Featured articles en vedette Artículos Artigos destacados Ausgewählte Artikel Articoli in evidenza

04/10/2021

Un logiciel espion avancé de la société israélienne Candiru a été découvert sur des ordinateurs russes, turcs et palestiniens

 Amitai Ziv, Haaretz, 3/10/2021
Traduit par Fausto Giudice, Tlaxcala

Le logiciel malveillant très ciblé est vendu par l'entreprise israélienne à des clients qui l'utilisent pour espionner des journalistes, des dissidents et d'autres personnes, indique la société de cybersécurité ESET dans un nouveau rapport.

Un logiciel espion fabriqué par Candiru, une société d'outils de piratage basée à Tel-Aviv, a été découvert sur plusieurs ordinateurs en Europe et au Moyen-Orient, a indiqué la société de cybersécurité ESET.

L'entrée du bureau de Candiru à Tel Aviv, en 2018. Photo : Ofer Vaknin

Dans son rapport de septembre, ESET écrit que selon les recherches publiées par Citizen Lab et le Microsoft Threat Intelligence Center en juillet au sujet du maliciel Devils Tongue de Candiru, celui-ci est "vendu à des tiers, qui peuvent en abuser pour espionner diverses victimes, notamment des défenseurs des droits humains, des dissidents, des journalistes, des militants et des politiciens".

Selon le rapport, les chercheurs d'ESET ont "découvert des indications du maliciel DevilsTongue dans nos données de télémétrie, affectant environ 10 ordinateurs" en Albanie, en Russie et au Moyen-Orient. Le malware a été trouvé en Israël, dans les territoires palestiniens, en Turquie et dans d'autres parties de la région.

Il indique également que "le maliciel est très ciblé : chaque victime de DevilsTongue que nous avons identifiée disposait d'un échantillon personnalisé avec des ressources PE uniques pour cette victime". La mention de l’"obscure firme d'espionnage mercenaire israélienne", comme Candiru est surnommée dans le rapport, est susceptible de perturber les Israéliens.

En juillet, Microsoft et Google ont signalé un certain nombre de vulnérabilités de type "zero-day" découvertes dans le système d'exploitation Windows et dans le populaire navigateur ouèbe Chrome. Candiru avait exploité ces vulnérabilités afin d'attaquer des cibles dans une centaine de pays, de l'Iran et du Liban à l'Espagne et au Royaume-Uni.

Le PDG de Candiru, Eitan Achlow. Photo : Ofer Vaknin

Selon le Citizen Lab, dans cette attaque, les clients de Candiru ont utilisé un certain nombre de domaines, notamment ceux liés au genre et aux droits humains, afin d'implanter des logiciels malveillants dans les navigateurs ouèbe des utilisateurs, tels que blacklivesmatter.info et genderconference.org. Leur objectif était l'ingénierie sociale, c'est-à-dire l'exploitation des vulnérabilités humaines pour amener les gens à cliquer sur des liens et à se rendre sur les sites ouèbe concernés.

Les victimes visées ne sont pas encore définitivement connues. Le rapport du Citizen Lab indique que des militants des droits humains, des dissidents politiques, des journalistes, des défenseurs des droits humains et des politicien·nes figuraient parmi les cibles.

Des découvertes similaires ont été faites concernant une autre société israélienne, NSO, qui partage certains de ses clients avec Candiru. Des pays comme le Qatar, l'Ouzbékistan, l'Arabie saoudite et les Émirats arabes unis semblent avoir soutenu NSO aux côtés de Candiru, en utilisant la technologie de cette dernière pour les ordinateurs PC.

"La présence croissante de Candiru et l'utilisation de sa technologie de surveillance contre la société civile mondiale nous rappellent avec force que l'industrie des logiciels espions mercenaires compte de nombreux acteurs et est sujette à des abus généralisés", indique Citizen Lab dans son rapport.

Microsoft a corrigé les failles découvertes par le biais d'une mise à jour logicielle peu après leur découverte. La société n'a pas attribué directement les exploits à Candiru, mais l'a désigné comme un "acteur offensif du secteur privé basé en Israël" sous le nom de code Sourgum.

Aucun commentaire: