De faux sites Web d’ONG pour pirater des cibles

Une société de logiciels espions israélienne liée à de faux sites Web Black Lives Matter et Amnesty – rapport

Un rapport indique qu’une société israélienne de logiciels espions est liée à de faux sites Web de Black Lives Matter et d’Amnesty.
Les chercheurs affirment que des domaines web se faisant passer pour des groupes d’activistes, de santé et de médias sont utilisés par des gouvernements pour pirater des cibles.

Selon un nouveau rapport, une société israélienne qui vend des logiciels espions à des gouvernements est liée à de faux sites web Black Lives Matter et Amnesty International qui sont utilisés pour pirater des cibles.

Des chercheurs du Citizen Lab de l’Université de Toronto, qui ont travaillé avec Microsoft, ont publié jeudi un rapport sur les cibles potentielles de Candiru, une société basée à Tel-Aviv qui commercialise des logiciels espions « intraçables » capables d’infecter et de surveiller des ordinateurs et des téléphones.

Les chercheurs ont découvert que le logiciel de la société était associé à des URL se faisant passer pour des ONG, des défenseurs des droits des femmes, des groupes d’activistes, des organisations de santé et des médias d’information. Les recherches du Citizen Lab ont permis de découvrir des sites Web liés à Candiru avec des noms de domaine tels que « Amnesty Reports », « Refugee International », « Woman Studies », « Euro News » et « CNN 24-7 ».

Les chercheurs n’ont pas identifié les cibles spécifiques des sites Web se faisant passer pour des groupes de défense des droits de l’homme, et n’ont pas confirmé l’implication de clients gouvernementaux spécifiques. Microsoft a déclaré qu’il semble que Candiru vende le logiciel espion qui permet les piratages, et que les gouvernements choisissent généralement les cibles et mènent eux-mêmes les opérations.

Ces conclusions suggèrent qu’une entreprise secrète et peu connue, mais d’envergure mondiale, pourrait aider les gouvernements à pirater et à surveiller les membres de la société civile. Le rapport s’inscrit dans un contexte d’inquiétudes croissantes concernant les technologies de surveillance qui peuvent contribuer aux violations des droits de l’homme, à la surveillance des forces de l’ordre et à la répression de Black Lives Matter et d’autres groupes militants.

Le centre de renseignement sur les menaces de Microsoft, qui suit les menaces de sécurité et les cyber-armes, a mené sa propre analyse et a déclaré avoir trouvé au moins 100 cibles de logiciels malveillants liés à Candiru, y compris des politiciens, des militants des droits de l’homme, des journalistes, des universitaires, des employés d’ambassade et des dissidents politiques. Selon le rapport, Microsoft a trouvé des cibles au Royaume-Uni, en Palestine, en Israël, en Iran, au Liban, au Yémen, en Espagne, en Turquie, en Arménie et à Singapour.

Dans un billet de blog publié jeudi, Microsoft a déclaré avoir désactivé les « cyberarmes » de Candiru et mis en place des protections contre le malware, notamment en publiant une mise à jour du logiciel Windows.

Il n’y a pas de raisons légitimes pour que les services de renseignement ou leurs clients gouvernementaux créent des sites web qui se font passer pour des groupes d’activistes très connus et des organisations à but non lucratif, a déclaré Bill Marczak, co-auteur du rapport, dans une interview.

Les militants ciblés peuvent cliquer sur des liens qui semblent provenir de sources fiables, puis être dirigés vers un site au contenu inoffensif ou redirigés ailleurs, a-t-il expliqué. « Mais ce site, qui a été spécialement enregistré dans le but d’exploiter leur ordinateur, exécuterait un code en arrière-plan qui prendrait silencieusement le contrôle de leur ordinateur », a-t-il ajouté.

Le logiciel malveillant pourrait permettre « un accès permanent à pratiquement tout ce qui se trouve sur l’ordinateur », ce qui pourrait permettre aux gouvernements de voler des mots de passe et des documents ou d’activer un microphone pour espionner l’environnement de la victime.

« L’utilisateur ne se rendrait pas compte que quelque chose ne va pas », a déclaré M. Marczak, chercheur principal au Citizen Lab, qui a passé au crible des entreprises britanniques, allemandes et italiennes spécialisées dans les logiciels espions, et qui a précédemment exposé les activités de NSO Group, une autre entreprise israélienne qui aurait permis au gouvernement de pirater des journalistes et des militants.

L’utilisation de logiciels espions peut avoir des conséquences dévastatrices pour les militants et les dissidents. Ahmed Mansoor, militant des droits de l’homme aux Émirats arabes unis, a été emprisonné et a subi des violences après avoir été piraté et surveillé par un logiciel espion acheté par les Émirats. Il a été visé par des tentatives d’hameçonnage sophistiquées du gouvernement, notamment un SMS de 2016 avec un lien sur son téléphone qui prétendait inclure des informations sur la torture des détenus dans les prisons des EAU.

Une « industrie du logiciel espion mercenaire ».
Le public dispose d’un minimum d’informations sur Candiru, qui a été fondée en 2014 et a subi plusieurs changements de nom, selon le rapport. Elle serait désormais enregistrée sous le nom de Saito Tech Ltd, mais reste connue sous le nom de Candiru. En 2017, l’entreprise a réalisé des ventes d’une valeur de près de 30 millions de dollars, servant des clients dans le Golfe, en Europe occidentale et en Asie, selon une action en justice rapportée par un journal israélien. Candiru pourrait avoir des accords avec l’Ouzbékistan, l’Arabie saoudite et les Émirats arabes unis, a rapporté Forbes.

Candiru proposerait à ses clients plusieurs moyens de pirater leurs cibles, notamment par le biais d’hyperliens, d’attaques physiques et d’un programme appelé « Sherlock », selon le rapport, qui cite un document de proposition de projet de la société ayant fait l’objet d’une fuite. La fonction de « Sherlock » n’est pas claire. La société vend également des outils pour Signal et Twitter, selon le rapport. Le document de proposition ayant fait l’objet d’une fuite comprenait un accord stipulant que le produit ne serait pas utilisé aux États-Unis, en Russie, en Chine, en Israël ou en Iran.

Microsoft a toutefois déclaré avoir trouvé des victimes en Israël et en Iran.

Citizen Lab a déclaré avoir pu identifier un ordinateur qui avait été piraté par le logiciel malveillant de Candiru, puis avoir utilisé ce disque dur pour extraire une copie du logiciel espion Windows de la société. Le propriétaire de l’ordinateur était un individu « politiquement actif » en Europe occidentale, selon le rapport.

L’équipe a également identifié plus de 750 noms de domaine qui semblaient être liés à Candiru et à ses clients. Outre les sites se faisant passer pour des organisations à but non lucratif, les chercheurs ont trouvé des URL qui semblaient usurper l’identité d’une publication indonésienne de gauche ; un site qui publie les actes d’accusation de prisonniers palestiniens prononcés par des tribunaux israéliens ; un site Web critiquant le prince héritier d’Arabie saoudite, Mohammed bin Salman ; et un site qui semblait être associé à l’Organisation mondiale de la santé.

« La présence apparente de Candiru, et l’utilisation de sa technologie de surveillance contre la société civile mondiale, est un rappel puissant que l’industrie des logiciels espions mercenaires contient de nombreux acteurs et est sujette à des abus généralisés », indique le rapport. « Cette affaire démontre, une fois de plus, qu’en l’absence de toute garantie internationale ou de contrôles stricts des exportations par les gouvernements, les vendeurs de logiciels espions vendront à des clients gouvernementaux qui abuseront régulièrement de leurs services. »

Le rapport ne fait pas état de violations spécifiques de la loi, bien qu’il soit difficile d’évaluer la légalité sans savoir quelles nations ont été impliquées dans le piratage.

Les conclusions concernant Candiru suggèrent qu’il existe des problèmes systématiques dans le secteur des logiciels espions et dans la manière dont il est réglementé, a déclaré M. Marczak. « Il ne s’agit pas seulement d’une pomme pourrie », a-t-il ajouté, faisant référence à NSO Group, dont le logiciel espion aurait été utilisé contre un journaliste du New York Times auteur d’un livre sur le prince Mohammed et un membre du personnel d’Amnesty International.

« Nous avons désespérément besoin de mieux comprendre cette industrie, car elle se développe beaucoup plus vite que nous ne pouvons le suivre, et elle est plus importante que nous ne le savons », a ajouté John Scott-Railton, un autre chercheur du Citizen Lab et coauteur, notant que les gouvernements deviennent également de plus en plus vulnérables au piratage et à l’espionnage par d’autres États. « C’est un problème urgent de sécurité nationale, et les gouvernements du monde entier vont se retrouver ciblés par cette technologie, si ce n’est déjà fait. »

Les représentants de Candiru n’ont pas immédiatement répondu aux demandes de commentaires du Guardian jeudi.

The Guardian, 15/07/2021

Etiquettes : Israël, logiciels espions, Black Lives Matter, Amnesty International, Citizen Lab, Candiru, « Amnesty Reports », « Refugee International », « Woman Studies », « Euro News » et « CNN 24-7 », Saito Tech Ltd, Sherlock,