer susmentionnée. Cela serait déclenché par l’ouverture d’un document Office contenant soit un objet ActiveX malveillant, soit une macro VBA. Microsoft a résolu ce problème le mois dernier.

Fais qu’il pleuve

Candiru est opérationnel depuis 2014 et nous rappelle un autre équipement de surveillance israélien : Groupe ONS. C’est une entreprise lucrative, à en juger par un contrat obtenu par Citizen Lab.

L’accord, évalué à 16,85 millions d’euros (20 millions de dollars), offre un nombre illimité de tentatives d’injection de logiciels malveillants, mais uniquement la possibilité de surveiller directement dix appareils dans un pays. Un montant supplémentaire de 1,5 million d’euros (1,8 million de dollars) donne accès à 15 autres appareils, et pour 5,5 millions d’euros (6,5 millions de dollars), les acheteurs peuvent fouiner sur 25 combinés dans cinq pays maximum.

Il existe également des extras optionnels payants pour accéder à des comptes spécifiques. Si vous voulez les messages Signal d’une cible, cela vous coûtera 500 000 € supplémentaires (590 000 $). Candiru offre également un accès à Twitter, Viber et WeChat d’une victime pour environ la moitié de ce montant. La formation pour quatre administrateurs et huit opérateurs est incluse dans le prix.

Citizen Lab a déclaré que Candiru semble avoir changé de nom cinq fois au cours des sept dernières années et maintient un profil très bas. Un ex-employé poursuivre la société pour perte de commission a affirmé qu’il avait 30 millions de dollars de revenus en 2017, et les affaires sont bonnes grâce à la licence d’exportation de l’organisation.

« Le ministère israélien de la Défense – dont les entreprises basées en Israël comme Candiru doivent recevoir une licence d’exportation avant de vendre à l’étranger – s’est jusqu’à présent montré réticent à soumettre les entreprises de surveillance au type d’examen rigoureux qui serait nécessaire pour empêcher des abus du genre de ceux que nous et d’autres organisations ont identifié », a déclaré Citizen Lab.

« Le processus d’octroi de licences d’exportation dans ce pays est presque entièrement opaque, manquant même des mesures les plus élémentaires de responsabilité publique ou de transparence. »

On se demande comment ce logiciel espion volerait en Amérique. Facebook est poursuivre le groupe NSO, l’accusant de compromettre illégalement les téléphones des utilisateurs pour les fouiner via une faille de sécurité dans WhatsApp.

Les avocats de NSO ont utilisé une variété d’arguments juridiques, affirmant qu’elle ne concédait sous licence son logiciel aux gouvernements qu’à des fins criminelles ou antiterroristes et qu’elle avait donc une immunité souveraine, pas de présence sur le marché américain, et prétendant que Facebook lui-même essayé d’acheter le snoopware Pegasus de la société, mais a été refusé. À un moment donné, NSO n’a même pas pris la peine de Venez en cour.

L’affaire est en cours. Le sénateur américain Ron Wyden (D-OR) a appeler pour une enquête sur les produits de NSO présentés aux forces de l’ordre. ®