Ces dernières années, des éditeurs de logiciels espions d’élite comme Intellexa et NSO Group ont développé une gamme d’outils de piratage puissants qui exploitent des vulnérabilités logicielles « zero-day » rares et non corrigées pour compromettre les appareils des victimes. Et de plus en plus, les gouvernements du monde entier sont devenus les principaux clients de ces outils, compromettant les smartphones des dirigeants de l’opposition, des journalistes, des militants, des avocats et d’autres. Jeudi, cependant, le groupe d’analyse des menaces de Google a annoncé qu’il allait lancer une campagne de piratage. Publication des résultats à propos d’une série de campagnes de piratage récentes, apparemment menées par le célèbre gang russe APT29 Cozy Bear, qui intègrent des exploits très similaires à ceux développés par Intellexa et NSO Group dans des activités d’espionnage en cours.
Ces outils de piratage de type spyware exploitaient des vulnérabilités de l’iOS d’Apple et de l’Android de Google qui avaient déjà été en grande partie corrigées. À l’origine, ils avaient été déployés par les fournisseurs de logiciels espions sous forme d’exploits zero-day non corrigés, mais dans cette version, les pirates russes présumés les utilisaient pour cibler des appareils qui n’avaient pas été mis à jour avec ces correctifs.
« Bien que nous ne sachions pas exactement comment les acteurs suspectés d’APT29 ont acquis ces exploits, nos recherches soulignent à quel point les exploits initialement développés par l’industrie de la surveillance commerciale sont diffusés auprès d’acteurs de menaces dangereux », ont écrit les chercheurs du TAG. « De plus, les attaques par points d’eau restent une menace pour laquelle des exploits sophistiqués peuvent être utilisés pour cibler ceux qui visitent régulièrement des sites, y compris sur des appareils mobiles. Les points d’eau peuvent toujours être un moyen efficace pour… cibler en masse une population qui pourrait encore utiliser des navigateurs non corrigés. »
Il est possible que les pirates aient acheté et adapté les exploits du logiciel espion ou qu’ils les aient volés ou acquis par le biais d’une fuite. Il est également possible que les pirates se soient inspirés d’exploits commerciaux et les aient rétroconçus en examinant les appareils infectés des victimes.
Entre novembre 2023 et février 2024, les pirates ont utilisé un exploit iOS et Safari qui était techniquement identique à une offre qu’Intellexa avait lancée pour la première fois quelques mois plus tôt en tant que zero-day non corrigé en septembre 2023. En juillet 2024, les pirates ont également utilisé un exploit Chrome adapté d’un outil du groupe NSO apparu pour la première fois en mai 2024. Ce dernier outil de piratage a été utilisé en combinaison avec un exploit qui présentait de fortes similitudes avec celui lancé par Intellexa en septembre 2021.
Lorsque des pirates exploitent des vulnérabilités déjà corrigées, on parle d’« exploitation n-day », car la vulnérabilité existe toujours et peut être exploitée sur des appareils non corrigés au fil du temps. Les pirates russes présumés ont intégré les outils commerciaux adjacents aux logiciels espions, mais ont conçu leurs campagnes globales (y compris la diffusion de logiciels malveillants et l’activité sur les appareils compromis) différemment du client typique des logiciels espions commerciaux. Cela indique un niveau de maîtrise et de compétence technique caractéristique d’un groupe de pirates informatiques établi et bien doté en ressources, soutenu par l’État.
« À chaque itération des campagnes de points d’eau, les attaquants ont utilisé des exploits qui étaient identiques ou étonnamment similaires aux exploits de [commercial surveillance vendors]« Nous ne savons pas comment les attaquants ont obtenu ces exploits. Ce qui est clair, c’est que les acteurs APT utilisent des exploits n-day qui étaient à l’origine utilisés comme des exploits 0-day par les CSV », a écrit TAG.
2024-08-29 17:17:35
1724944207
#puissants #logiciels #espions #exploitent #une #nouvelle #série #dattaques #type #Watering #Hole
:max_bytes(150000):strip_icc():focal(756x292:758x294)/Monty-Reuling-and-daugters-091224-962cb184ab144855beaa249b0f761be1.jpg?fit=300%2C300&ssl=1)
