Le fabricant de logiciels de securité Candiru fournirait ses logiciels espions à des clients gouvernementaux,
pour cibler des journalistes, des dissidents politiques et les critiques du régime

La société de cybersécurité Avast a établi un lien entre l'exploitation et Candiru, une société de piratage basée à Tel-Aviv, également connue sous le nom de Saito Tech, qui fournit ses logiciels espions à des clients gouvernementaux. « Nous avons récemment découvert une vulnérabilité de type "zero-day" dans Google Chrome (CVE-2022-2294). Elle a été exploitée dans la nature dans le but d'attaquer les utilisateurs d'Avast au Moyen-Orient. Plus précisément, une grande partie des attaques ont eu lieu au Liban, où des journalistes étaient parmi les personnes visées », déclare Atvas.

Candiru, tout comme le groupe israélien NSO, affirme que son logiciel est conçu pour être utilisé par les organismes gouvernementaux et les forces de l'ordre afin de contrecarrer le terrorisme et les crimes potentiels, mais les chercheurs ont découvert que des régimes autoritaires ont utilisé le logiciel espion pour cibler des journalistes, des dissidents politiques et des critiques de régimes répressifs.

Nom : cybercriminelB.png
Affichages : 745
Taille : 177,2 Ko

La société basée à Tel-Aviv en Israël a été sanctionnée par le département du commerce américain pour avoir mené des activités contraires à la sécurité nationale des États-Unis. Avast dit avoir observé Candiru en mars utilisant l'exploit zero-day de Chrome pour cibler des individus en Turquie, au Yémen et en Palestine ainsi que des journalistes au Liban, où Candiru a compromis un site Web utilisé par les employés d'une agence de presse.

« Nous ne pouvons pas dire avec certitude ce que les attaquants pouvaient rechercher, cependant, la raison pour laquelle les cybercriminels s'en prennent aux journalistes est souvent de les espionner et d'espionner les histoires sur lesquelles ils travaillent directement, ou d'atteindre leurs sources et de recueillir des informations compromettantes et des données sensibles qu'ils ont partagées avec la presse », a déclaré Jan Vojtěšek, chercheur en logiciels malveillants chez Avast. « Une attaque comme celle-ci pourrait constituer une menace pour la liberté de la presse ».

L'exploit zero day Chrome installé sur le site Web de l'agence de presse libanaise a été conçu pour collecter une cinquantaine de points de données à partir du navigateur d'une victime, notamment sa langue, son fuseau horaire, des informations sur l'écran, le type d'appareil, les plugins du navigateur et la mémoire de l'appareil, probablement pour s'assurer que seuls les appareils de ceux qui sont spécifiquement ciblés ont finalement été compromis.

Lorsqu'une cible est trouvée, le zero-day Chrome prend pied sur l'ordinateur de la victime afin de délivrer la charge utile du logiciel espion, que les chercheurs ont baptisé DevilsTongue.

DevilsTongue, comme d'autres logiciels espions exploités au niveau gouvernemental, peut voler le contenu du téléphone d'une victime, y compris les messages, les photos et les journaux d'appels, et suivre l'emplacement de la victime en temps réel.

Avast a divulgué la vulnérabilité, connue sous le nom de CVE-2022-2294, à Google le 1er juillet, avec un correctif quelques jours plus tard, le 4 juillet, avec la sortie de Chrome 103. Rappelons que les identifiants CVE ou Common Vulnerabilities and Exposures sont des références de la forme CVE-AAAA-NNNN (AAAA est l'année de publication et NNNN un numéro d'identifian et le CVE est un dictionnaire des informations publiques relatives aux vulnérabilités de sécurité. Le dictionnaire est maintenu par l'organisme MITRE, soutenu par le département de la Sécurité intérieure des États-Unis.

Google a déclaré à l'époque qu'il était « conscient qu'un exploit pour CVE-2022-2294 existe ». Candiru a été exposé pour la première fois par Microsoft et Citizen Lab en juillet de l'année dernière. Leurs conclusions ont montré que le fabricant de logiciels espions avait ciblé au moins 100 activistes, journalistes et dissidents dans 10 pays.

« L'entreprise connue sous le nom de "Candiru", basée à Tel Aviv, en Israël, est une société mercenaire de logiciels espions qui commercialise des logiciels espions "intraçables" auprès de clients gouvernementaux. Son offre de produits comprend des solutions pour espionner les ordinateurs, les appareils mobiles et les comptes cloud », a déclaré Citizen Lab dans un post.

Il est intéressant de noter que le site Web compromis contenait des artefacts d'attaques XSS persistantes, notamment des pages contenant des appels à la fonction Javascript alert et des mots-clés comme test. Les cybercriminels auraient testé la vulnérabilité XSS, avant de l'exploiter pour de bon en injectant un morceau de code qui charge un Javascript malveillant depuis un domaine contrôlé par l'attaquant. Ce code injecté était ensuite chargé d'acheminer les victimes visées (et uniquement elles) vers le serveur d'exploitation, via plusieurs autres domaines contrôlés par les attaquants.

Selon Avast, Candiru a probablement fait profil bas jusqu'à cette dernière série d'attaques, après la publication du rapport de Citizen Lab l'année dernière, pour mettre à jour son logiciel malveillant et échapper aux efforts de détection.

Source : Atvas

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

89 % des entreprises ne parviennent pas à protéger leurs données, alors que les budgets augmentent pour faire face aux défis croissants de la cyber sécurité, selon une étude de Veeam

Le manque de compétences et un budget insuffisant sont les principaux obstacles à la protection des données dans le cloud, selon un nouveau rapport de Netwrix

76 % des entreprises reconnaissent payer les auteurs de ransomwares, néanmoins un tiers d'entre elles ne parvient pas à récupérer ses données, selon une étude de Veeam