Les pirates utilisant des logiciels espions faites par une société de cybermercenaires peu connue ont utilisé des invitations de calendrier malveillantes pour pirater les iPhones de journalistes, de personnalités de l’opposition politique et d’un employé d’une ONG, selon deux rapports.

Des chercheurs de Microsoft et du groupe de défense des droits numériques Citizen Lab ont analysé des échantillons de logiciels malveillants qui, selon eux, ont été créés par QuaDream, un fabricant de logiciels espions israélien qui aurait développé des exploits sans clic, c’est-à-dire des outils de piratage qui n’exigent pas que la cible clique sur des logiciels malveillants. liens – pour les iPhones.

QuaDream a pu voler principalement sous le radar jusqu’à récemment. En 2021, le journal israélien Haaretz signalé que QuaDream vendait ses marchandises à l’Arabie Saoudite. L’année suivante, Reuters a rapporté que QuaDream avait vendu un exploit pour pirater des iPhones similaire à celui fourni par NSO Group, et que la société ne fonctionne pas les logiciels espions, ses clients gouvernementaux le font – une pratique courante dans l’industrie des technologies de surveillance.

Les clients de QuaDream exploitaient des serveurs dans plusieurs pays du monde : Bulgarie, République tchèque, Hongrie, Roumanie, Ghana, Israël, Mexique, Singapour, Émirats arabes unis (EAU) et Ouzbékistan, selon les analyses Internet effectuées par Citizen Lab.

Les deux Laboratoire citoyen et Microsoft a publié mardi de nouveaux rapports techniques révolutionnaires sur les logiciels espions présumés de QuaDream.

Publicité

Microsoft a déclaré avoir trouvé les échantillons originaux de logiciels malveillants, puis les avoir partagés avec les chercheurs de Citizen Lab, qui ont pu identifier plus de cinq victimes – un employé d’une ONG, des politiciens et des journalistes – dont les iPhones ont été piratés. L’exploit utilisé pour pirater ces cibles a été développé pour iOS 14, et à l’époque n’était pas corrigé et inconnu d’apple, ce qui en fait un soi-disant zero-day. Les pirates du gouvernement qui étaient équipés de l’exploit de QuaDream ont utilisé des invitations de calendrier malveillantes avec des dates dans le passé pour livrer le malware, selon Citizen Lab.

Ces invitations n’ont pas déclenché de notification sur le téléphone, ce qui les a rendues invisibles pour la cible, a déclaré à fr.techtribune.net Bill Marczak, chercheur principal au Citizen Lab qui a travaillé sur le rapport.

Le porte-parole d’Apple, Scott Radcliffe, a déclaré qu’il n’y avait aucune preuve montrant que l’exploit découvert par Microsoft et Citizen Lab avait été utilisé après mars 2021, lorsque la société a publié une mise à jour.

Citizen Lab ne nomme pas les victimes car elles ne veulent pas être identifiées. Marczak a déclaré qu’ils se trouvaient tous dans des pays différents, ce qui rend plus difficile la sortie des victimes.

« Personne ne veut nécessairement être le premier dans sa communauté à sortir et à dire » oui, j’ai été ciblé «  », a-t-il déclaré, ajoutant que c’est généralement plus facile si les victimes sont toutes dans le même pays et font partie de la même communauté. ou groupe.

Avant que Microsoft ne contacte Citizen Lab, Marczak a déclaré que lui et ses collègues avaient identifié plusieurs personnes ciblées par un exploit similaire à celui utilisé par les clients du groupe NSO en 2021, connu sous le nom d’ENTRÉE FORCÉE. À l’époque, Marczak et ses collègues ont conclu que ces personnes étaient ciblées avec un outil fabriqué par une autre société, pas NSO Group.

Carte Des Emplacements Présumés Des Opérateurs Quadream

Crédits image : Le laboratoire citoyen

Les échantillons analysés incluent la charge utile initiale, qui est conçue pour ensuite Télécharger le logiciel malveillant réel – le deuxième échantillon – s’il se trouve sur l’appareil de la cible visée. La charge utile finale enregistre les appels téléphoniques, enregistre subrepticement l’audio à l’aide du microphone du téléphone, prend des photos, vole des fichiers, suit l’emplacement granulaire de la personne et supprime les traces médico-légales de sa propre existence, entre autres fonctionnalités, selon Citizen Lab et Microsoft.

Pourtant, les chercheurs de Citizen Lab ont déclaré que le logiciel malveillant laissait certaines traces qui leur permettaient de suivre le logiciel espion de QuaDream. Les chercheurs ont déclaré qu’ils ne voulaient pas révéler quelles sont ces traces afin de conserver leur capacité à suivre le malware. Ils ont appelé les traces de logiciels malveillants le «facteur ectoplasme», un nom qui, selon Marczak, a été inspiré par une quête du jeu populaire Stardew Valley, auquel il dit jouer.

Les chercheurs du Citizen Lab ont également affirmé que QuaDream utilise une société basée à Chypre appelée InReach pour vendre ses produits.

Une personne qui a travaillé dans l’industrie des logiciels espions a confirmé à fr.techtribune.net que QuaDream a utilisé InReach « pour contourner le [export] régulateur. » Par exemple, la personne a dit que c’est ainsi que QuaDream s’est vendu à l’Arabie saoudite.

Cette solution de contournement, cependant, ne leur a apparemment pas permis de contourner complètement les réglementations.

« [QuaDream] avait quatre accords signés avec des pays d’Afrique (le Maroc et quelques autres) mais à cause du changement de la réglementation en Israël (limité à seulement 36 pays), ils n’ont pas pu les livrer », a déclaré la personne, qui a demandé à rester anonyme pour discuter des détails sensibles de l’industrie.

La source a déclaré qu’en plus de l’Arabie saoudite, QuaDream a également vendu au Ghana, aux Émirats arabes unis, à l’Ouzbékistan et à Singapour, son premier client. En outre, la personne a ajouté que « leur système est le système le plus important au Mexique actuellement », il est exploité par le président du pays, et il a été nominalement vendu au gouvernement local de Mexico, « pour le garder silencieux ».

Le consulat du Mexique à New York n’a pas répondu à une demande de commentaire.

Selon la source, QuaDream « a récemment fermé sa division android et se concentre désormais uniquement sur iOS ».

Citizen Lab a nommé plusieurs personnes qui travailleraient prétendument pour QuaDream ou InReach. Aucun d’entre eux, sauf un, n’a répondu à une demande de commentaire de fr.techtribune.net. La personne qui a répondu a déclaré qu’il n’avait aucun lien avec QuaDream et que son nom avait été associé à tort à l’entreprise dans le passé.

La découverte du malware de QuaDream montre une fois de plus que l’industrie des logiciels espions – autrefois dominée par Hacking Team et FinFisher – n’est pas seulement composée de NSO Group mais de plusieurs autres sociétés, dont la plupart volent encore sous le radar.

« Il existe un écosystème plus large de ces entreprises et cibler des entreprises individuelles n’est pas nécessairement la stratégie optimale pour maîtriser l’industrie », a déclaré Marczak.

Dans un article de blog accompagnant le rapport de Microsoft, Amy Hogan-Burney, directrice générale de l’entreprise et avocate générale associée pour la politique et la protection de la cybersécurité, a écrit que « la croissance explosive des entreprises privées » cybermercenaires « constitue une menace pour la démocratie et les droits de l’homme dans le monde ».

« Alors que l’industrie technologique construit et entretient la majorité de ce que nous considérons comme le » cyberespace « , nous, en tant qu’industrie, avons la responsabilité de limiter les dommages causés par les cybermercenaires », a écrit Hogan-Burney. «Ce n’est qu’une question de temps avant que l’utilisation des outils et des technologies qu’ils vendent ne se répande encore plus. Cela pose un risque réel pour les droits de l’homme en ligne, mais aussi pour la sécurité et la stabilité de l’environnement en ligne au sens large. Les services qu’ils offrent nécessitent des cybermercenaires pour stocker des vulnérabilités et rechercher de nouvelles façons d’accéder aux réseaux sans autorisation. Leurs actions n’ont pas seulement un impact sur l’individu qu’elles ciblent, mais laissent des réseaux et des produits entiers exposés et vulnérables à de nouvelles attaques. Nous devons agir contre cette menace avant que la situation ne dégénère au-delà de ce que l’industrie technologique peut gérer. »


Avez-vous plus d’informations sur QuaDream ? Ou un autre fournisseur de technologie de surveillance ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram and Wire @lorenzofb, ou par e-mail lorenzo@techcrunch.com. Vous pouvez également contacter fr.techtribune.net via SecureDrop.

5/5 - (38 votes)
Publicité
Article précédentCasting des acteurs des Gardiens de la Galaxie dans l’univers DC
Article suivantLa nouvelle montre One UI 5 montre un premier aperçu de la prochaine montre Galaxy Watch – Samsung Newsroom France
Berthe Lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici