Des anciens bureaux de Candiru, selon l’ONG canadienne Citizen Lab.
Des journalistes d’une agence de presse libanaise auraient été ciblés par l’un des logiciels espion de la société Candiru, vient de signaler l’éditeur Avast. Si cette société d’antivirus tchèque ignore les raisons de cette surveillance, elle précise de manière générale que l’espionnage de journalistes permet à des attaquants de découvrir leurs sources, de connaître leurs thèmes de travail ou de recueillir des données sensibles.
La très discrète société Candiru, également connue sous le nom de Saito Tech, est l’une des firmes en vue, avec NSO Group, de l’industrie israélienne de la cybersurveillance. Deux sociétés qui partagent d’ailleurs plusieurs actionnaires et fondateurs. Selon l’ONG canadienne Citizen Lab, l’offre de Candiru, destinée à des clients étatiques, va de l’espionnage d’ordinateurs aux appareils mobiles en passant par l’informatique en nuage.
Une nouvelle campagne détectée au printemps
On soupçonne ainsi le fabricant de logiciels espions d’avoir réussi à vendre ses produits en Arabie Saoudite, aux Emirats Arabes Unis, au Qatar, à Singapour ou encore en Ouzbékistan. Si l’entreprise a fait un peu moins parler d’elle ces derniers temps, elle n’était pas en sommeil, loin de là. Soit le temps nécessaire, spécule Avast, pour lancer de nouvelles fonctionnalités plus furtives.
Mais l’éditeur d’antivirus, par la voix de son chercheur Jan Vojtešek, indique avoir repéré au printemps une campagne ayant ciblé des utilisateurs de l’une de ses solutions au Liban, en Turquie, au Yémen et en Palestine. “Nous pensons que les attaques étaient très ciblées”, indique le spécialiste en malware.
L’un des modes d’attaque reposait sur un enchaînement subtil d’actions malveillantes. Tout d’abord, l’attaquant a compromis un site web utilisé par des employés de l’agence de presse libanaise visée. Ce site devait permettre de rediriger les victimes, filtrées précisément, vers un serveur.
Ensuite, grâce à une faille non connue (CVE-2022-2294) dans Google Chrome, un débordement de mémoire tampon (buffer overflow) dans WebRTC, les attaquants pouvaient lancer un exécutable déclenchant l’installation du logiciel espion, DevilsTongue. Un spyware classique, notait Microsoft, qui dispose également d’une fonction pour surveiller les conversations Signal.
Impact plus large
Comme le rappelle Avast, la faille zero-day utilisée pour tromper Chrome avait un impact beaucoup plus large. Elle affectait en effet les navigateurs basés sur Chromium, comme Microsoft Edge ou Avast Secure Browser, mais également Safari d’Apple. Autant d’entreprises qui ont publié des correctifs depuis le début du mois de juillet. Les utilisateurs de Chrome doivent par exemple accepter le redémarrage du logiciel pour boucler sa mise à jour.
