Etiquettes : Maroc, Sahara Occidental, hackers, activistes des droits de l’homme, Cisco Talos, Yahoo Advanced Cyber Threats,
Un nouveau logiciel malveillant mobile se faisant passer pour une application de nouvelles a été repéré, ciblant les militants des droits de l’homme associés à la République arabe sahraouie démocratique (RASD), un État partiellement reconnu dans la partie occidentale du désert du Sahara.
Des chercheurs de Cisco Talos et de l’équipe Yahoo Advanced Cyber Threats ont découvert l’application mobile Android malveillante, qui prétend être une variante de l’application Sahara Press Service, gérée par une agence de presse associée à la RASD.
Dans une campagne d’espionnage que Talos estime avoir commencée en janvier dernier et semble être à ses débuts, l’application sur mesure a été distribuée via des e-mails de spearphishing envoyés aux militants des droits de l’homme au Maroc et à la RASD, également connue sous le nom de Sahara Occidental.
Talos a évalué que l’application et l’infrastructure de surveillance de la campagne étaient fabriquées sur mesure, suggérant « une forte concentration sur la discrétion et la conduite d’activités sous le radar. » L’application elle-même affiche des contenus d’actualité légitimes du service de presse, mais permet également aux attaquants de voler des informations du dispositif Android de la cible et d’exécuter du code arbitraire.
L’application est « toujours fonctionnelle, » a expliqué Vitor Ventura, chercheur principal en sécurité chez Talos. « Si vous voulez lire les nouvelles dessus, vous pouvez lire les nouvelles dessus, mais en même temps, quelqu’un d’autre lira d’autres choses de votre téléphone, » a-t-il expliqué.
Que l’acteur de la menace — que Talos appelle « Starry Addax » — n’utilise pas « un logiciel malveillant de commodité ou un logiciel espion commercialement disponible indique que l’acteur de la menace fait un effort conscient pour échapper aux détections et opérer sans être détecté. »
Ventura a déclaré à Recorded Future News que la campagne semblait cibler les mêmes personnes précédemment ciblées par le logiciel espion du groupe NSO, comme l’a allégué Amnesty International. Il a dit qu’il n’était pas possible d’évaluer si les développeurs et opérateurs de l’application étaient les mêmes personnes, et que Talos ne pouvait pas identifier qui étaient les opérateurs.
« Sauf si vous avez une collaboration soit des victimes, soit de Google, il est incroyablement difficile de trouver qui est ciblé. Dans ce cas, parce qu’ils faisaient l’attaque initiale via e-mail en essayant de pousser les victimes dans un panneau de phishing, c’est ainsi que nous avons pu voir ce qui se passait, » a déclaré Ventura.
Aucune vue directe sur les victimes
Talos n’a aucune visibilité sur les dispositifs finaux ciblés par la campagne, bien que ses chercheurs aient pu démêler l’infrastructure après que leurs collègues de Yahoo ont signalé l’application Android suspecte.
Ventura a déclaré que les chercheurs accueilleraient favorablement que les victimes se manifestent pour obtenir de l’aide.
« Nous, en tant que Talos, diffusons ce message depuis que nous avons parlé d’Intellexa et d’autres groupes mercenaires — que nous sommes là pour aider, et lorsque les victimes ont des problèmes, elles peuvent nous contacter et nous les aiderons, » a déclaré Ventura.
« De temps en temps, Apple envoie ces notifications aux utilisateurs qu’ils sont ciblés, » a-t-il ajouté. Apple a cette semaine envoyé une série de notifications à des utilisateurs de 92 pays indiquant qu’ils pourraient avoir été ciblés par des logiciels espions mercenaires.
Mais le problème avec ces alertes pour les victimes est « que vous ne savez pas par qui, vous ne savez pas pourquoi, vous ne savez pas quand. Vous ne savez presque rien, et 90% de ces victimes, elles n’ont pas la capacité de faire une quelconque analyse, » a déclaré Ventura.
« Je pousse la conversation dans cet espace, car je crois que le même genre de victimes dans ce cas sont celles qui peuvent être ciblées par les autres, » a-t-il ajouté.
D’après ce que Talos a pu voir, Ventura a déclaré qu’il croyait que le logiciel malveillant « a été développé spécifiquement pour cette opération, nous n’avons trouvé aucun chevauchement avec d’autres types de chevaux de Troie. Bien sûr, il reprendra du code d’autres pièces que nous voyons là-bas, parce que même les méchants n’ont pas la volonté de réinventer la roue lorsqu’elle est déjà faite. »
À la fin de l’année dernière, Amnesty International a allégué que les forces de sécurité marocaines avaient détenu illégalement et agressé sexuellement une militante sahraouie. Amnesty a précédemment accusé les autorités marocaines d’utiliser des logiciels espions pour attaquer les défenseurs des droits de l’homme. Les autorités marocaines ont nié être des clients du groupe NSO.
Le territoire disputé du Sahara Occidental est principalement contrôlé par le Maroc suite à la décolonisation espagnole en 1975, bien que le contrôle marocain soit contesté par un groupe nationaliste sahraoui connu sous le nom de Front Polisario.
Les Sahraouis sont un groupe ethnique natif de la partie occidentale du désert du Sahara. Le Front Polisario des nationalistes sahraouis et le Maroc ont été engagés dans une longue guerre de guérilla à partir de 1975, après le départ espagnol, jusqu’en 1991, lorsque les Nations Unies ont négocié un accord de paix.
Aujourd’hui, la population sahraouie est à peu près également répartie entre les territoires principalement contrôlés par le Maroc au Sahara Occidental et les camps de réfugiés en Algérie établis pour accueillir les civils déplacés pendant le conflit.
Source : The record media
#Maroc #SaharaOccidental #activistes #droitshumains #hackers #espionnage