Antivirus: Ralentissement de windows ?Le party est poigné avec wa_3rd_party_host_32.exe
Un programme provenant de L'Antivirus Avira occasionne un ralentissement de windows.
Il serait logé dans le dossier Program Files (x86)/Avira/Security/Swu.
On le voit ici dans la photo ,le programme du nom de : wa_3rd_party_host_32 et aussi le programme:
wa_3rd_party_host_64.On la vu dans windows 7 entre autres !
L'Antivirus Norton aussi:wa_3rd_party_host_32.exe ou
wa_3rd_party_host_34.exe.
Apparemment dans le C:\Program Files\Norton Security\Engine\22.22.6.10.
On pense qu'il est utilisé pour mettre à jour/vérifier votre logiciel ou au moins le prendre en charge.Si vous allez sur My Norton, il y a un "software-updater".Je ne l'ai utilisé que récemment pour la première fois.une simple analyse ouvrira cet hôte tiers.https://community.norton.com/en/forums/omswat-wa3rdpartyhost32exe
1- La solution gratuite d'un autre antivirus performant ,qui ne ralenti pas votre système d'exploitation windows serait : TrendMicro
2- Et aussi le logiciel :Security Task Manager,de Neuber software.
Security Task Manager détecte les virus et chevaux de Troie susceptibles de s'apparenter aux processus Windows, et capables de causer des problèmes ou de ralentir le fonctionnement de votre ordinateur.
Security Task Manager vous montre les processus présents sur
votre ordinateur qui sont inutiles ou qui présentent un risqué de
sécurité. Contrairement au Gestionnaire de Tâche Windows, pour chaque
processus en cours d’exécution, vous verrez également:
Une évaluation à la pointe de la technologie
Commentaires des autres utilisateurs
Commentaires de nos Experts
Résultats donnés par les scanner des meilleurs détecteurs de virus du marché
A que logiciel appartient chaque processus?
Editeur et site Internet
Graphique représentant l’utilisation de l’unité centrale
Chemin du répertoire complet et nom de fichier
Description
Fonctions cachées intégrées (Surveillance des entrées clavier, surveillance du navigateur, manipulations de données)
Type de processus (Fenêtre visible, programme dans barre des tâches, DLL, plugins du navigateur, services)
Security Task Manager identifie aussi les pilotes virtuels,
services, BHO ou processus cachés du gestionnaire de tâches de Windows.
Après avoir copié ce fichier sur votre ordinateur, lancer
l'explorateur et faites un double click sur le fichier. Un utilitaire
vous conduira à travers l'installation. Aucun fichier n'est copié ou
modifié dans les répertoires système.
Le téléchargement ne contient que le logiciel Security Task Manager.
Security Task Manager n'installera ou n'ajoutera pas d'autres programmes
ou fichiers sur votre ordinateur.
3- Pour une meilleur protection et scanner les programmes en background:
SysHardener v1.5,de la cie Novirusthanks.org
C'est une application de sécurité gratuite du système d'exploitation Windows qui vous permet de renforcer les paramètres Windows pour atténuer les menaces de cybersécurité.Avec cet outil, vous pouvez restreindre les fonctionnalités de Windows et sécuriser les applications vulnérables (c'est-à-dire Office et Adobe Reader).Vous pouvez dissocier les associations de types de fichiers VBS, VBE, JS, JSE, WSH, désactiver JavaScript sur Adobe Reader, désactiver les macros, OLE et ActiveX sur Office, désactiver les services Windows inutilisés, bloquer les connexions sortantes de programmes spécifiques via le pare-feu Windows, et bien plus encore.Besoin d'une protection en temps réel ?Essayez OSArmor »
Vous aurez accès a beaucoup de fonctions windows !
4- Et enfin tout comme Malwarebytes, OSArmor , Empêche les logiciels malveillants et les rançongiciels:
https://youtu.be/kdtHxUqDNMc
C'est une application Windows OS qui surveille et bloque les comportements suspects des processuspour prévenir les infections par des logiciels malveillants, des rançongiciels et d'autres menaces.Cet outil analyse les processus parents et empêche, par exemple, MS Word d'exécuter cmd.exe ou powershell.exe.Il empêche les ransomwares de supprimer les clichés instantanés des fichiers via vssadmin.exe, bloque les processus avec des extensions de fichiers doubles (c'est-à-dire facture.pdf.exe), bloque les logiciels malveillants se propageant par USB, et bien plus encore.Il est léger, ne nécessite aucune intervention de l'utilisateuret protège votre système lors de l'exécution en arrière-plan.
https://www.osarmor.com/
https://fr.malwarebytes.com/mwb-download/
Et l'extention/add-on de navigateur Browser Guard de Malwarebytes,peut aussi s'intaller dans votre fureteur!
Nota:
Qu'est-ce que wa_3rd_party_host_32.exe ?
L'extension .exe sur un nom de fichier indique un fichier exécutable. Les fichiers exécutables peuvent, dans certains cas, endommager votre ordinateur. Par conséquent, veuillez lire ci-dessous pour décider par vous-même si le wa_3rd_party_host_32.exe sur votre ordinateur est un cheval de Troie que vous devez supprimer, ou s'il s'agit d'un fichier appartenant au système d'exploitation Windows ou à une application de confiance.
Informations sur le fichier Wa_3rd_party_host_32.exe
Le processus appelé OESIS V4 (version 3rd Party Hos) appartient au logiciel OESIS V4 SD de OPSWAT.
Description : Wa_3rd_party_host_32.exe n'est pas essentiel au système d'exploitation Windows et cause relativement peu de problèmes. Wa_3rd_party_host_32.exe se trouve dans un sous-dossier de "C:\Program Files (x86)"—principalement C:\Program Files (x86)\OPSWAT\OnDemand\ondemands\oesis\. Les tailles de fichiers connues sous Windows 10/8/7/XP sont de 947 632 octets (33 % de toutes les occurrences), 869 808 octets ou 976 304 octets. https://www.file.net/process/wa_3rd_party_host_32.exe.html
Le fichier wa_3rd_party_host_32.exe est un fichier signé Verisign. Le fichier wa_3rd_party_host_32.exe est certifié par une entreprise digne de confiance. Le fichier n'est pas un fichier principal de Windows. Le programme n'a pas de fenêtre visible. Wa_3rd_party_host_32.exe est capable de surveiller les applications. Par conséquent, la cote de sécurité technique est de 22 % dangereuse.
Comment supprimer ou désinstaller wa_3rd_party_host_32.exe ?
Pour supprimer wa_3rd_party_host_32.exe de votre ordinateur, suivez les étapes suivantes une par une. Cela désinstallera wa_3rd_party_host_32.exe s'il faisait partie du logiciel installé sur votre ordinateur.
Si le fichier fait partie d'un logiciel, il aura également un programme de désinstallation.
Ensuite, vous pouvez exécuter le programme de désinstallation situé dans un répertoire tel que C:Program Files>OPSWAT>OESIS V4 SD>OESIS V4> wa_3rd_party_host_32.exe_uninstall.exe.
Ou le wa_3rd_party_host_32.exe a été installé à l'aide de Windows Installer, puis pour le désinstaller, accédez aux paramètres système et ouvrez l'option Ajouter ou supprimer des programmes.
Ensuite, recherchez wa_3rd_party_host_32.exe ou le nom du logiciel OESIS V4 SD dans la barre de recherche ou essayez le nom du développeur OPSWAT.
Cliquez ensuite dessus et sélectionnez l'option Désinstaller le programme pour supprimer le fichier wa_3rd_party_host_32.exe de votre ordinateur. Maintenant, le programme logiciel OESIS V4 SD(on peut aussi le voir dans l'antivirus Avira) ainsi que le fichier wa_3rd_party_host_32.exe seront supprimés de votre ordinateur.
Si vous pensiez être protégé avec le VPN de l’iPhone, c’est raté
Une
enquête montre que vos données sont toujours accessibles même en
faisant appel à cette fonctionnalité régulièrement mise en avant par
Apple.
Publié le
Par iPhon.fr
Selon une étude complète du chercheur en cybersécurité Michael
Horowitz, les VPN de l’iPhone ne respectent pas la promesse faite à
leurs utilisateurs. En effet, l’expert a remarqué que même après avoir
dérouté votre connexion vers un serveur tiers, le chemin emprunté par vos données “fuite“ si bien qu’un internaute malintentionné peut potentiellement y avoir accès plus facilement…
On ne sait pas si le problème a été corrigé avec iOS 15.6.1, arrivé il y a quelques heures avec un correctif de sécurité majeur.
En revanche l’incident touche bien les appareils tournant sous iOS
15.6, soit la mouture précédente. Autant dire que la plupart des iPhone
du moment sont concernés, dont les iPhone 13, les iPhone 13 Pro et les
iPhone SE de troisième génération.
Apple est au courant
D’après Horowitz, c’est tout d’abord ProtonVPN qui a évoqué la faille en mars 2020.
Cupertino a depuis été alertée mais aucune mesure fiable n’aurait été
mise en place pour résoudre le souci. Et en plus des mobiles, ce sont
aussi les tablettes qui sont touchées, or on sait que bon nombre d’entre
elles sont privilégiées par des entreprises pour leur équipement. Des
informations personnelles et sensibles transitent donc tous les jours
par un maillage très risqué…
Pire encore : pour le développeur, n’importe quel VPN
est en fait victime de cette brèche car les clients tiers s’appuient
sur la fonctionnalité native d’iOS pour proposer leurs services. Le seul
conseil simple qui semble permettre de se prémunir du danger est donc
d’éviter tout simplement de passer par le réseau privé de l’iPhone. On
ne sait pas si l’option Relais privé iCloud, disponible avec iCloud+,
est également touchée mais c’est possible.
Autrement, il peut être judicieux de passer par un autre VPN mais installé cette fois-ci directement dans un routeur physique,
plutôt que sur iOS. Le prix de ce genre de produit varie de quelques
dizaines d’euros à plusieurs centaines pour les plus performants.
iOS 16 en route
Il
n’y a plus qu’à espérer qu’iOS 16, prévu pour cet automne, sera livré
avec un patch pour rendre le VPN plus sûr. Le nouveau programme devrait
être publié vers mi-septembre.
Carmi a quitté l'entreprise peu de temps après sa
création et, selon toute apparence, a gardé ses distances depuis.
Lavie et Hulio, quant à eux, restent dans l'entreprise. Ils ont atteint
un niveau de notoriété rare sur la scène technologique très soudée
d'Herzliya, en Israël, où les entreprises restent en "mode furtif"
pendant des années, et même les entrepreneurs locaux bien connus peuvent
être étrangement difficiles à trouver via Google. Sur les
photographies, le couple ressemble à des frères, avec des têtes rasées
assorties, du chaume et des constructions trapues qui trahissent leur
carrière en informatique, les deux étant maintenant retirés de leur
temps passé en service obligatoire pour les Forces de défense
israéliennes.
Fondé en 2010 ;FondateursOmri LavieShalev HulioNiv Karmi(A quitté l'entreprise un mois après sa création)Siège social Herzlia, IsraëlPersonnes clésShalev Hulio (PDG)[1]Produits PégaseChiffre d'affaires 243 millions de dollars (2020)Résultat d'exploitation99 millions de dollars américains (2020)PropriétaireCapitale NovalpinaOmri LavieShalev HulioNombre d'employés750 (2021)Site Web : nsogroup.com
La société ne révèle pas le coût de ces exploits. Le journal israélien
Haaretz a rapporté en novembre que l'Arabie saoudite avait payé 55
millions de dollars pour accéder à Pegasus en 2017.Selon
l'offre de dette, NSO Group comptait 60 clients actifs dans le monde.
Parmi ceux-ci, 80 % appartenaient au gouvernement; 20% étaient des
services de police, des autorités pénitentiaires ou des militaires.
Plus de 60 % de ses clients se trouvaient au Moyen-Orient et en Asie.
Moins de 30 % se trouvaient en Europe. Seulement 3 % se trouvaient dans
les Caraïbes et en Amérique latine, et 1 % en Amérique du Nord.
La mafia de l'NSO ! https://www.haaretz.com/israel-news/tech-news/2020-09-07/ty-article/.premium/mobile-spytech-millions-in-gulf-deals-top-secret-israeli-cyberattack-firm-reve/0000017f-e1eb-d568-ad7f-f3eb36390000
https://youtu.be/Tl3mpywMYFA
Au
fur et à mesure que NSO Group s'est développé, un enchevêtrement de
startups similaires s'est développé autour de lui, dans de nombreux cas
fondés, financés ou dotés par d'anciens employés de NSO Group. Selon
l'estimation d'une personne, il y a plus de 20 startups fondées par des
anciens du groupe NSO.
L'une
des entreprises les plus visibles est Interionet, qui développe des
logiciels malveillants pour les routeurs Internet. Dans son profil sur
la base de données du centre de recherche IVC, la société se décrit
comme une plate-forme de cyberespionnage "qui permet aux agences de
renseignement du monde entier d'obtenir de grandes quantités de
renseignements sensibles et de haute qualité". Il a été fondé par Yair
Ceache, l'ancien PDG du groupe NSO, et Sharon Oknin, l'ancienne
vice-présidente de la livraison du groupe NSO. Joshua Lesher, ancien
membre du conseil d'administration de NSO Group, siège également au
conseil d'administration d'Interionet.
Il existe également une startup cyber offensive appelée Wayout, fondée
par Gil Dolev, le frère du président du groupe NSO, Shiri Dolev. La
startup a levé des fonds auprès des fondateurs de NSO
Group va construire des outils d'interception pour les appareils
"internet des objets", selon les personnes présentes dans l'espace.
Dolev n'a pas répondu à une demande de commentaire.
L'une
des entreprises les plus ouvertes au public est PICSIX, qui fait la
promotion de sa technologie, y compris ce dispositif d'interception
d'appels, sur son site Web.
PICSIX
Une autre société secrète est Grindavik Solutions, également connue sous
le nom de Candiru, une startup fondée par l'ancien cadre de Gett Eitan
Achlow et le cadre du groupe NSO Isaac Zack, et soutenue financièrement
par Zack. En janvier, la publication israélienne TheMarker a rapporté
que Candiru vend des outils pour pirater des ordinateurs et des
serveurs, et a cité des sources qui ont déclaré que l'entreprise
pourrait également pirater des appareils mobiles.
Ensuite,
il y a Intellexa, un consortium international d'entreprises vendant des
technologies d'interception et d'extraction, y compris des outils
d'interception 2G, 3G et 4G de Nexa basé à Paris, des outils
d'interception WiFi longue portée de WiSpear basé à Chypre et un
dispositif d'extraction de données de Cytrox, qui a été acquis par
WiSpear en 2018.
Aujourd'hui, le consortium est composé de sociétés distinctes, mais le
plan est de fusionner éventuellement en une seule société, selon une
personne proche du dossier.
Le lien le plus profond d'Intellexa avec le groupe NSO passe par Tal
Dilian, le fondateur israélien de WiSpear. La société de Dilian,
Circles, qui vendait des technologies de localisation et d'interception,
a été acquise pour 130 millions de dollars par la société de
capital-investissement Francisco Partners avant d'être fusionnée avec
NSO Group en 2014.
Au printemps, Dilian a montré au journaliste de Forbes, Thomas Brewster,
la nouvelle offre de produits frappante d'Intellexa : une fourgonnette
de surveillance trompée qui se vend entre 3,5 et 9 millions de dollars
et peut soi-disant suivre les visages, écouter les appels, localiser les
téléphones et accéder à distance aux messages WhatsApp.
L'espace
n'est cependant pas limité aux anciens de l'NSO. De nombreuses
entreprises israéliennes développent des logiciels malveillants pour les
routeurs WiFi ou des attaques sur les réseaux WiFi, ce qui permet à ses
utilisateurs d'intercepter les informations envoyées sur Internet.
Ceux-ci incluent Merlinx, autrefois connu sous le nom d'Equus
Technologies; Wintégo ; les cyberlaboratoires de Jenovice ; et PICSIX.
Il y a aussi Quadream, qui développe des attaques sur le système
d'exploitation mobile d'Apple. Une société appelée Rayzone Group et une
autre appelée Magen 100 vendent toutes deux des outils pour
l'interception des données des smartphones. Ensuite, il y a Toka et
Incert Intelligence, qui créent tous deux des outils pour accéder à
distance aux appareils de l'Internet des objets. Il n'est pas clair si
l'une de ces entreprises est liée au groupe NSO ou est financée par ses
anciens élèves.
Tableau des groupes d'NSO
La Silicon Valley flirte avec le diable
L'une
des raisons pour lesquelles tant de ces entreprises vantent les
investissements providentiels de Lavie, Hulio et d'autres anciens du
groupe NSO est que les investisseurs plus traditionnels restent à
l'écart.
Les capital-risqueurs de la Silicon Valley et de Tel Aviv ont déclaré
qu'ils recevaient occasionnellement des arguments de startups dans
l'espace – un investisseur a déclaré avoir entendu parler de 10 à 20
entreprises différentes à Tel Aviv, en Israël, avec une technologie
offensive. Mais pour beaucoup, cela ne vaut tout simplement pas la peine
de s'impliquer.
Certains investisseurs en capital-risque ont remis en question la
logique commerciale de soutenir une entreprise comme NSO Group, qui n'a
pas beaucoup d'acquéreurs viables et dont les techniques controversées
peuvent être mal vues par les marchés publics. Alors que bon nombre des
plus grandes entreprises de Sand Hill Road n'ont pas de règles
explicites contre le placement de leur argent dans les cyber-armes, les
investisseurs l'ont comparé à l'investissement dans le cannabis ou les
armes à feu – des domaines à risque qu'il vaut mieux garder à distance.
Udi
Doenyas, cofondateur et ancien directeur de la technologie du groupe
NSO qui a quitté l'entreprise en 2014, a déclaré qu'un contrôle accru de
la légalité de la cybertechnologie offensive a augmenté le coût des
affaires et effrayé les sources de financement.
"Nous avons vraiment eu de la chance", a-t-il déclaré à propos des
premiers succès du groupe NSO sous le radar. "Nous étions là au bon
moment."
Yoav Leitersdorf, le fondateur de la société de capital-risque
israélo-américaine YL Ventures, a déclaré que son entreprise n'avait
jamais investi et n'investirait jamais dans une cyberentreprise
offensive.
"La principale raison en est éthique, car souvent les clients de ces
fournisseurs finissent par utiliser la technologie d'une manière qui
viole les droits de l'homme, avec ou sans la connaissance des
fournisseurs", a déclaré Leitersdorf dans un e-mail. "La raison
secondaire est que ces investissements sont beaucoup plus difficiles à
sortir que les investissements de cybersécurité plus traditionnels, car
il y a beaucoup moins d'acquéreurs potentiels pour les fournisseurs de
cybersécurité offensifs : vous recherchez essentiellement des sociétés
de capital-investissement et des sous-traitants de la défense, et c'est à
peu près tout."
Il
y a cependant une exception récente : le concurrent du groupe NSO,
Toka, a levé un tour de table de 12,5 millions de dollars auprès
d'Andreessen Horowitz, de Dell Technologies Capital, de LaunchCapital,
d'Entrée Capital et du l'investisseur Ray Rothrock l'an dernier.
Toka
construit des cyber-outils à la demande avec un accent particulier sur
les logiciels espions pour l'Internet des objets. Son objectif est de
donner à ses clients un accès à distance à des appareils comme Amazon
Echoes, des appareils intelligents et des thermostats.
Son équipe fondatrice est un who's who du monde israélien de la
cybersécurité. Le PDG de Toka est Yaron Rosen, l'ancien cyberchef des
Forces de défense israéliennes. Son chef de l'exploitation est Kfir
Waldman, un entrepreneur en série et ancien cadre de Cisco. Il y a aussi
Alon Kanton, un ancien cadre de Check Point Security. Et son dernier
cofondateur et directeur est l'ancien Premier ministre israélien Ehud
Barak.
Trois investisseurs et deux technologues connaissant Toka ont déclaré à
Business Insider que la société avait des capacités offensives, bien que
la société conteste cette caractérisation.
"Toka
ne construit pas de cyber, d'outils d'attaque ou d'armes offensifs", a
déclaré Kenneth Baer, porte-parole de l'entreprise, à Business
Insider. "Toka ne construira que des outils de renseignement, pas des
armes offensives. Un domaine sur lequel nous nous concentrons, qui nous
semble mal desservi, est le secteur de l'IdO. Il présente d'énormes
opportunités - et des défis - pour les forces de l'ordre et les agences
de sécurité."
Toka, comme NSO Group, est réglementé par le ministère israélien de la
Défense, qui approuve en fin de compte toutes les exportations de
technologies de cybersécurité qui pourraient être classées comme des
outils de cyberguerre. Tout comme le groupe NSO, Toka formera un conseil
consultatif pour "superviser toutes les activités et opérations de
vente", a déclaré Baer.
Aucune responsabilité significative
Dans une grande partie du monde, la vente de logiciels offensifs est
largement réglementée comme des armes. L'arrangement de Wassenaar de 42
pays, dont les signataires comprennent toute l'Amérique du Nord et la
majeure partie de l'Europe, a des lignes directrices pour les
exportations mondiales d'armes, qui incluent les cyberarmes depuis 2013.
Bien
qu'Israël ne fasse pas partie de l'arrangement, le pays affirme qu'il
suit les directives et que toutes les exportations de logiciels doivent
être approuvées par le ministère de la Défense. Les initiés de
l'industrie ont qualifié les lois d'opaques et ont déclaré que les
entreprises n'avaient souvent pas beaucoup d'informations sur les
critères d'approbation. Il y a peu d'informations publiques sur les
exportations qui réussissent. (Reuters a rapporté le mois dernier que le
ministère israélien de la Défense avait assoupli certaines de ses
règles pour accélérer la vente de cybertechnologies offensives.)
Les détracteurs de l'industrie soutiennent que les contrôles nationaux
ne suffisent pas et cherchent à établir des précédents juridiques
mondiaux pour tenir les entreprises technologiques responsables si et
quand leurs produits sont mal utilisés par des gouvernements étrangers.
"Il n'y a aucune preuve à l'heure actuelle qu'il existe une
responsabilité significative concernant les abus qui se sont déjà
produits", a déclaré John Scott-Railton, chercheur principal au Citizen
Lab de l'Université de Toronto, qui suit l'utilisation de Pegasus.
"Personne ne peut raisonnablement prétendre que l'industrie se surveille
ou est tenue responsable de ce qu'elle fait."
Doenyas,
l'ancien directeur de la technologie du groupe NSO, pense qu'il est
"beau" que les anciens élèves du NSO créent leur propre entreprise -
tant, a-t-il dit, qu'ils agissent moralement. Mais il hésitait à parler
d'entreprises spécifiques. Ils préfèrent le secret, dit-il, car cela
rend leurs produits plus efficaces.
"Quand vous voulez maintenir la paix, vous feriez mieux de ne pas faire
paniquer toute la population", a déclaré Doenyas. "Vous voulez garder
les informations et les capacités pour vous-même, et ne les utiliser que
lorsque vous en avez besoin."
ndlr:
Comme feraient si bien les grandes agences de renseignements!
Candiru: Un autre fournisseur de logiciels espions mercenaires entre en scène:
Par Bill Marczak, John Scott-Railton, Kristin Berdan, Bahr Abdul Razzak et Ron Deibert
Le 15 juillet 2021
Sommaire
Candiru a été fondée en 2014 par Yaakov Weizmann et Eran Shorer, son président vétéran Itzik Zack étant également son principal actionnaire. La société fait des efforts considérables pour garder ses opérations sous le radar et, au fil des ans, a changé de nom à plusieurs reprises. Son nom le plus actuel est Saito Tech Inc., et s'appelait auparavant également Taveta, Grindavik Solutions Ltd. et DF Associates, mais dans l'industrie, il est toujours connu sous son nom d'origine Candiru. Comme de nombreux acteurs israéliens dans le domaine de la cyber-surveillance, il recrute la plupart de ses employés dans l'unité 8200 de Tsahal.
Google maps: https://www.google.com/maps/place/HaArba'a+21,+Tel+Aviv-Yafo,+Isra%C3%ABl/@32.0704496,34.7870971,17z/data=!4m13!1m7!3m6!1s0x151d4b9d0d387b67:0xbe562e877c1084ba!2sHaArba'a+21,+Tel+Aviv-Yafo,+Isra%C3%ABl!3b1!8m2!3d32.0704496!4d34.7870971!3m4!1s0x151d4b9d0d387b67:0xbe562e877c1084ba!8m2!3d32.0704496!4d34.7870971
Candiru est une société secrète basée en Israël qui vend des logiciels espions exclusivement aux gouvernements. Apparemment, leurs logiciels espions peuvent infecter et surveiller les iPhones, les Android, les Mac, les PC et les comptes cloud.
Grâce à l'analyse Internet, nous avons identifié plus de 750 sites Web liés à l'infrastructure de logiciels espions de Candiru. Nous avons trouvé de nombreux domaines se faisant passer pour des organisations de défense telles qu'Amnesty International, le mouvement Black Lives Matter, ainsi que des sociétés de médias et d'autres entités thématiques de la société civile.
Nous avons identifié une victime politiquement active en Europe occidentale et récupéré une copie du logiciel espion Windows de Candiru.
En collaboration avec Microsoft Threat Intelligence Center (MSTIC), nous avons analysé le logiciel espion, ce qui a abouti à la découverte de CVE-2021-31979 et CVE-2021-33771 par Microsoft, deux vulnérabilités d'élévation de privilèges exploitées par Candiru. Microsoft a corrigé les deux vulnérabilités le 13 juillet 2021.
Dans le cadre de son enquête, Microsoft a observé au moins 100 victimes en Palestine, en Israël, en Iran, au Liban, au Yémen, en Espagne, au Royaume-Uni, en Turquie, en Arménie et à Singapour. Les victimes comprennent des défenseurs des droits humains, des dissidents, des journalistes, des militants et des politiciens.
Nous fournissons un bref aperçu technique du mécanisme de persistance du logiciel espion Candiru et quelques détails sur la fonctionnalité du logiciel espion.
Candiru a fait des efforts pour masquer sa structure de propriété, son personnel et ses partenaires d'investissement. Néanmoins, nous avons pu faire la lumière sur ces domaines dans ce rapport.
1. Qui est Candiru ?
La société connue sous le nom de « Candiru », basée à Tel-Aviv, en Israël, est une société de logiciels espions mercenaires qui commercialise des logiciels espions « introuvables » aux clients du gouvernement. Leur offre de produits comprend des solutions d'espionnage sur les ordinateurs, les appareils mobiles et les comptes cloud.
Figure 1 : Une fresque distinctive de cinq hommes à tête vide portant des costumes et des chapeaux melon est affichée sur cette photo « Happy Hour » d'un ancien bureau de Candiru publiée sur Facebook par une entreprise de restauration.
Une structure d'entreprise délibérément opaque
Candiru s'efforce de garder ses opérations, son infrastructure et l'identité de son personnel opaques à l'examen public. Candiru Ltd. a été fondée en 2014 et a subi plusieurs changements de nom
(voir : Tableau 1). Comme de nombreuses sociétés de logiciels espions mercenaires, la société recruterait dans les rangs de l'unité 8200, l'unité de renseignement électromagnétique des Forces de défense israéliennes.
Bien que le nom actuel de l'entreprise soit Saito Tech Ltd, nous les appellerons "Candiru" car ils sont plus connus sous ce nom. Le logo de l'entreprise semble être une silhouette du poisson Candiru réputé horrible sous la forme de la lettre "C".
Raison sociale Date d'enregistrement Signification possible
Saito Tech Ltd. (סאייטו טק בעיימ) 2020 "Saito" est une ville au Japon
Taveta Ltd. (טאבטה בעיימ) 2019 "Taveta" est une ville du Kenya
Grindavik Solutions Ltd. (גרינדוויק פתרונות בעיימ) 2018 "Grindavik" est une ville d'Islande
DF Associates Ltd. (ד. אפ אסוסיאייטס בעיימ) 2017 ?
Candiru Ltd. (קנדירו בעיימ) 2014 Un poisson d'eau douce parasite
Tableau 1 : Enregistrements des sociétés de Candiru au fil du temps
Candiru a au moins une filiale : Sokoto Ltd.
La section 5 fournit une documentation supplémentaire sur la structure d'entreprise et la propriété de Candiru.
Ventes et investissements déclarés
Selon un procès intenté par un ancien employé, Candiru a réalisé des ventes de « près de 30 millions de dollars », dans les deux ans suivant sa création. Les clients déclarés de l'entreprise sont situés en "Europe, dans l'ex-Union soviétique, dans le golfe Persique, en Asie et en Amérique latine". De plus, des rapports sur des accords possibles avec plusieurs pays ont été publiés :
Ouzbékistan : lors d'une présentation en 2019 lors de la conférence sur la sécurité du Virus Bulletin, un chercheur de Kaspersky Lab a déclaré que Candiru avait probablement vendu son logiciel espion au service de sécurité nationale d'Ouzbékistan.
Arabie saoudite et Émirats arabes unis : la même présentation mentionnait également l'Arabie saoudite et les Émirats arabes unis comme clients probables de Candiru.
Singapour : Un rapport d'Intelligence Online de 2019 mentionne que Candiru était actif dans la sollicitation d'affaires auprès des services de renseignement de Singapour.
Qatar : Un rapport d'Intelligence Online de 2020 note que Candiru "s'est rapproché du Qatar". Une société liée au fonds souverain du Qatar a investi dans Candiru. Aucune information sur les clients basés au Qatar n'a encore émergé,
Offres de logiciels espions de Candiru
Une proposition de projet Candiru divulguée publiée par TheMarker montre que les logiciels espions de Candiru peuvent être installés à l'aide d'un certain nombre de vecteurs différents, notamment des liens malveillants, des attaques de type "man-in-the-middle" et des attaques physiques. Un vecteur nommé "Sherlock" est également proposé, qui, selon eux, fonctionne sur Windows, iOS et Android. Il peut s'agir d'un vecteur sans clic basé sur un navigateur.
Figure 2 : Vecteurs d'infection proposés par Candiru.
Comme beaucoup de ses pairs, Candiru semble accorder une licence à ses logiciels espions en fonction du nombre d'infections simultanées, ce qui reflète le nombre de des cibles qui peuvent être sous surveillance active à tout instant. Comme NSO Group, Candiru semble également limiter le client à un ensemble de pays approuvés.
La proposition de projet de 16 millions d'euros permet un nombre illimité de tentatives d'infection par des logiciels espions, mais la surveillance de seulement 10 appareils simultanément. Pour 1,5 million d'euros supplémentaires, le client peut acheter la possibilité de surveiller 15 appareils supplémentaires simultanément et d'infecter des appareils dans un seul pays supplémentaire. Pour 5,5 millions d'euros supplémentaires, le client peut surveiller simultanément 25 appareils supplémentaires et mener des activités d'espionnage dans cinq autres pays.
Figure 3 : Proposition pour un client Candiru indiquant le nombre d'infections simultanées dans le cadre d'un contrat donné.
Les petits caractères de la proposition indiquent que le produit fonctionnera dans « tous les territoires convenus », puis mentionnent une liste de pays restreints, notamment les États-Unis, la Russie, la Chine, Israël et l'Iran. Cette même liste de pays restreints a déjà été mentionnée par NSO Group. Néanmoins, Microsoft a observé des victimes de Candiru en Iran, suggérant que dans certaines situations, les produits de Candiru opèrent dans des territoires restreints. En outre, l'infrastructure de ciblage divulguée dans ce rapport comprend des domaines se faisant passer pour le service postal russe.
La proposition indique que le logiciel espion peut exfiltrer des données privées à partir d'un certain nombre d'applications et de comptes, notamment Gmail, Skype, Telegram et Facebook. Le logiciel espion peut également capturer l'historique de navigation et les mots de passe, activer la webcam et le microphone de la cible et prendre des photos de l'écran. La capture de données à partir d'applications supplémentaires, telles que Signal Private Messenger, est vendue en tant que module complémentaire.
Figure 4 : Les clients peuvent payer des frais supplémentaires pour capturer les données de Signal.
Pour un supplément supplémentaire de 1,5 million d'euros, les clients peuvent acheter une capacité de shell distant, qui leur permet un accès complet pour exécuter n'importe quelle commande ou programme sur l'ordinateur de la cible. Ce type de capacité est particulièrement préoccupant, étant donné qu'il pourrait également être utilisé pour télécharger des fichiers, tels que la plantation de matériaux incriminants, sur un appareil infecté.
2. Trouver les logiciels malveillants de Candiru dans la nature
En utilisant les données de télémétrie de l'équipe Cymru, ainsi que l'aide de partenaires de la société civile, le Citizen Lab a pu identifier un ordinateur que nous soupçonnions de contenir une infection persistante à Candiru. Nous avons contacté le propriétaire de l'ordinateur, un individu politiquement actif en Europe occidentale, et nous nous sommes arrangés pour que le disque dur de l'ordinateur soit imagé. Nous avons finalement extrait une copie du logiciel espion de Candiru de l'image disque.
Alors que l'analyse des logiciels espions extraits est en cours, cette section présente les premiers résultats concernant la persistance des logiciels espions.
Persistance
Le logiciel espion de Candiru a été installé de manière persistante sur l'ordinateur via le piratage COM de la clé de registre suivante :
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32
Normalement, la valeur de cette clé de registre pointe vers le fichier bénin Windows Management Instrumentation wmiutils.dll, mais la valeur sur l'ordinateur infecté a été modifiée pour pointer vers un fichier DLL malveillant qui a été déposé dans le dossier système Windows associé à la méthode de saisie japonaise. (IMEJP) C:\WINDOWS\system32\ime\IMEJP\IMJPUEXP.DLL. Ce dossier est bénin et inclus dans une installation par défaut de Windows 10, mais IMJPUEXP.DLL n'est pas le nom d'un composant Windows légitime.
Lorsque Windows démarre, il charge automatiquement le service Windows Management Instrumentation, ce qui implique de rechercher le chemin DLL dans la clé de registre, puis d'invoquer la DLL.
Chargement de la configuration du logiciel espion
Le fichier DLL IMJPUEXP comporte huit blobs dans la section des ressources PE avec les identifiants 102, 103, 105, 106, 107, 108, 109, 110. La DLL les déchiffre à l'aide d'une clé AES et d'un IV codés en dur dans la DLL. Le décryptage se fait via Windows CryptoAPI, en utilisant AES-256-CBC.
Il convient de noter en particulier la ressource 102, qui contient le chemin d'accès au wmiutils.dll légitime, qui est chargé après le logiciel espion, garantissant que le piratage COM ne perturbe pas les fonctionnalités normales de Windows. La ressource 103 pointe vers un fichier AgentService.dat dans un dossier créé par le logiciel espion, C:\WINDOWS\system32\config\spp\Licenses\curv\config\tracing\. La ressource 105 pointe vers un deuxième fichier dans le même répertoire, KBDMAORI.dat.
IMJPUEXP.DLL déchiffre et charge le fichier AgentService.dat dont le chemin est dans la ressource 103, en utilisant la même clé AES et IV, et le décompresse via zlib. Le fichier AgentService.dat charge ensuite le fichier dans la ressource 105, KBDMAORI.dat, à l'aide d'une seconde clé AES et d'un IV codé en dur dans AgentService.dat, et effectue le déchiffrement à l'aide d'un OpenSSL lié statiquement. Le déchiffrement de KBDMAORI.DAT produit un fichier avec une série de neuf blobs chiffrés, chacun préfixé par un champ de longueur little-endian de 8 octets. Chaque blob est chiffré avec la même clé AES et IV utilisé pour déchiffrer KBDMAORI.DAT, puis est compressé en zlib.
Les quatre premiers blobs chiffrés semblent être des DLL du redistribuable Microsoft Visual C++ : vcruntime140.dll, msvcp140.dll, ucrtbase.dll, concrt140.dll. Les blobs suivants font partie du logiciel espion, y compris des composants apparemment appelés Internals.dll et Help.dll. Les DLL Microsoft et les DLL de logiciels espions dans KBDMAORI.DAT sont légèrement masquées. L'annulation des modifications suivantes rend les fichiers DLL valides :
Les deux premiers octets du fichier (MZ) ont été mis à zéro.
Les 4 premiers octets de l'en-tête NT (\x50\x45\x00\x00) ont été mis à zéro.
Les 2 premiers octets de l'en-tête facultatif (\x0b\x02) ont été mis à zéro.
Les chaînes du répertoire d'importation ont été masquées par XOR, à l'aide d'une clé XOR de 48 octets codée en dur dans AgentService.dat :
6604F922F90B65F2B10CE372555C0A0C0C5258B6842A83C7DC2EE4E58B363349F496E6B6A587A88D0164B74DAB9E6B58
Le blob final dans KBDMAORI.DAT est la configuration du logiciel espion au format JSON. La configuration est quelque peu obscurcie, mais contient clairement des URL encodées en Base64 UTF-16 pour la commande et le contrôle.
Figure 5 : Configuration C&C du logiciel espion masqué au format JSON.
Les serveurs C&C dans la configuration sont :
https://msstore[.]io
https://adtracker[.]lien
https://cdnmobile[.]io
Les trois noms de domaine pointaient vers 185.181.8[.]155. Cette adresse IP était connectée à trois autres adresses IP qui correspondaient à notre empreinte digitale Candiru CF1 (Section 3).
Fonctionnalité des logiciels espions
Nous inversons toujours la plupart des fonctionnalités du logiciel espion, mais la charge utile Windows de Candiru semble inclure des fonctionnalités pour exfiltrer des fichiers, exporter tous les messages enregistrés dans la version Windows de la populaire application de messagerie cryptée Signal, et voler des cookies et des mots de passe de Chrome, Internet Explorer, Firefox , Safari et Opera. Le logiciel espion utilise également un pilote tiers signé légitime, physmem.sys :
c299063e3eae8ddc15839767e83b9808fd43418dc5a1af7e4f44b97ba53fbd3d
L'analyse de Microsoft a également établi que le logiciel espion pouvait envoyer des messages à partir de comptes de messagerie et de réseaux sociaux connectés directement sur l'ordinateur de la victime. Cela pourrait permettre l'envoi de liens malveillants ou d'autres messages directement depuis l'ordinateur d'un utilisateur compromis. Prouver que l'utilisateur compromis n'a pas envoyé le message peut être assez difficile.
3. Cartographie de l'infrastructure de commande et de contrôle de Candiru
Pour identifier les sites Web utilisés par les logiciels espions de Candiru, nous avons développé quatre empreintes digitales et une nouvelle technique de numérisation Internet. Nous avons recherché des données historiques de Censys et effectué nos propres analyses en 2021. Cela nous a conduit à identifier au moins 764 noms de domaine que nous évaluons avec une confiance modérée à élevée pour être utilisés par Candiru et ses clients. L'examen des noms de domaine indique un intérêt probable pour des cibles en Asie, en Europe, au Moyen-Orient et en Amérique du Nord.
De plus, sur la base de notre analyse des données de numérisation Internet, nous pensons qu'il existe des systèmes Candiru exploités depuis l'Arabie saoudite, Israël, les Émirats arabes unis, la Hongrie et l'Indonésie, entre autres pays.
L'erreur OPSEC de Candiru mène à leur infrastructure
En utilisant Censys, nous avons trouvé un certificat TLS auto-signé qui incluait l'adresse e-mail "amitn@candirusecurity.com". Nous avons attribué le nom de domaine candirusecurity[.]com à Candiru Ltd, car un deuxième nom de domaine (vérification[.]center) a été enregistré en 2015 avec une adresse e-mail candirusecurity[.]com et un numéro de téléphone (+972-54-2552428 ) répertorié par Dun & Bradstreet comme numéro de fax de Candiru Ltd, également connu sous le nom de Saito Tech Ltd.
Figure 6 : Ce certificat Candiru que nous avons trouvé sur Censys a été le point de départ de notre analyse.
Les données Censys enregistrent qu'un total de six adresses IP ont renvoyé ce certificat : 151.236.23[.]93, 69.28.67[.]162, 176.123.26[.]67, 52.8.109[.]170, 5.135.115[ .]40, 185.56.89[.]66. Les quatre dernières de ces adresses IP ont ensuite renvoyé un autre certificat, dont nous avons pris les empreintes digitales (Fingerprint CF1) sur la base de caractéristiques distinctives. Nous avons recherché les données de Censys pour cette empreinte digitale.
SELECT analysé.fingerprint_sha256
FROM`censys-io.certificates_public.certificates`
OÙ parsed.issuer_dn EST NULL
ET analysé.subject_dn IS NULL
ET analysé.validité.longueur = 8639913600
ET analysé.extensions.basic_constraints.is_ca
Tableau 2 : Empreinte digitale CF1
Nous avons trouvé 42 certificats sur Censys correspondant à CF1. Nous avons observé que six adresses IP correspondant aux certificats CF1 ont ensuite renvoyé des certificats correspondant à une deuxième empreinte digitale que nous avons conçue, CF2. L'empreinte CF2 est basée sur des certificats qui correspondent à ceux générés par un générateur de "Fake Name". Nous avons d'abord exécuté une requête SQL sur les données Censys pour l'empreinte digitale, puis filtré par une liste de faux noms.
SELECT analysé.fingerprint_sha256, analysé.subject_dn
FROM`censys-io.certificates_public.certificates`
OÙ (parsed.subject_dn = parsed.issuer_dn
AND REGEXP_CONTAINS (parsed.subject_dn, r"^O=[A-Z][a-z]+,, ?
CN=[a-z]+\.(com|net|org)+$")
ET analysé.extensions.basic_constraints.is_ca
Tableau 3 : Requête SQL CF2 d'empreintes digitales.
La requête SQL a donné 572 résultats. Nous avons filtré les résultats, exigeant que l'organisation du certificat TLS dans le champ parsed.subject_dn contienne une entrée de la liste des 475 noms de famille du module Perl Data-Faker.
Nous soupçonnons que Candiru utilise soit ce module Perl, soit un autre module qui utilise la même liste de mots, pour générer de faux noms pour les certificats TLS. Ni le module Perl Data-Faker, ni d'autres modules similaires (par exemple, Ruby Faker Gem ou le module PHP Faker) ne semblent avoir de fonctionnalité intégrée pour générer de faux certificats TLS. Ainsi, nous soupçonnons que le code de génération de certificat TLS est un code personnalisé écrit par Candiru. Après filtrage, nous avons trouvé 542 certificats correspondants.
Nous avons ensuite développé une empreinte HTTP, appelée BRIDGE, avec laquelle nous avons scanné Internet et construit une troisième empreinte TLS, CF3. Nous gardons les empreintes BRIDGE et CF3 confidentielles pour l'instant afin de maintenir la visibilité sur l'infrastructure de Candiru.
Chevauchement avec CHAINSHOT
L'une des adresses IP correspondant à notre empreinte CF1, 185.25.50[.]194, a été pointée par dl.nmcyclingexperience[.]com, qui est mentionnée comme URL finale d'une charge utile de logiciel espion fournie par le kit d'exploitation CHAINSHOT dans un 2018 rapport. On pense que CHAINSHOT est lié à Candiru, bien qu'aucun rapport public n'ait décrit la base de cette attribution, jusqu'à présent. Kaspersky a observé le groupe de piratage des Émirats arabes unis Stealth Falcon
utilisant CHAINSHOT, ainsi qu'un client basé en Ouzbékistan qu'ils appellent SandCat. Alors que de nombreuses analyses se sont concentrées sur diverses techniques d'exploitation CHAINSHOT, nous n'avons vu aucun travail public examinant la charge utile Windows finale de Candiru.
Chevauchement avec Google TAG Research
Le 14 juillet 2021, le Threat Analysis Group (TAG) de Google a publié un rapport qui mentionne deux exploits Chrome zero-day que TAG a observés utilisés contre des cibles (CVE-2021-21166 et CVE-2021-30551). Le rapport mentionne neuf sites Web qui, selon Google, ont été utilisés pour diffuser les exploits. Huit de ces sites Web pointaient vers des adresses IP qui correspondaient à notre empreinte CF3 Candiru. Nous pensons donc que les attaques que Google a observées impliquant ces exploits Chrome étaient liées à Candiru.
Google a également lié un autre exploit Microsoft Office qu'ils ont observé (CVE-2021-33742) au même opérateur.
Thèmes de ciblage
L'examen de l'infrastructure de ciblage de Candiru nous permet de faire des suppositions sur l'emplacement des cibles potentielles, ainsi que sur les sujets et les thèmes que les opérateurs de Candiru pensaient que les cibles trouveraient pertinents et attrayants.
Certains des thèmes suggèrent fortement que le ciblage concernait probablement la société civile et l'activité politique. Cet indicateur troublant correspond à l'observation de Microsoft du ciblage étendu des membres de la société civile, des universitaires et des médias avec le logiciel espion de Candiru. Nous avons observé des preuves de ciblage d'infrastructures se faisant passer pour des médias, des organisations de plaidoyer, des organisations internationales et autres (voir : Tableau 4).
Nous avons trouvé de nombreux aspects de ce ciblage préoccupants, comme le domaine blacklivesmatters[.]info, qui peut être utilisé pour cibler des personnes intéressées ou affiliées à ce mouvement. De même, les infrastructures se faisant passer pour Amnesty International et Refugee International sont troublantes, tout comme les domaines similaires pour les Nations Unies, l'Organisation mondiale de la santé et d'autres organisations internationales. Nous avons également constaté que le thème de ciblage des études de genre (par exemple, womanstudies[.]co & genderconference[.]org) était particulièrement intéressant et justifiait une enquête plus approfondie.
Domaines d'exemple de thème se faisant passer pour
Médias internationaux cnn24-7[.]CNN en ligne
dw-arabe[.]com Deutsche Welle
euro-news[.]en ligne Euronews
rasef22[.]com Raseef22
france-24[.]actualité France 24
Organisations de défense amnestyreports[.]com Amnesty International
blacklivesmatters[.]info Mouvement Black Lives Matter
réfugiéinternational[.]org Réfugiés International
Études de genre womanstudies[.]co Thème académique
genderconference[.]org Conférence académique
Entreprises technologiques cortanaupdates[.]com Microsoft
googleplay[.]store Google
mises à jour apple[.]Apple en ligne
amazon-cz[.]eu Amazon
drpbx-update[.]net Dropbox
lenovo-setup[.]tk Lenovo
konferenciya-zoom[.]com Zoom
zcombinateur[.]co Y Combinateur
Réseaux sociaux linkedin-jobs[.]com LinkedIn
faceb00k-live[.]com Facebook
minstagram[.]net Instagram
twitt-live[.]com Twitter
youtubee[.]vie YouTube
Sites Internet populaires wikipediaathome[.]net Wikipedia
Organisations internationales osesgy-unmissions[.]org Bureau de l'Envoyé spécial du Secrétaire général pour le Yémen
un-asia[.]co Nations Unies
whoint[.]co Organisation mondiale de la santé
Entreprises publiques vesteldefnce[.]io Entreprise de défense turque
vfsglobal[.]fr Prestataire de services de visas
Tableau 4 : Quelques thèmes de ciblage observés dans les domaines Candiru.
Une gamme de domaines de ciblage semble être raisonnablement spécifique à chaque pays (voir : Tableau 5). Nous pensons que ces thèmes de domaine indiquent des pays cibles probables et pas nécessairement les pays des opérateurs eux-mêmes.
Pays Exemple Domaine Quelle est cette usurpation d'identité probable ?
Indonésie indoprogress[.]co Publication indonésienne de gauche
Russie pochtarossiy[.]info Service postal russe
Tchéquie kupony-rohlik[.]cz Epicerie tchèque
Arménie armenpress[.]net Agence de presse d'État d'Arménie
Iran tehrantimes[.]org quotidien de langue anglaise en Iran
Turquie yeni-safak[.]com journal turc
Chypre cyprusnet[.]tk Portail fournissant des informations sur les entreprises chypriotes.
Autriche oiip[.]org Institut autrichien des affaires internationales
Palestine lwaeh-iteham-alasra[.]com Site Web qui publie les actes d'accusation des tribunaux israéliens contre des prisonniers palestiniens
Arabie saoudite mbsmetoo[.]com Site Web pour « une campagne internationale pour soutenir le cas de Jamal Khashoggi » et d'autres affaires contre le prince héritier saoudien Mohammed bin Salman
Slovénie total-slovenia-news[.]net Site d'information slovène en anglais.
Tableau 5 : Quelques thèmes pays observés dans les domaines Candiru.
4. Un cluster saoudien ?
Un document a été téléchargé depuis l'Iran vers VirusTotal qui a utilisé une macro AutoOpen pour lancer un navigateur Web et a navigué dans le navigateur vers l'URL https://cuturl[.]space/lty7uw, que VirusTotal a enregistré comme redirigeant vers une URL, https:/ /useproof[.]cc/1tUAE7A2Jn8WMmq/api, qui mentionne un domaine que nous avons lié à Candiru, useproof[.]cc. Le domaine useproof[.]cc pointait vers 109.70.236.107, ce qui correspondait à notre empreinte digitale CF3.
Le document était vierge, à l'exception d'un graphique contenant le texte "Ministre des affaires étrangères de la République islamique d'Iran".
Figure 7 : Un document qui charge une URL Candiru a été téléchargé sur VirusTotal depuis l'Iran et comprend une image d'en-tête faisant référence au ministre des Affaires étrangères.
Nous avons identifié le comportement de cuturl[.]space et l'avons retracé jusqu'à cinq autres raccourcisseurs d'URL : llink[.]link, instagrarn[.]co, cuturl[.]app, url-tiny[.]co et bitly[.] tél. Fait intéressant, plusieurs de ces domaines ont été signalés par un chercheur de ThreatConnect dans deux tweets, sur la base de caractéristiques suspectes de leur enregistrement. Nous soupçonnons que le format AutoOpen et les raccourcisseurs d'URL peuvent être uniques à un client Candiru particulier.
Un utilisateur saoudien de Twitter nous a contactés et nous a signalé que des utilisateurs saoudiens actifs sur Twitter recevaient des messages contenant des URL courtes suspectes, y compris des liens vers le nom de domaine bitly[.]tel. Compte tenu de cela, nous soupçonnons que les raccourcisseurs d'URL peuvent être liés à l'Arabie saoudite.
5. Détails supplémentaires sur l'entreprise pour Candiru
Ya'acov Weitzman (ויצמן יעקב) et Eran Shorer (שורר ערן) ont fondé Candiru en 2014. Isaac Zack (זק יעקב), qui aurait également été l'un des premiers investisseurs du groupe NSO, est devenu le principal actionnaire de Candiru moins de deux mois après sa fondation et siège à son conseil d'administration. En janvier 2019, Tomer Israel (ישראלי תומר) est apparu pour la première fois dans les registres de l'entreprise en tant que «directeur des finances» de Candiru et Eitan Achlow (אחלאו איתן) a été nommé PDG.
Un certain nombre d'investisseurs indépendants semblent avoir financé les opérations de Candiru au fil des ans. Depuis l'avis d'attribution d'actions de Candiru déposé en février 2021 auprès de l'Autorité israélienne des sociétés, Zack, Shorer et Weitzman sont toujours les principaux actionnaires. Trois organisations sont les prochains actionnaires les plus importants : Universal Motors Israel LTD (immatriculation 511809071), ESOP management and trust services (איסופ שירותי ניהול) immatriculation 513699538 et Optas Industry Ltd. ESOP (immatriculation 513699538) est une société israélienne qui fournit des services administratifs du programme d'actionnariat des employés aux entreprises clientes. Nous ne savons pas si ESOP détient ses actions en fiducie pour certains employés de Candiru. Optas Industry Ltd. est une société de capital-investissement basée à Malte (numéro d'enregistrement C91267, actionnaire Leonard Joseph O'Brien, les administrateurs sont O'Brien et Michael Ellul, constituée le 28 mars 2019). Il a été rapporté que pendant une décennie, O'Brien a été responsable des investissements et membre du conseil d'administration du Gulf Investment Fund, et que l'autorité souveraine d'investissement du Qatar détient une participation de 12 % dans le Gulf Investment Fund (par l'intermédiaire d'une filiale, Qatar Holding). Universal Motors Israel (numéro d'enregistrement de la société 511809071) en tant qu'investisseur (y compris un siège au conseil d'administration de Candiru) est curieux étant donné que son activité principale est la distribution d'automobiles neuves et d'occasion.
Outre Amit Ron (רון עמית), le représentant d'Universal Motors Israël, le conseil d'administration de Candiru en décembre 2020 comprend Isaac Zack, Ya'acov Weitzman et Eran Shorer.
En plus de l'implication de Zack, Candiru partage d'autres points communs avec le groupe NSO, notamment la représentation par le même cabinet d'avocats et l'utilisation de la même société de services d'équité et d'administration de fiducie.
6. Conclusion
L'apparente présence généralisée de Candiru et l'utilisation de sa technologie de surveillance contre la société civile mondiale sont un puissant rappel que l'industrie mercenaire des logiciels espions contient de nombreux acteurs et est sujette à des abus généralisés. Cette affaire démontre, une fois de plus, qu'en l'absence de garanties internationales ou de contrôles gouvernementaux rigoureux à l'exportation, les vendeurs de logiciels espions vendront à des clients gouvernementaux qui abuseront régulièrement de leurs services. De nombreux gouvernements désireux d'acquérir des technologies de surveillance sophistiquées manquent de sécurité gardes sur leurs agences de sécurité nationales et étrangères. Beaucoup se caractérisent par de piètres antécédents en matière de droits humains. Il n'est pas surprenant qu'en l'absence de contraintes juridiques fortes, ces types de clients gouvernementaux abusent des services de logiciels espions pour suivre les journalistes, l'opposition politique, les défenseurs des droits de l'homme et d'autres membres de la société civile mondiale.
La société civile dans le collimateur… encore une fois
Le ciblage apparent d'un individu en raison de ses convictions politiques et de ses activités qui ne sont ni de nature terroriste ni criminelle est un exemple troublant de cette situation dangereuse. L'analyse indépendante de Microsoft est également déconcertante, découvrant au moins 100 victimes des opérations de logiciels malveillants de Candiru, parmi lesquelles "des politiciens, des militants des droits de l'homme, des journalistes, des universitaires, des employés d'ambassade et des dissidents politiques".
Tout aussi troublant à cet égard est l'enregistrement par Candiru de domaines se faisant passer pour des ONG de défense des droits humains (Amnesty International), des mouvements sociaux légitimes (Black Lives Matter), des organisations internationales de santé (OMS), des thèmes relatifs aux droits des femmes et des organes de presse. Bien que nous manquions de contexte autour des cas d'utilisation spécifiques liés à ces domaines, leur simple présence dans le cadre de l'infrastructure de Candiru - à la lumière des préjudices généralisés contre la société civile associés à l'industrie mondiale des logiciels espions - est très préoccupante et mérite une enquête plus approfondie.
Rectifier les dommages autour du marché des logiciels espions commerciaux
En fin de compte, la lutte contre les pratiques malveillantes de l'industrie des logiciels espions nécessitera une approche robuste et complète qui va au-delà des efforts concentrés sur une seule entreprise ou un seul pays de premier plan. Malheureusement, le ministère israélien de la Défense - dont les entreprises basées en Israël comme Candiru doivent recevoir une licence d'exportation avant de vendre à l'étranger - s'est jusqu'à présent montré peu disposé à soumettre les entreprises de surveillance au type d'examen rigoureux qui serait nécessaire pour prévenir des abus de ce type. nous et d'autres organisations avons identifié. Le processus d'octroi de licences d'exportation dans ce pays est presque entièrement opaque, manquant même des mesures les plus élémentaires de responsabilité publique ou de transparence. Nous espérons que des rapports comme celui-ci aideront à inciter les décideurs politiques et les législateurs en Israël et ailleurs à faire plus pour prévenir les dommages croissants associés à un marché des logiciels espions non réglementé.
Il convient de noter les risques croissants auxquels les fournisseurs de logiciels espions et leurs groupes propriétaires eux-mêmes sont confrontés en raison de leurs propres ventes imprudentes. Les vendeurs de logiciels espions mercenaires comme Candiru commercialisent leurs services auprès de leurs clients gouvernementaux comme des outils «introuvables» qui échappent à la détection et empêchent ainsi les opérations de leurs clients d'être exposées. Cependant, nos recherches montrent une fois de plus à quel point ces affirmations sont spécieuses. Bien que parfois difficile, il est possible pour les chercheurs de détecter et de découvrir l'espionnage ciblé en utilisant une variété de surveillance des réseaux et d'autres techniques d'enquête, comme nous l'avons démontré dans ce rapport (et d'autres similaires). Même les sociétés de surveillance les mieux dotées en ressources commettent des erreurs opérationnelles et laissent des traces numériques, ce qui rend leurs affirmations marketing selon lesquelles elles sont furtives et indétectables très discutables. Dans la mesure où leurs produits sont impliqués dans des dommages importants ou des cas de ciblage illégal, l'exposition négative qui découle de la recherche d'intérêt public peut créer des responsabilités importantes pour les propriétaires, les actionnaires et les autres personnes associées à ces sociétés de logiciels espions.
Enfin, cette affaire montre la valeur d'une approche communautaire des enquêtes sur l'espionnage ciblé. Afin de remédier aux dommages causés par cette industrie aux membres innocents de la société civile mondiale, la coopération entre les chercheurs universitaires, les défenseurs des réseaux, les équipes de renseignement sur les menaces et les plateformes technologiques est essentielle. Notre recherche s'est appuyée sur de multiples sources de données organisées par d'autres groupes et entités avec lesquels nous avons coopéré, et a finalement aidé à identifier les vulnérabilités logicielles d'un produit largement utilisé qui ont été signalées puis corrigées par son fournisseur.
Remerciements
Merci à Microsoft et au Microsoft Threat Intelligence Center (MSTIC) pour leur collaboration et pour avoir travaillé à résoudre rapidement les problèmes de sécurité identifiés grâce à leurs recherches.
Nous sommes particulièrement reconnaissants aux cibles qui font le choix de travailler avec nous pour aider à identifier et exposer les entités impliquées dans leur ciblage. Sans leur participation, ce rapport n'aurait pas été possible.
Merci à Team Cymru de nous avoir donné accès à leur produit Pure Signal Recon. La capacité de leur outil à afficher la télémétrie du trafic Internet des trois derniers mois a fourni la percée dont nous avions besoin pour identifier la première victime de l'infrastructure de Candiru.
Le financement de ce projet a été assuré par une généreuse subvention de la Fondation John D. et Catherine T. MacArthur, de la Fondation Ford, de la Fondation Oak, du Sigrid Rausing Trust et de la Fondation Open Societies.
Merci à Miles Kenyon, Mari Zhou et Adam Senft pour les communications,graphiques et soutien organisationnel.
NOTA:
Le groupe NSO a été lancé en Israël en 2010 par des amis Niv Carmi, Omri Lavie et Shalev Hulio. Carmi a quitté l'entreprise peu de temps après sa création et, selon toute apparence, a gardé ses distances depuis.
Lavie et Hulio, quant à eux, restent dans l'entreprise. Ils ont atteint un niveau de notoriété rare sur la scène technologique très soudée d'Herzliya, en Israël, où les entreprises restent en "mode furtif" pendant des années, et même les entrepreneurs locaux bien connus peuvent être étrangement difficiles à trouver via Google. Sur les photographies, le couple ressemble à des frères, avec des têtes rasées assorties, du chaume et des constructions trapues qui trahissent leur carrière en informatique, les deux étant maintenant retirés de leur temps passé en service obligatoire pour les Forces de défense israéliennes.
