Deux des failles Windows zero-day corrigées par Microsoft dans le cadre de sa mise à jour Patch Tuesday plus tôt cette semaine ont été militarisées par une société israélienne appelée Candiru dans une série d' »attaques de précision » pour pirater plus de 100 journalistes, universitaires, militants, et les dissidents politiques dans le monde.
Le fournisseur de logiciels espions a également été officiellement identifié comme la société de surveillance commerciale que le groupe d’analyse des menaces de Google (TAG) a révélée comme exploitant plusieurs vulnérabilités zero-day dans le navigateur Chrome pour cibler les victimes situées en Arménie, selon un rapport publié par le Citizen Lab de l’Université de Toronto. .
« CandiruLa présence apparente généralisée de et l’utilisation de sa technologie de surveillance contre la société civile mondiale, est un rappel puissant que l’industrie des logiciels espions mercenaires contient de nombreux acteurs et est sujette à des abus généralisés », chercheurs de Citizen Lab mentionné. « Cette affaire démontre, encore une fois, qu’en l’absence de garanties internationales ou de contrôles gouvernementaux stricts à l’exportation, les vendeurs de logiciels espions vendront à des clients gouvernementaux qui abuseront régulièrement de leurs services. »
Fondé en 2014, l’acteur offensif du secteur privé (PSOA) – nommé « Sourgum » par Microsoft – serait le développeur d’une boîte à outils d’espionnage baptisée DevilsTongue, exclusivement vendue aux gouvernements et capable d’infecter et de surveiller un large éventail d’appareils. sur différentes plates-formes, y compris les iPhones, les Android, les Mac, les PC et les comptes cloud.
Citizen Lab a déclaré avoir pu récupérer une copie du logiciel espion Windows de Candiru après avoir obtenu un disque dur d’une « victime politiquement active en Europe occidentale », qui a ensuite été rétro-conçu pour identifier deux exploits Windows 0-day inédits pour les vulnérabilités. suivis comme CVE-2021-31979 et CVE-2021-33771 qui ont été exploités pour installer des logiciels malveillants sur les boîtes des victimes.
La chaîne d’infection reposait sur un mélange d’exploits de navigateur et de Windows, les premiers étant servis via des URL à usage unique envoyées à des cibles sur des applications de messagerie telles que WhatsApp. Microsoft a corrigé les deux failles d’élévation des privilèges, qui permettent à un adversaire d’échapper aux bacs à sable du navigateur et d’obtenir l’exécution du code du noyau, le 13 juillet.
Les intrusions ont abouti au déploiement de DevilsTongue, une porte dérobée modulaire basée sur C/C++ dotée de nombreuses fonctionnalités, notamment l’exfiltration de fichiers, l’exportation de messages enregistrés dans l’application de messagerie cryptée Signal et le vol de cookies et de mots de passe de Chrome, Internet Explorer, Firefox. , les navigateurs Safari et Opera.
L’analyse de l’arme numérique par Microsoft a également révélé qu’elle pouvait abuser des cookies volés des comptes de messagerie et de réseaux sociaux connectés comme Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki et Vkontakte pour collecter des informations, lire les messages de la victime, récupérer des photos et même envoyer des messages en leur nom, permettant ainsi à l’auteur de la menace d’envoyer des liens malveillants directement depuis l’ordinateur d’un utilisateur compromis.
Séparément, le rapport Citizen Lab a également lié les deux vulnérabilités de Google Chrome divulguées par le géant de la recherche mercredi – CVE-2021-21166 et CVE-2021-30551 – la société de Tel Aviv, notant des chevauchements dans les sites Web qui ont été utilisés pour distribuer les exploits. .
En outre, 764 domaines liés à l’infrastructure de logiciels espions de Candiru ont été découverts, de nombreux domaines se faisant passer pour des organisations de défense telles qu’Amnesty International, le mouvement Black Lives Matter, ainsi que des sociétés de médias et d’autres entités sur le thème de la société civile. Certains des systèmes sous leur contrôle étaient exploités depuis l’Arabie saoudite, Israël, les Émirats arabes unis, la Hongrie et l’Indonésie.
Plus de 100 victimes du malware SOURGUM ont été identifiées à ce jour, avec des cibles situées en Palestine, Israël, Iran, Liban, Yémen, Espagne (Catalogne), Royaume-Uni, Turquie, Arménie et Singapour. « Ces attaques ont largement ciblé les comptes des consommateurs, indiquant que les clients de Sourgum poursuivaient des individus en particulier », a déclaré Cristin Goodwin, directrice générale de l’unité de sécurité numérique de Microsoft. mentionné.
Le dernier rapport arrive alors que les chercheurs du TAG, Maddie Stone et Clement Lecigne, ont noté une augmentation du nombre d’attaquants utilisant davantage d’exploits zero-day dans leurs cyber-offensives, en partie alimentée par davantage de fournisseurs commerciaux vendant l’accès aux zero-days qu’au début des années 2010.
« Les acteurs offensifs du secteur privé sont des entreprises privées qui fabriquent et vendent des cyberarmes dans des packages de piratage en tant que service, souvent à des agences gouvernementales du monde entier, pour pirater les ordinateurs, les téléphones, l’infrastructure réseau et d’autres appareils de leurs cibles. » Centre de renseignements sur les menaces Microsoft (MSTIC) mentionné dans un aperçu technique.
« Avec ces packages de piratage, les agences gouvernementales choisissent généralement les cibles et exécutent elles-mêmes les opérations. Les outils, tactiques et procédures utilisés par ces entreprises ne font qu’ajouter à la complexité, à l’échelle et à la sophistication des attaques », a ajouté MSTIC.
