La socit de cyberscurit Avast a tabli un lien entre l’exploitation et Candiru, une socit de piratage base Tel-Aviv, galement connue sous le nom de Saito Tech, qui fournit ses logiciels espions des clients gouvernementaux. Nous avons rcemment dcouvert une vulnrabilit de type « zero-day » dans Google Chrome (CVE-2022-2294). Elle a t exploite dans la nature dans le but d’attaquer les utilisateurs d’Avast au Moyen-Orient. Plus prcisment, une grande partie des attaques ont eu lieu au Liban, o des journalistes taient parmi les personnes vises , dclare Atvas.
Candiru, tout comme le groupe isralien NSO, affirme que son logiciel est conu pour tre utilis par les organismes gouvernementaux et les forces de l’ordre afin de contrecarrer le terrorisme et les crimes potentiels, mais les chercheurs ont dcouvert que des rgimes autoritaires ont utilis le logiciel espion pour cibler des journalistes, des dissidents politiques et des critiques de rgimes rpressifs.
La socit base Tel-Aviv en Isral a t sanctionne par le dpartement du commerce amricain pour avoir men des activits contraires la scurit nationale des tats-Unis. Avast dit avoir observ Candiru en mars utilisant l’exploit zero-day de Chrome pour cibler des individus en Turquie, au Ymen et en Palestine ainsi que des journalistes au Liban, o Candiru a compromis un site Web utilis par les employs d’une agence de presse.
Nous ne pouvons pas dire avec certitude ce que les attaquants pouvaient rechercher, cependant, la raison pour laquelle les cybercriminels s’en prennent aux journalistes est souvent de les espionner et d’espionner les histoires sur lesquelles ils travaillent directement, ou d’atteindre leurs sources et de recueillir des informations compromettantes et des donnes sensibles qu’ils ont partages avec la presse , a dclar Jan Vojtěek, chercheur en logiciels malveillants chez Avast. Une attaque comme celle-ci pourrait constituer une menace pour la libert de la presse .
L’exploit zero day Chrome install sur le site Web de l’agence de presse libanaise a t conu pour collecter une cinquantaine de points de donnes partir du navigateur d’une victime, notamment sa langue, son fuseau horaire, des informations sur l’cran, le type d’appareil, les plugins du navigateur et la mmoire de l’appareil, probablement pour s’assurer que seuls les appareils de ceux qui sont spcifiquement cibls ont finalement t compromis.
Lorsqu’une cible est trouve, le zero-day Chrome prend pied sur l’ordinateur de la victime afin de dlivrer la charge utile du logiciel espion, que les chercheurs ont baptis DevilsTongue.
DevilsTongue, comme d’autres logiciels espions exploits au niveau gouvernemental, peut voler le contenu du tlphone d’une victime, y compris les messages, les photos et les journaux d’appels, et suivre l’emplacement de la victime en temps rel.
Avast a divulgu la vulnrabilit, connue sous le nom de CVE-2022-2294, Google le 1er juillet, avec un correctif quelques jours plus tard, le 4 juillet, avec la sortie de Chrome 103. Rappelons que les identifiants CVE ou Common Vulnerabilities and Exposures sont des rfrences de la forme CVE-AAAA-NNNN (AAAA est l’anne de publication et NNNN un numro d’identifian et le CVE est un dictionnaire des informations publiques relatives aux vulnrabilits de scurit. Le dictionnaire est maintenu par l’organisme MITRE, soutenu par le dpartement de la Scurit intrieure des tats-Unis.
Google a dclar l’poque qu’il tait conscient qu’un exploit pour CVE-2022-2294 existe . Candiru a t expos pour la premire fois par Microsoft et Citizen Lab en juillet de l’anne dernire. Leurs conclusions ont montr que le fabricant de logiciels espions avait cibl au moins 100 activistes, journalistes et dissidents dans 10 pays.
L’entreprise connue sous le nom de « Candiru », base Tel Aviv, en Isral, est une socit mercenaire de logiciels espions qui commercialise des logiciels espions « intraables » auprs de clients gouvernementaux. Son offre de produits comprend des solutions pour espionner les ordinateurs, les appareils mobiles et les comptes cloud , a dclar Citizen Lab dans un post.
Il est intressant de noter que le site Web compromis contenait des artefacts d’attaques XSS persistantes, notamment des pages contenant des appels la fonction Javascript alert et des mots-cls comme test. Les cybercriminels auraient test la vulnrabilit XSS, avant de l’exploiter pour de bon en injectant un morceau de code qui charge un Javascript malveillant depuis un domaine contrl par l’attaquant. Ce code inject tait ensuite charg d’acheminer les victimes vises (et uniquement elles) vers le serveur d’exploitation, via plusieurs autres domaines contrls par les attaquants.
Selon Avast, Candiru a probablement fait profil bas jusqu’ cette dernire srie d’attaques, aprs la publication du rapport de Citizen Lab l’anne dernire, pour mettre jour son logiciel malveillant et chapper aux efforts de dtection.
Source : Atvas
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :