July 24, 2021

Candiru d’Israël a vendu des logiciels espions aux États pour pirater des journalistes et des dissidents

Un groupe israélien de cyberguerre a militarisé les vulnérabilités des produits Microsoft et Google, permettant aux gouvernements de pirater plus de 100 journalistes, militants et dissidents politiques dans le monde, nouvelle recherche a trouvé.

Le joueur relativement inconnu, qui se présente sous le nom de Candiru, fait partie d’une cyber-industrie offensive israélienne lucrative qui recrute souvent des vétérans des unités d’élite de l’armée et vend des logiciels qui permettent à ses clients de pirater des ordinateurs et des téléphones portables à distance.

Des entreprises comme Candiru et le plus grand acteur de cette industrie opaque, NSO Group, qui était évalué à 1 milliard de dollars lors d’une transaction en 2019, ont déclaré que leur logiciel était conçu pour être utilisé par le gouvernement et les forces de l’ordre pour contrecarrer le terrorisme et la criminalité potentiels.

Mais l’ONU, le Citizen Lab de l’Université de Toronto et des groupes de défense des droits tels qu’Amnesty International ont régulièrement retracé le logiciel espion jusqu’aux téléphones et ordinateurs de journalistes, de dissidents politiques et d’activistes critiques des régimes répressifs.

Les e-mails envoyés à plusieurs adresses répertoriées pour les dirigeants de Candiru à la recherche de commentaires ont rebondi ou sont restés sans réponse.

Dans ce cas, Microsoft et Citizen Lab ont découvert que Candiru vendait un outil de logiciel espion qui exploitait les failles de Microsoft Windows, permettant à ceux qui le déployaient de voler des mots de passe, d’exporter des fichiers et des messages à partir d’appareils, y compris à partir de l’application de messagerie cryptée Signal, et d’envoyer des comptes de réseaux sociaux.

Le rapport indique que son analyse a révélé que les systèmes de Candiru, qui sont vendus exclusivement aux gouvernements, avaient été « exploités depuis l’Arabie saoudite, Israël, les Émirats arabes unis, la Hongrie et l’Indonésie, entre autres pays ».

Le logiciel espion de Candiru a ciblé au moins 100 membres de la société civile, y compris des politiciens, des militants des droits humains, des journalistes, des universitaires, des employés d’ambassade et des dissidents politiques, selon le rapport, dans des endroits comme le Royaume-Uni, l’Espagne, Singapour et en Israël et dans les territoires palestiniens occupés.

Les chercheurs ont également trouvé plus de 750 faux sites Web se faisant passer pour des groupes tels qu’Amnesty International, le mouvement Black Lives Matter et le service postal russe qui ont été lacés avec ses logiciels espions.

“Candiru a essayé de rester dans l’ombre depuis sa fondation”, a déclaré Bill Marczak, chercheur principal au Citizen Lab. “Mais il n’y a pas de place dans l’ombre pour les entreprises qui facilitent l’autoritarisme en vendant des logiciels espions utilisés contre les journalistes, les militants et la société civile.”

Microsoft dit dans un article de blog qu’il avait publié cette semaine une mise à jour logicielle « qui protégera les clients Windows des exploits [the company] utilisait pour aider à livrer son malware ».

Séparément, le rapport Citizen Lab a révélé que deux Google Chrome vulnérabilités divulguées par la société de la Silicon Valley mercredi avait été exploitée par Candiru. Bien que Google n’ait pas explicitement lié les exploits à Candiru, il les a attribués à une « société de surveillance commerciale ».

Le rapport braque les projecteurs sur l’industrie croissante des logiciels espions mercenaires, qui suscite de plus en plus la colère des plateformes Big Tech dont les logiciels peuvent être militarisés par les groupes. Le plus grand groupe rival de Candiru, NSO, fait actuellement l’objet d’une action en justice contre WhatsApp, soutenu par d’autres groupes technologiques, pour avoir prétendument vendu des outils permettant aux clients d’injecter subrepticement son logiciel dans des téléphones via des appels WhatsApp.

Dans un document marketing de Candiru de 2019, vu par le Financial Times, le groupe a fait la promotion de son “système de cyber-intelligence de qualité supérieure”, affirmant que “les processus d’installation et d’exfiltration sont furtifs et secrets, sans interruption de l’activité régulière de la cible”. .

Il a ajouté que “des agents d’infiltration propriétaires sont déployés en silence sur l’appareil de la cible, en utilisant notre ensemble de vecteurs d’attaque et de vulnérabilités zero-day développés en interne”, suggérant que la faille de Microsoft Windows n’est que l’une de celles qu’elle exploite.

Google a déclaré dans son article cette semaine qu’il y avait “plus de vendeurs commerciaux vendant l’accès aux jours 0 qu’au début des années 2010”.

Cristin Goodwin, directrice générale de l’unité de sécurité numérique de Microsoft, a déclaré : « Un monde où les entreprises du secteur privé fabriquent et vendent des cyberarmes est plus dangereux pour les consommateurs, les entreprises de toutes tailles et les gouvernements.