Le dernier rapport du Threat Analysis Group (TAG) de Google révèle une tendance frappante. Une équipe de cyber-espionnage liée au Kremlin et des fabricants de logiciels espions commerciaux semblent exploiter de la même manière des brèches de sécurité spécifiques.
Selon l’équipe du TAG, un groupe appelé APT29, qui serait dirigé par le gouvernement russe, aurait infecté les sites web du cabinet et du ministère des affaires étrangères mongols. Pour ce faire, le groupe a exploité des points faibles connus dans iOS d’Apple et Chrome sur Android pour détourner les appareils des visiteurs des sites. Ce processus est connu sous l’appellation ‘watering hole attack’ (attaque de point d’eau). Il s’agit de compromettre un site web que les internautes de qualité visitent fréquemment, afin qu’il puisse à son tour être utilisé pour cibler ces objectifs.
APT29 est également connu sous le nom de Cozy Bear, le groupe de cyber-espions russes présumés qui a pillé les serveurs du parti démocrate aux Etats-Unis et a poursuivi des cibles gouvernementales européennes. Ce même groupe fut aussi à l’origine de la porte dérobée de la chaîne d’approvisionnement de SolarWinds et lut même les courriels internes de Microsoft.
Entreprises indésirables
Ce que l’équipe de TAG a découvert, c’est que le code d’exploitation utilisé dans le piratage mongol est très proche de ce que proposent les fournisseurs de logiciels espions commerciaux comme NSO Group et Intellexa. ‘Dans chaque itération des campagnes ‘watering hole’, les agresseurs ont utilisé des brèches identiques ou étonnamment similaires à celles précédemment utilisées par les fournisseurs de logiciels espions commerciaux (CSV) Intellexa et NSO Group’, peut-on lire dans le rapport. L’exploit de cette attaque a utilisé exactement le même déclencheur qu’Intellexa, ce qui suggère que les auteurs ou les fournisseurs sont les mêmes. Nous ne savons pas comment les attaquants dans le cadre de ces récentes campagnes de point d’eau ont pu mettre la main sur cet exploit.’
Apple et Google ont depuis corrigé la vulnérabilité dans leurs logiciels.
Les auteurs de logiciels espions commerciaux sont controversés depuis un certain temps déjà et sont également de plus en plus dans la ligne de mire. C’est ainsi que Meta a poursuivi NSO Group pour avoir compromis des utilisateurs de WhatsApp et qu’Apple prépare aussi un procès. Elle qualifie le logiciel de l’entreprise de ‘logiciel espion mercenaire’. Intellexa est également durement touchée. En mai, le département du trésor américain a imposé des sanctions à des employés de l’entreprise, parce que le logiciel de surveillance aurait été utilisé pour surveiller des responsables gouvernementaux et des journalistes. Intellexa a également été ajoutée à une liste d’entreprises indésirables.
Menace
‘Bien que nous ne sachions pas avec certitude comment les acteurs présumés d’APT29 ont obtenu ces exploits, nos recherches soulignent à quel point les exploits initialement développés par l’industrie de surveillance commerciale sont distribués à des acteurs malveillants dangereux’, a conclu l’équipe du TAG. ‘En outre, ce type d’attaque de point d’eau reste une menace où des exploits sophistiqués peuvent être utilisés pour attaquer les personnes qui visitent régulièrement des sites, y compris sur des appareils mobiles.’
