Étiquette : Candiru

  • Microsoft: Candiru a vendu des outils pour pirater Windows

    15 juillet (Reuters) – Un groupe israélien a vendu un outil permettant de pirater Microsoft Windows, ont déclaré jeudi Microsoft et Citizen Lab, un groupe de défense des droits de l’homme spécialisé dans la technologie, mettant ainsi en lumière l’activité croissante de recherche et de vente d’outils permettant de pirater des logiciels largement utilisés.

    Le vendeur de l’outil de piratage, nommé Candiru, a créé et vendu un logiciel d’exploitation capable de pénétrer dans Windows, l’un des nombreux produits de renseignement vendus par une industrie secrète qui trouve des failles dans les plateformes logicielles courantes pour ses clients, selon un rapport de Citizen Lab.

    L’analyse technique effectuée par les chercheurs en sécurité montre comment l’outil de piratage de Candiru s’est répandu dans le monde entier jusqu’à de nombreux clients anonymes, où il a ensuite été utilisé pour cibler diverses organisations de la société civile, notamment un groupe de dissidents saoudiens et un média indonésien de gauche, indiquent les rapports de Citizen Lab et de Microsoft.

    Les tentatives de joindre Candiru pour obtenir des commentaires n’ont pas abouti.

    Selon le rapport de Citizen Lab, l’exploit récupéré par Microsoft Corp (MSFT.O) a été déployé contre des utilisateurs dans plusieurs pays, dont l’Iran, le Liban, l’Espagne et le Royaume-Uni.

    « La présence croissante de Candiru et l’utilisation de sa technologie de surveillance contre la société civile mondiale nous rappellent avec force que l’industrie des logiciels espions mercenaires compte de nombreux acteurs et est sujette à des abus généralisés », indique Citizen Lab dans son rapport.

    Microsoft a corrigé les failles découvertes mardi par le biais d’une mise à jour logicielle. Microsoft n’a pas attribué directement les exploits à Candiru, mais l’a désigné comme un « acteur offensif du secteur privé basé en Israël » sous le nom de code Sourgum.

    « Sourgum vend généralement des cyberarmes qui permettent à ses clients, souvent des agences gouvernementales du monde entier, de pirater les ordinateurs, les téléphones, les infrastructures réseau et les appareils connectés à Internet de leurs cibles », écrit Microsoft dans un billet de blog. « Ces agences choisissent ensuite les personnes à cibler et exécutent elles-mêmes les opérations réelles ».

    Les outils de Candiru ont également exploité des faiblesses dans d’autres logiciels courants, comme le navigateur Chrome de Google.

    Mercredi, Google (GOOGL.O) a publié un billet de blog dans lequel il divulgue deux failles du logiciel Chrome que Citizen Lab a trouvé liées à Candiru. Google n’a pas non plus mentionné le nom de Candiru, mais l’a décrit comme une « société de surveillance commerciale ». Google a corrigé les deux vulnérabilités plus tôt cette année.

    Selon les experts en sécurité informatique, les cyber-artisans comme Candiru enchaînent souvent plusieurs vulnérabilités logicielles pour créer des exploits efficaces qui permettent de s’introduire à distance dans les ordinateurs à l’insu de la cible.

    Ces types de systèmes secrets coûtent des millions de dollars et sont souvent vendus sur la base d’un abonnement, ce qui oblige les clients à payer à plusieurs reprises un fournisseur pour un accès continu, ont déclaré à Reuters des personnes connaissant bien l’industrie des cyberarmes.

    « Les groupes n’ont plus besoin d’avoir l’expertise technique, maintenant ils ont juste besoin de ressources », écrit Google dans son billet de blog.

    Reuters, 15/07/2021

    Etiquettes : Israël, Candiru, logiciels espions, spyware, cyberguerre, cyberarmes, Citizen Lab, Google, Google Chrome, Microsoft, hacking, piratage, espionnage,

  • Des spywares vendus pour pirater des journalistes et des dissidents

    L’entreprise israélienne Candiru a vendu des logiciels espions aux États pour pirater des journalistes et des dissidents.

    Selon un rapport, les vulnérabilités de Microsoft et de Google ont été exploitées par les clients d’un groupe de cyberguerre.

    Selon une nouvelle étude, un groupe de cyber-guerre israélien a exploité les vulnérabilités des produits Microsoft et Google, permettant ainsi aux gouvernements de pirater plus de 100 journalistes, activistes et dissidents politiques dans le monde.

    L’acteur relativement inconnu, qui se présente sous le nom de Candiru, fait partie d’une industrie israélienne lucrative de la cybernétique offensive qui recrute souvent des vétérans des unités d’élite de l’armée et vend des logiciels permettant à ses clients de pirater à distance des ordinateurs et des téléphones portables.

    Des entreprises comme Candiru et le plus grand acteur de cette industrie opaque, NSO Group, qui a été valorisé à 1 milliard de dollars lors d’une transaction en 2019, ont déclaré que leurs logiciels sont conçus pour être utilisés par les organismes gouvernementaux et les forces de l’ordre afin de contrecarrer le terrorisme et les crimes potentiels.

    Mais l’ONU, le Citizen Lab de l’Université de Toronto et des groupes de défense des droits comme Amnesty International ont régulièrement retrouvé la trace de ces logiciels espions sur les téléphones et les ordinateurs de journalistes, de dissidents politiques et de militants critiquant les régimes répressifs.

    Les courriels envoyés aux multiples adresses des dirigeants de Candiru pour obtenir des commentaires ont été renvoyés ou sont restés sans réponse.

    En l’occurrence, Microsoft et Citizen Lab ont découvert que Candiru vendait un logiciel espion qui exploitait des failles dans Microsoft Windows, permettant à ceux qui le déployaient de voler des mots de passe, d’exporter des fichiers et des messages depuis des appareils, notamment depuis l’application de messagerie cryptée Signal, et d’envoyer des messages depuis des comptes de messagerie et de médias sociaux.

    Le rapport indique que son analyse a révélé que les systèmes de Candiru, qui sont vendus exclusivement aux gouvernements, ont été « exploités depuis l’Arabie saoudite, Israël, les Émirats arabes unis, la Hongrie et l’Indonésie, entre autres pays ».

    Selon le rapport, le logiciel espion de Candiru a ciblé au moins 100 membres de la société civile, dont des politiciens, des militants des droits de l’homme, des journalistes, des universitaires, des employés d’ambassade et des dissidents politiques, notamment au Royaume-Uni, en Espagne, à Singapour, en Israël et dans les territoires palestiniens occupés.

    Les chercheurs ont également découvert plus de 750 faux sites Web se faisant passer pour des groupes tels qu’Amnesty International, le mouvement Black Lives Matter et le service postal russe, qui étaient équipés de son logiciel espion.

    « Candiru a essayé de rester dans l’ombre depuis sa création », a déclaré Bill Marczak, chercheur principal au Citizen Lab. « Mais il n’y a pas de place dans l’ombre pour les entreprises qui facilitent l’autoritarisme en vendant des logiciels espions utilisés contre les journalistes, les militants et la société civile. »

    Microsoft a déclaré dans un billet de blog qu’elle avait publié cette semaine une mise à jour logicielle « qui protégera les clients Windows des exploits que [l’entreprise] utilisait pour aider à diffuser ses logiciels malveillants ».

    Par ailleurs, le rapport de Citizen Lab a révélé que deux vulnérabilités de Google Chrome divulguées mercredi par la société de la Silicon Valley avaient été exploitées par Candiru. Bien que Google n’ait pas explicitement lié les exploits à Candiru, il les a attribués à une « société de surveillance commerciale ».

    Le rapport jette une lumière crue sur l’industrie croissante des logiciels espions mercenaires, qui suscite de plus en plus l’ire des grandes plateformes technologiques dont les logiciels peuvent être utilisés comme armes par ces groupes. Le groupe NSO, grand rival de Candiru, fait actuellement l’objet d’une action en justice de la part de WhatsApp, soutenue par d’autres groupes technologiques, pour avoir prétendument vendu des outils permettant aux clients d’injecter son logiciel subrepticement dans des téléphones via des appels WhatsApp.

    Dans un document marketing de Candiru datant de 2019, vu par le Financial Times, le groupe faisait la promotion de son « système de cyberespionnage de niveau superpuissance », affirmant que « les processus d’installation et d’exfiltration sont furtifs et secrets, sans interruption de l’activité régulière de la cible ».

    Il a ajouté que « des agents d’infiltration propriétaires sont déployés silencieusement dans l’appareil de la cible, en utilisant notre ensemble de vecteurs d’attaque et de vulnérabilités de type « zero-day » développés en interne » – ce qui suggère que la faille de Microsoft Windows n’est que l’une de celles qu’il a exploitées.

    Google a déclaré dans son billet cette semaine qu’il y avait « plus de fournisseurs commerciaux vendant des accès à des jours zéro qu’au début des années 2010 ».

    Cristin Goodwin, directrice générale de l’unité de sécurité numérique de Microsoft, a déclaré : « Un monde où les entreprises du secteur privé fabriquent et vendent des cyberarmes est plus dangereux pour les consommateurs, les entreprises de toutes tailles et les gouvernements. »

    Financial Times, 15/07/2021

    Etiquettes : Israël, Candiru, spywares, logiciels espions, journalistes, opposants, répression, espionnage, hacking, piratage,

  • Citizen Lab : Un logiciel espion de la société israélienne Candiru a été utilisé pour cibler des militants.

    Le Citizen Lab de l’Université de Toronto, qui suit les activités de piratage et de surveillance illégales, a déclaré qu’au moins 100 militants, journalistes et dissidents gouvernementaux dans 10 pays avaient été ciblés par un logiciel espion produit par une société israélienne appelée Candiru.

    Selon des chercheurs en cybersécurité du Citizen Lab de l’Université de Toronto, qui étudie le piratage et la surveillance illégaux, au moins 100 activistes, journalistes et dissidents gouvernementaux dans 10 pays ont été ciblés par un logiciel espion produit par une société israélienne appelée Candiru.
    Grâce à une paire de vulnérabilités dans Windows de Microsoft Corp., des cyber-opérateurs opérant en Arabie saoudite, en Israël, en Hongrie, en Indonésie et ailleurs ont acheté et installé un logiciel d’espionnage à distance fabriqué par Candiru, selon les chercheurs. L’outil a été utilisé dans le cadre d’ »attaques de précision » contre les ordinateurs, les téléphones, les infrastructures de réseau et les appareils connectés à Internet des cibles », a déclaré Cristin Goodwin, directrice générale de l’unité de sécurité numérique de Microsoft.
    Microsoft a été alerté de ces attaques par des chercheurs du Citizen Lab et, après des semaines d’analyse, la société a publié le 13 juillet des correctifs pour une paire de vulnérabilités Windows considérées comme le point d’entrée du logiciel espion, selon un blog Microsoft publié jeudi. Microsoft ne nomme pas Candiru mais fait référence à un « acteur offensif du secteur privé basé en Israël » qu’il appelle Sourgum.
    Candiru n’a pas répondu immédiatement à un message demandant un commentaire. Candiru est le nom d’un poisson ressemblant à une anguille, originaire de la région de l’Amazone, qui pénétrerait dans l’urètre des humains avant de déployer de courtes épines – une histoire que certains considèrent comme un mythe.
    Les utilisateurs du logiciel espion ont également piraté des hommes politiques et des militants des droits de l’homme, selon les chercheurs, qui ont refusé de nommer les victimes.
    Selon les chercheurs du Citizen Lab, le logiciel espion Candiru fait partie d’une industrie privée florissante qui vend des technologies aux gouvernements et aux dirigeants autoritaires afin qu’ils puissent avoir accès aux communications des particuliers et de l’opposition politique. Une autre société israélienne, NSO Group Ltd, a été accusée de fournir des logiciels espions à des gouvernements répressifs qui les ont utilisés pour espionner des journalistes et des militants.
    NSO a affirmé qu’elle vendait sa technologie exclusivement aux gouvernements et aux forces de l’ordre comme outil de lutte contre le terrorisme et la criminalité. Dans un rapport publié le 30 juin, NSO Group a déclaré qu’il refusait de vendre des logiciels espions à 55 pays et qu’il avait pris des mesures pour limiter les abus de ses clients.
    John Scott-Railton, chercheur principal au Citizen Lab, a déclaré que la recherche sur Candiru « montre qu’il y a tout un écosystème qui vend aux régimes autoritaires ».
    « Des outils comme Candiru sont utilisés pour exporter la peur », a-t-il ajouté.
    Les conclusions du Citizen Lab ont également permis de mieux comprendre le coût des activités de l’industrie des logiciels espions.
    Pour 16 millions d’euros (18,9 millions de dollars), les clients de Candiru peuvent tenter de compromettre un nombre illimité de dispositifs, mais ne peuvent en suivre activement que 10 à la fois, selon Citizen Lab. Pour un supplément de 1,5 million d’euros (1,8 million de dollars), les acheteurs peuvent surveiller 15 victimes supplémentaires.
    Selon le journal israélien Haaretz, Candiru a des clients en Europe, en Russie, au Moyen-Orient, en Asie et en Amérique latine. Des organismes de presse locaux ont fait état de contrats en Ouzbékistan, en Arabie saoudite, aux Émirats arabes unis, à Singapour et au Qatar, selon le rapport du Citizen Lab.
    Les clients de Candiru ne peuvent opérer que dans les « territoires convenus », selon Citizen Lab. Les clients de la société signent des contrats qui limitent les opérations en dehors des États-Unis, de la Russie, de la Chine, d’Israël et de l’Iran, selon le rapport. Mais Microsoft a déclaré avoir récemment découvert des activités avec le logiciel espion en Iran, ce qui suggère que les règles ne sont pas concrètes, selon le rapport.
    Aljazeera, 15/07/2021
    Etiquettes : Candiru, logiciels espions, spyware, Citizen Lab, Université de Toronto, Israël, NSO Group Ltd.,

  • De faux sites Web d’ONG pour pirater des cibles

    Une société de logiciels espions israélienne liée à de faux sites Web Black Lives Matter et Amnesty – rapport

    Un rapport indique qu’une société israélienne de logiciels espions est liée à de faux sites Web de Black Lives Matter et d’Amnesty.
    Les chercheurs affirment que des domaines web se faisant passer pour des groupes d’activistes, de santé et de médias sont utilisés par des gouvernements pour pirater des cibles.

    Selon un nouveau rapport, une société israélienne qui vend des logiciels espions à des gouvernements est liée à de faux sites web Black Lives Matter et Amnesty International qui sont utilisés pour pirater des cibles.

    Des chercheurs du Citizen Lab de l’Université de Toronto, qui ont travaillé avec Microsoft, ont publié jeudi un rapport sur les cibles potentielles de Candiru, une société basée à Tel-Aviv qui commercialise des logiciels espions « intraçables » capables d’infecter et de surveiller des ordinateurs et des téléphones.

    Les chercheurs ont découvert que le logiciel de la société était associé à des URL se faisant passer pour des ONG, des défenseurs des droits des femmes, des groupes d’activistes, des organisations de santé et des médias d’information. Les recherches du Citizen Lab ont permis de découvrir des sites Web liés à Candiru avec des noms de domaine tels que « Amnesty Reports », « Refugee International », « Woman Studies », « Euro News » et « CNN 24-7 ».

    Les chercheurs n’ont pas identifié les cibles spécifiques des sites Web se faisant passer pour des groupes de défense des droits de l’homme, et n’ont pas confirmé l’implication de clients gouvernementaux spécifiques. Microsoft a déclaré qu’il semble que Candiru vende le logiciel espion qui permet les piratages, et que les gouvernements choisissent généralement les cibles et mènent eux-mêmes les opérations.

    Ces conclusions suggèrent qu’une entreprise secrète et peu connue, mais d’envergure mondiale, pourrait aider les gouvernements à pirater et à surveiller les membres de la société civile. Le rapport s’inscrit dans un contexte d’inquiétudes croissantes concernant les technologies de surveillance qui peuvent contribuer aux violations des droits de l’homme, à la surveillance des forces de l’ordre et à la répression de Black Lives Matter et d’autres groupes militants.

    Le centre de renseignement sur les menaces de Microsoft, qui suit les menaces de sécurité et les cyber-armes, a mené sa propre analyse et a déclaré avoir trouvé au moins 100 cibles de logiciels malveillants liés à Candiru, y compris des politiciens, des militants des droits de l’homme, des journalistes, des universitaires, des employés d’ambassade et des dissidents politiques. Selon le rapport, Microsoft a trouvé des cibles au Royaume-Uni, en Palestine, en Israël, en Iran, au Liban, au Yémen, en Espagne, en Turquie, en Arménie et à Singapour.

    Dans un billet de blog publié jeudi, Microsoft a déclaré avoir désactivé les « cyberarmes » de Candiru et mis en place des protections contre le malware, notamment en publiant une mise à jour du logiciel Windows.

    Il n’y a pas de raisons légitimes pour que les services de renseignement ou leurs clients gouvernementaux créent des sites web qui se font passer pour des groupes d’activistes très connus et des organisations à but non lucratif, a déclaré Bill Marczak, co-auteur du rapport, dans une interview.

    Les militants ciblés peuvent cliquer sur des liens qui semblent provenir de sources fiables, puis être dirigés vers un site au contenu inoffensif ou redirigés ailleurs, a-t-il expliqué. « Mais ce site, qui a été spécialement enregistré dans le but d’exploiter leur ordinateur, exécuterait un code en arrière-plan qui prendrait silencieusement le contrôle de leur ordinateur », a-t-il ajouté.

    Le logiciel malveillant pourrait permettre « un accès permanent à pratiquement tout ce qui se trouve sur l’ordinateur », ce qui pourrait permettre aux gouvernements de voler des mots de passe et des documents ou d’activer un microphone pour espionner l’environnement de la victime.

    « L’utilisateur ne se rendrait pas compte que quelque chose ne va pas », a déclaré M. Marczak, chercheur principal au Citizen Lab, qui a passé au crible des entreprises britanniques, allemandes et italiennes spécialisées dans les logiciels espions, et qui a précédemment exposé les activités de NSO Group, une autre entreprise israélienne qui aurait permis au gouvernement de pirater des journalistes et des militants.

    L’utilisation de logiciels espions peut avoir des conséquences dévastatrices pour les militants et les dissidents. Ahmed Mansoor, militant des droits de l’homme aux Émirats arabes unis, a été emprisonné et a subi des violences après avoir été piraté et surveillé par un logiciel espion acheté par les Émirats. Il a été visé par des tentatives d’hameçonnage sophistiquées du gouvernement, notamment un SMS de 2016 avec un lien sur son téléphone qui prétendait inclure des informations sur la torture des détenus dans les prisons des EAU.

    Une « industrie du logiciel espion mercenaire ».
    Le public dispose d’un minimum d’informations sur Candiru, qui a été fondée en 2014 et a subi plusieurs changements de nom, selon le rapport. Elle serait désormais enregistrée sous le nom de Saito Tech Ltd, mais reste connue sous le nom de Candiru. En 2017, l’entreprise a réalisé des ventes d’une valeur de près de 30 millions de dollars, servant des clients dans le Golfe, en Europe occidentale et en Asie, selon une action en justice rapportée par un journal israélien. Candiru pourrait avoir des accords avec l’Ouzbékistan, l’Arabie saoudite et les Émirats arabes unis, a rapporté Forbes.

    Candiru proposerait à ses clients plusieurs moyens de pirater leurs cibles, notamment par le biais d’hyperliens, d’attaques physiques et d’un programme appelé « Sherlock », selon le rapport, qui cite un document de proposition de projet de la société ayant fait l’objet d’une fuite. La fonction de « Sherlock » n’est pas claire. La société vend également des outils pour Signal et Twitter, selon le rapport. Le document de proposition ayant fait l’objet d’une fuite comprenait un accord stipulant que le produit ne serait pas utilisé aux États-Unis, en Russie, en Chine, en Israël ou en Iran.

    Microsoft a toutefois déclaré avoir trouvé des victimes en Israël et en Iran.

    Citizen Lab a déclaré avoir pu identifier un ordinateur qui avait été piraté par le logiciel malveillant de Candiru, puis avoir utilisé ce disque dur pour extraire une copie du logiciel espion Windows de la société. Le propriétaire de l’ordinateur était un individu « politiquement actif » en Europe occidentale, selon le rapport.

    L’équipe a également identifié plus de 750 noms de domaine qui semblaient être liés à Candiru et à ses clients. Outre les sites se faisant passer pour des organisations à but non lucratif, les chercheurs ont trouvé des URL qui semblaient usurper l’identité d’une publication indonésienne de gauche ; un site qui publie les actes d’accusation de prisonniers palestiniens prononcés par des tribunaux israéliens ; un site Web critiquant le prince héritier d’Arabie saoudite, Mohammed bin Salman ; et un site qui semblait être associé à l’Organisation mondiale de la santé.

    « La présence apparente de Candiru, et l’utilisation de sa technologie de surveillance contre la société civile mondiale, est un rappel puissant que l’industrie des logiciels espions mercenaires contient de nombreux acteurs et est sujette à des abus généralisés », indique le rapport. « Cette affaire démontre, une fois de plus, qu’en l’absence de toute garantie internationale ou de contrôles stricts des exportations par les gouvernements, les vendeurs de logiciels espions vendront à des clients gouvernementaux qui abuseront régulièrement de leurs services. »

    Le rapport ne fait pas état de violations spécifiques de la loi, bien qu’il soit difficile d’évaluer la légalité sans savoir quelles nations ont été impliquées dans le piratage.

    Les conclusions concernant Candiru suggèrent qu’il existe des problèmes systématiques dans le secteur des logiciels espions et dans la manière dont il est réglementé, a déclaré M. Marczak. « Il ne s’agit pas seulement d’une pomme pourrie », a-t-il ajouté, faisant référence à NSO Group, dont le logiciel espion aurait été utilisé contre un journaliste du New York Times auteur d’un livre sur le prince Mohammed et un membre du personnel d’Amnesty International.

    « Nous avons désespérément besoin de mieux comprendre cette industrie, car elle se développe beaucoup plus vite que nous ne pouvons le suivre, et elle est plus importante que nous ne le savons », a ajouté John Scott-Railton, un autre chercheur du Citizen Lab et coauteur, notant que les gouvernements deviennent également de plus en plus vulnérables au piratage et à l’espionnage par d’autres États. « C’est un problème urgent de sécurité nationale, et les gouvernements du monde entier vont se retrouver ciblés par cette technologie, si ce n’est déjà fait. »

    Les représentants de Candiru n’ont pas immédiatement répondu aux demandes de commentaires du Guardian jeudi.

    The Guardian, 15/07/2021

    Etiquettes : Israël, logiciels espions, Black Lives Matter, Amnesty International, Citizen Lab, Candiru, « Amnesty Reports », « Refugee International », « Woman Studies », « Euro News » et « CNN 24-7 », Saito Tech Ltd, Sherlock,