Le logiciel espion d’une entreprise israélienne est lié à des attaques de sites web au Royaume-Uni et au Moyen-Orient

Des chercheurs basés à Toronto affirment que de nouvelles preuves suggèrent que le logiciel Candiru a été utilisé pour cibler les détracteurs de régimes autocratiques.

Candiru Spyware

Des chercheurs ont découvert de nouvelles preuves suggérant que des logiciels espions fabriqués par une société israélienne qui a récemment été placée sur la liste noire des États-Unis ont été utilisés pour cibler les détracteurs de l’Arabie saoudite et d’autres régimes autocratiques, y compris certains lecteurs d’un site d’information basé à Londres.

Un rapport établi par des chercheurs montréalais de la société slovaque Eset, une entreprise de sécurité Internet, a mis en évidence des liens entre les attaques menées contre des sites Web très médiatisés au Moyen-Orient et au Royaume-Uni, et la société israélienne Candiru, qualifiée de “société de cyberguerre la plus mystérieuse” d’Israël.

spyware Candiru

Candiru et NSO Group, une société de surveillance israélienne beaucoup plus importante, ont toutes deux été ajoutées à une liste noire américaine ce mois-ci, après que l’administration Biden a pris la rare mesure d’accuser ces sociétés d’agir contre les intérêts de la sécurité nationale américaine.

Le rapport d’Eset a révélé de nouvelles informations sur les attaques dites “watering hole”. Dans ces attaques, les utilisateurs de logiciels espions lancent des logiciels malveillants contre des sites Web ordinaires connus pour attirer des lecteurs ou des utilisateurs considérés comme des “cibles d’intérêt” par l’utilisateur du logiciel malveillant.

Ces attaques sophistiquées permettent à l’utilisateur du logiciel malveillant d’identifier les caractéristiques des personnes qui ont visité le site web, notamment le type de navigateur et le système d’exploitation qu’elles utilisent. Dans certains cas, l’utilisateur du logiciel malveillant peut alors lancer un exploit qui lui permet de prendre le contrôle de l’ordinateur d’une cible individuelle.

Contrairement au logiciel espion de NSO Group, qui s’appelle Pegasus et infecte les téléphones mobiles, les chercheurs pensent que le logiciel malveillant de Candiru infecte les ordinateurs. L’entreprise semble porter le nom d’un poisson-chat d’eau douce parasite que l’on trouve en Amazonie.

Les chercheurs ont constaté que les sites web qui étaient des “cibles connues” de ce type d’attaque comprenaient Middle East Eye, un site d’information basé à Londres, et plusieurs sites web associés à des ministères en Iran et au Yémen.

Middle East Eye a condamné les attaques

Dans une déclaration, son rédacteur en chef, David Hearst, a déclaré que le site n’était pas étranger aux tentatives de destruction du site par des acteurs étatiques et non étatiques.

“Des sommes considérables ont été dépensées pour tenter de nous faire disparaître. Cela ne nous a pas empêchés de rapporter ce qui se passe dans tous les coins de la région et je suis sûr qu’ils ne nous arrêteront pas à l’avenir”, a-t-il déclaré.

Selon les chercheurs d’Eset, une fois que les sites Web sont compromis, ils sont considérés comme des “points de départ” qui aident les utilisateurs de logiciels malveillants à cibler les individus. En d’autres termes, tous les individus ayant visité l’un des sites Web compromis n’auraient pas risqué d’être piratés, mais les utilisateurs de logiciels malveillants auraient utilisé les sites Web comme point de départ pour aider à identifier un groupe beaucoup plus restreint d’individus qui ont ensuite été ciblés.

Matthieu Faou, qui a découvert les campagnes, a déclaré qu’Eset a développé un système interne personnalisé en 2018 pour découvrir des “trous d’eau” sur des sites Web très médiatisés. En juillet 2020, le système leur a signalé qu’un site web de l’ambassade d’Iran à Abu Dhabi avait été entaché d’un code malveillant.

“Notre curiosité a été éveillée par le caractère très médiatisé du site web ciblé, et dans les semaines suivantes, nous avons remarqué que d’autres sites web ayant des liens avec le Moyen-Orient étaient également visés”, a déclaré Faou.

Le “groupe de menaces” s’est ensuite fait discret jusqu’à ce qu’il refasse surface en janvier 2021 et reste actif jusqu’à la fin de l’été 2021, date à laquelle tous les sites Web victimes d’attaques ont été “nettoyés”, selon Eset.

Eset a déclaré qu’il pensait que les activités de piratage avaient pris fin à la fin du mois de juillet 2021 après qu’un rapport des chercheurs de Citizen Lab, publié conjointement avec Microsoft, ait détaillé les activités de surveillance présumées de Candiru. Ce rapport accusait Candiru de vendre des logiciels espions à des gouvernements liés à de faux sites Web Black Lives Matter et Amnesty International qui étaient utilisés pour pirater des cibles.

Dans le rapport de juillet 2021, Citizen Lab, un groupe de recherche affilié à l’Université de Toronto, a déclaré que Candiru, dont le siège est à Tel Aviv, fabriquait des logiciels espions “intraçables” pouvant infecter des ordinateurs et des téléphones.

Analyse de Microsoft

Microsoft a déclaré en juillet qu’il semblait que Candiru vendait les logiciels espions qui permettaient les piratages, et que les gouvernements choisissaient généralement les personnes à cibler et dirigeaient eux-mêmes les opérations. La société a également annoncé à l’époque qu’elle avait désactivé les “cyber-armes” de Candiru et mis en place des protections contre le logiciel malveillant, notamment en publiant une mise à jour du logiciel Windows.

Peu d’informations publiques sont disponibles sur Candiru, qui a été fondée en 2014 et a connu plusieurs changements de nom. En 2017, l’entreprise vendait ses logiciels malveillants à des clients du Golfe, d’Europe occidentale et d’Asie, selon une action en justice rapportée par un journal israélien. Candiru pourrait avoir des accords avec l’Ouzbékistan, l’Arabie saoudite et les Émirats arabes unis, a rapporté Forbes.

Microsoft a indiqué qu’il avait trouvé des victimes du logiciel espion en Israël et en Iran. Citizen Lab a déclaré avoir été en mesure d’identifier un ordinateur qui avait été piraté par le logiciel malveillant de Candiru, puis d’utiliser ce disque dur pour extraire une copie du logiciel espion Windows de la société. Le propriétaire de l’ordinateur était un individu “politiquement actif” d’Europe occidentale, a-t-il précisé.

Ce mois-ci, Candiru a fait les gros titres après que l’administration Biden a annoncé qu’elle avait ajouté la société à la liste des entités du département du commerce, une liste noire habituellement réservée aux pires ennemis des États-Unis, notamment les pirates informatiques chinois et russes.

Dans son communiqué de presse, le ministère du commerce a déclaré avoir la preuve que Candiru a développé et fourni des logiciels espions à des gouvernements étrangers qui les ont utilisés pour cibler de manière malveillante des fonctionnaires, des journalistes, des hommes d’affaires, des militants, des universitaires et des employés d’ambassades. Ces outils ont également contribué à permettre à des gouvernements étrangers de mener une “répression transnationale”, a déclaré le ministère.

Candiru n’a pas commenté son placement sur la liste des entités.