Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé NSO Group. Afficher tous les messages
Aucun message portant le libellé NSO Group. Afficher tous les messages

jeudi 13 avril 2023

Tel Pegasus, le virus de QuaDream a espionné des journalistes

 

 

Tel Pegasus, le virus de QuaDream a espionné des journalistes

Une enquête explique comment ce “spyware” infecte des iPhone à la volée.


Publié le

 

Par



Selon des recherches menées par Citizen Lab, qui avait déjà détecté des cas de surveillance de personnalités en Europe, la société QuaDream a réussi à s’immiscer dans le contenu de certains iPhone propulsés par iOS 14. Le système d’exploitation mobile avait surtout fait la une suite aux nombreuses fuites annonçant ses fonctionnalités en amont, mais des utilisateurs ont donc aussi pu être victimes du logiciel espion de cet éditeur israélien.

Ce pays d’origine n’est pas un hasard : en effet, QuaDream a en réalité été fondée par deux anciens employés de NSO Group, à savoir Guy Geva et Nimrod Reznik. NSO, le développeur du spyware Pegasus, avait été épinglé dans la presse internationale alors que ce programme de contrôle d’iPhone à distance était tombé entre de mauvaises mains. Normalement, l’app est vendue aux gouvernements, aux agences de renseignements et aux forces de l’ordre, qui la sollicitent par souci de sécurité. Mais les usages malintentionnés ne sont pas rares.

Victimes : le cas classique

Selon Citizen Lab, qui a collaboré avec une division de Microsoft pour parvenir à ces résultats, QuaDream a ainsi réussi à infiltrer les mobiles iOS de journalistes et d’opposants politiques. L’employé d’une association de type ONG aurait également été visé, bien que les noms des cibles en question n’aient pas encore été révélés pour le moment. On ne sait d’ailleurs pas s’ils le seront un jour, mais ceci pourrait ne jamais arriver par souci évident de protection des profils concernés.

Les territoires touchés par ces attaques, qui ne laissent presque aucune trace si des experts en cybersécurité ne s’y intéressent pas, sont mondiaux : Amérique, Asie ou Europe. Pour véroler les iPhone, QuaDream utilise une méthode déjà testée et approuvée par NSO ou GrayShift. Celle-ci consiste à s’appuyer sur des failles dites zero day. Sous ce nom se cachent en fait des brèches dans le code source d’iOS 14 qui n’avaient, à l’époque en tout cas, toujours pas été identifiées ni comblées par Apple. Sur le papier, Cupertino ne peut donc pas en être tenue pour responsable devant la justice, mais c’est une autre histoire.

Comment être tenu au courant ?

Vous craignez vous aussi d’être traqué de la sorte, à cause d’une position délicate sur certains sujets polémiques ? Sachez qu’il existe une solution pour savoir, par exemple, si vous avez été ciblé par Pegasus.

En prime, Apple arrive désormais à reconnaître les intrusions de ce type et peut vous prévenir lorsque c’est le cas. Cependant, la prudence reste de mise : l’identification des menaces n’est pas exhaustive, et celles-ci peuvent aussi passer sous le radar de la Pomme.


REF.: i-nfo.fr - App officielle iPhon.fr
Par : Keleops AG

vendredi 7 avril 2023

Sur liste noire des fournisseurs d'outils de piratage: NSO,Candiru,Positive technologies, COSEINC

 Sur liste noire des fournisseurs d'outils de piratage: NSO,Candiru,Positive technologies, COSEINC

 

Sur liste noire des fournisseurs d'outils de piratage: le groupe israélien NSO et Candiru,Positive Technologies de Russie et Computer Security Initiative Consultancy PTE LTD(COSEINC), de Singapour.


Les États-Unis mettent sur liste noire le fournisseur d'outils de piratage israélien NSO Group

 
Par Christopher Bing

Une clôture entoure le département américain du Commerce à Washington le 5 octobre 2013. Par: REUTERS/Mike Theiler

WASHINGTON, 3 novembre (Reuters) – 

Le département américain du Commerce a ajouté mercredi le groupe israélien NSO et Candiru à sa liste noire commerciale, affirmant qu'ils vendaient des logiciels espions à des gouvernements étrangers qui utilisaient l'équipement pour cibler des responsables gouvernementaux, des journalistes et d'autres.

Positive Technologies de Russie et Computer Security Initiative Consultancy PTE LTD, de Singapour, ont également été répertoriés. Le ministère a déclaré avoir fait le trafic d'outils informatiques utilisés pour obtenir un accès non autorisé aux réseaux informatiques.

L'ajout des entreprises à la liste, pour s'être engagées dans des activités contraires à la sécurité nationale ou aux intérêts de la politique étrangère des États-Unis, signifie que les exportations vers elles de leurs homologues américains sont restreintes. Cela rend par exemple beaucoup plus difficile pour les chercheurs américains en sécurité de leur vendre des informations sur les vulnérabilités informatiques.
article-invite-dispositifs

"Nous ne prenons aucune mesure contre les pays ou les gouvernements où ces entités sont situées", a déclaré un porte-parole du département d'État américain.

Les fournisseurs devront demander une licence avant de leur vendre, ce qui risque d'être refusé.

Dans le passé, le groupe NSO et Candiru ont été accusés de vendre des outils de piratage à des régimes autoritaires. NSO dit qu'il ne vend ses produits qu'aux forces de l'ordre et aux agences de renseignement et qu'il prend des mesures pour lutter contre les abus.


Un porte-parole de l'ONS a déclaré que la société était "consternée" par cette décision car ses technologies "soutiennent les intérêts et les politiques de sécurité nationale des États-Unis en prévenant le terrorisme et la criminalité, et nous plaiderons donc pour que cette décision soit annulée".

NSO présentera des informations concernant ses programmes "rigoureux" de conformité et de droits de l'homme, "qui ont déjà entraîné de multiples résiliations de contacts avec des agences gouvernementales qui ont abusé de nos produits", a déclaré le porte-parole dans un communiqué envoyé par courrier électronique à Reuters.

Le ministère israélien de la Défense, qui accorde des licences d'exportation à NSO, a refusé de commenter la question.

Les coordonnées de Candiru n'étaient pas disponibles.

L'administration Biden a imposé cette année des sanctions à Positive Technologies, une société russe de cybersécurité, pour avoir fourni un soutien aux services de sécurité russes. L'entreprise nie tout acte répréhensible.

Positive Technologies a déclaré que les nouvelles sanctions n'affecteront pas leurs activités et n'empêcheront pas la société d'être cotée en bourse.

"Nous ne savons pas pour quelles raisons le département américain du Commerce nous a ajoutés à la liste", a déclaré le directeur général Denis Baranov dans un commentaire envoyé par courrier électronique.

"De toute façon, nous avons repoussé les risques de sanction plus tôt et ils ne représentent pas de menaces supplémentaires pour nous maintenant", a-t-il écrit.

Computer Security Initiative Consultancy PTE LTD, également connu sous le nom de COSEINC, n'a pas immédiatement répondu aux demandes de commentaires.

Un ancien responsable américain familier avec Positive Technologies, qui s'est exprimé sous couvert d'anonymat, a déclaré que l'entreprise avait aidé à établir l'infrastructure informatique utilisée dans les cyberattaques russes contre des organisations américaines.

Le fondateur de COSEINC, Thomas Lim, est connu pour avoir organisé une conférence sur la sécurité, nommée SyScan, qui a été vendue à la société technologique chinoise Qihoo 360, une entité sanctionnée. Un e-mail publié par WikiLeaks en 2015 suggérait que Lim avait également proposé de vendre des outils de piratage au tristement célèbre fournisseur italien de logiciels espions HackingTeam.

Lim n'a pas immédiatement répondu à une demande de commentaire envoyée à un compte de réseau social qu'il possède.

Les experts en contrôle des exportations affirment que la désignation pourrait avoir un impact beaucoup plus large sur les sociétés cotées que la simple limitation de leur accès à la technologie américaine.

"De nombreuses entreprises choisissent d'éviter complètement de faire affaire avec des entités cotées en bourse afin d'éliminer le risque d'une violation par inadvertance et les coûts liés à la réalisation d'analyses juridiques complexes", a déclaré Kevin Wolf, ancien secrétaire adjoint du Commerce pour l'administration des exportations sous l'administration Obama.

La liste des entités a été de plus en plus utilisée à des fins de sécurité nationale et de politique étrangère sous l'administration Trump. La société de télécommunications chinoise Huawei (HWT.UL) a été ajoutée en 2019, la coupant de certains fournisseurs américains clés et leur rendant difficile la production de combinés mobiles.

REF.:  https://www.reuters.com/technology/us-blacklists-four-companies-israel-russia-singapore-citing-spyware-2021-11-03/

--------------------

On connaissaient surtout  Candiru et NSO:

 https://teodulle.blogspot.com/2022/08/candiru-un-autre-fournisseur-de.html

 https://teodulle.blogspot.com/2022/08/les-technologie-de-surveillance-du.html

 https://teodulle.blogspot.com/2022/08/les-usa-surveille-activement-israella.html


Qui est Positive Technologies:

 

CEO; Denis Baranov
Full Address
8 Preobrazhenskaya Square, Moscow, 1070613
Email Address
info@ptsecurity.com
 https://www.ptsecurity.com/ww-en/solutions/
 
Leur vaste expérience pratique dans la résolution des problèmes de sécurité des infrastructures informatiques et critiques pour les sociétés pétrolières et gazières, bancaires et de télécommunications mondiales nous a valu la réputation d'être l'une des principales autorités en matière de gestion des vulnérabilités et ICS/SCADA, banque/ATM, télécommunications, application Web et sécurité ERP n'importe où.

Il est l'un des principaux fournisseurs mondiaux de solutions de sécurité d'entreprise pour la gestion des vulnérabilités et de la conformité, l'analyse des incidents et des menaces et la protection des applications. L'engagement envers les clients et la recherche a valu à Positive Technologies la réputation d'être l'une des principales autorités en matière de système de contrôle industriel, de banque, de télécommunications, d'applications Web et de sécurité ERP, soutenue par la reconnaissance de la communauté des analystes.

Des solutions de pointe sont développées dans le centre de recherche de l'entreprise, l'un des plus grands d'Europe. Les experts de Positive Technologies ont aidé à identifier et à corriger plus de 250 vulnérabilités zero-day dans les produits de Cisco, Google, Honeywell, Huawei, Microsoft, Oracle, SAP, Schneider Electric, Siemens et autres, ce qui leur a valu une réputation d'expertise de classe mondiale en matière de protection. d'appareils et d'infrastructures à toutes les échelles, des appareils IoT et des distributeurs automatiques de billets aux centrales nucléaires.

Les conclusions des chercheurs de Positive Technologies sont utilisées pour mettre à jour la base de connaissances MaxPatrol et pour développer des solutions de sécurité, notamment PT Application Firewall, PT Application Inspector, MaxPatrol Vulnerability and Compliance Management Solution, PT ISIM, PT MultiScanner et PT Telecom Attack Discovery. Ces produits permettent de sécuriser les applications Web, d'évaluer la protection du réseau, de bloquer les attaques en temps réel, d'assurer la conformité aux normes industrielles et nationales et de former des spécialistes de la sécurité. Pendant trois années consécutives, l'entreprise a été classée visionnaire dans le Magic Quadrant de Gartner pour les pare-feu d'applications Web (WAF).

Positive Technologies est l'organisateur du forum international annuel et du concours de sécurité Positive Hack Days, auquel participent chaque année des milliers de participants.

Les spécialistes de l'entreprise participent activement aux organisations dédiées à la sécurité de l'information (CEH, CIS, ISACA, Web Application Security Consortium, OWASP), publient leurs travaux dans diverses revues consacrées à la sécurité de l'information pratique, et interviennent régulièrement dans les grandes conférences internationales du SI, notamment : Black Hat USA, CanSecWest, FIRST Annual Conference, Hack In Paris, Hack In The Box, ITSF, Microsoft Security Briefing, Nullcon, POC, Positive Hack Days, SAS, ZeroNights.

Les produits et services de Positive Technologies permettent de :

     Arrêtez les attaques en mode automatique avec l'aide d'une seule personne.
     Surveillez la sécurité et détectez rapidement les vulnérabilités de l'infrastructure.
     Détectez les incidents de sécurité dans les infrastructures de toute échelle, y compris les systèmes industriels.
     Détectez les attaques dans le trafic interne et externe.
     Protégez les applications Web contre les attaques APT.
     Détectez les vulnérabilités et les erreurs dans les applications et prenez en charge les processus de développement sécurisés.
     Détectez et contrez les attaques ciblées et massives impliquant des logiciels malveillants modernes.
     Répondez aux cybermenaces à la fois aux terminaux et à l'intérieur de l'infrastructure, en tirant parti des événements et du contexte de plusieurs systèmes de sécurité de l'information pour vérifier une attaque.

REF.:  https://golden.com/wiki/Positive_Technologies-4NMAWV5

 

- Qui est Computer Security Initiative Consultancy PTE LTD(COSEINC), de Singapour:

 COSEINC se décrit sur son site Web comme une "société financée par des fonds privés dédiée à fournir des services de sécurité de l'information hautement spécialisés à nos clients". Elle a été fondée en 2004 et est basée au Citilink Warehouse Complex au 102F Pasir Panjang Road.

Selon son site Web, les services de l'entreprise comprennent la recherche, le conseil et l'éducation, dans des domaines tels que la sécurité informatique, l'analyse des logiciels malveillants et les tests d'intrusion. Les registres de la comptabilité et de l'autorité de réglementation des entreprises montrent qu'il s'agit d'une entreprise en direct.

Le directeur général de COSEINC est M. Thomas Lim, selon sa page LinkedIn. Son message le plus récent, il y a environ un mois, indiquait qu'il pourrait aider quiconque cherche à embaucher des professionnels de la cybersécurité "formés et certifiés".

Reuters a rapporté le 4 novembre que M. Lim est connu pour avoir organisé une conférence sur la sécurité, nommée SyScan, qui a été vendue à la société technologique chinoise Qihoo 360, une entité sanctionnée.

Un e-mail publié par WikiLeaks en 2015 suggérait que M. Lim avait également proposé de vendre des outils de piratage au fournisseur italien de logiciels espions HackingTeam, selon le rapport.

Le COSEINC n'a pas répondu à la demande de commentaires de l'AIIC. Le numéro de téléphone indiqué sur le site Web de l'entreprise n'a pas pu être joint.


 REF.:  https://www.channelnewsasia.com/singapore/us-blacklist-coseinc-singapore-cybersecurity-2303576



samedi 26 novembre 2022

Corellium a travaillé avec les créateurs de Pegasus, le logiciel espion

 

 

Corellium a travaillé avec les créateurs de Pegasus, le logiciel espion

L’information pourrait jouer en défaveur de l’éditeur lors d’un procès contre Apple.


Publié le

 

Par

iPhon.fr


Un document préparé par Apple dans le cadre d’un procès contre Corellium et découvert par nos confrères de chez Wired dévoile que le développeur a proposé sa solution de virtualisation d’iOS à des acteurs malveillants. Parmi ceux-ci, on retrouve le NSO Group, qui commercialise le spyware Pegasus. Un programme capable de s’introduire dans presque n’importe quel iPhone pour en siphonner toutes les données personnelles.

Avec ceci, Corellium aurait également collaboré avec DarkMatter. La firme, désormais fermée, avait par le passé prouvé ses liens avec le gouvernement des Émirats arabes unis. Un pays soupçonné d’espionner ses journalistes et de limiter la liberté d’expression, notamment en ce qui concerne les opposants politiques. Sur place, des officiels auraient pu profiter de l’émulateur sous forme de version d’essai. Les entités concernées n’ont cependant avoué aucune vente auprès des autorités en charge du dossier, du moins pour le moment.

Des clients plus que douteux

Avec ceci, l’enquête de Wired révèle également le nom d’autres sociétés potentiellement clients de Corellium comme Paragon, Pwnzen Infotech (Pangu Team – Chine), Elecomsoft (Russie) ou encore Cellebrite. Cette dernière propose un kit pour pirater un iPhone, écoulé auprès de milliers d’agences étatiques dont peut-être la France et le Royaume-Uni. Le coffret contient notamment un ordinateur avec spyware préinstallé, qu’il suffit ensuite de brancher au mobile cible pour en télécharger le contenu même sans connaître le code d’accès.

Corellium se défend

De son côté, Corellium a déjà pris connaissance des fichiers réunis par l’accusation et qui comportent tout de même plus de cinq cents pages. Pour la principale intéressée, rien à se reprocher : alors que celle-ci aurait pu choisir de “profiter” de ces organisations à risque, ses équipes auraient finalement “choisi” de “ne pas” le faire. Les vendeurs auraient par ailleurs pour obligatoire de restreindre les ventes à une liste précise de prospects, pour éviter les fuites.

Le logiciel en ligne de Corellium ne serait ainsi proposé qu’à “moins de soixante pays“. Du côté des principaux acheteurs, on retrouve la police, les services de renseignement ou encore certains organes de lutte antiterroriste. Officiellement, du moins…

 

REF.:   https://www.iphon.fr/post/corellium-travaille-createurs-pegasus

dimanche 21 août 2022

Logiciels espions mercenaires: Les USA surveille activement Israel,la Russie et Singapore

 Logiciels espions mercenaires: Les USA surveille activement Israel,la Russie et Singapore

Selon le Bureau de l'industrie et de la sécurité, et du Commerce.

La Règle finale:

Cette règle finale modifie les réglementations de l'administration des exportations (EAR) en ajoutant quatre entités à la liste des entités. Ces quatre entités ont été déterminées par le gouvernement américain comme agissant contrairement à la politique étrangère et aux intérêts de sécurité nationale des États-Unis et seront répertoriées sur la liste des entités sous les destinations d'Israël, de la Russie et de Singapour.

RENDEZ-VOUS:

Cette règle entre en vigueur le 4 novembre 2021.

POUR PLUS D'INFORMATIONS, CONTACTEZ :

Président, Comité d'examen des utilisateurs finaux, Bureau du secrétaire adjoint à l'administration des exportations, Bureau de l'industrie et de la sécurité, Département du commerce, Téléphone : (202) 482-5991, Courriel :

ERC@bis.doc.gov.

INFORMATION SUPPLÉMENTAIRE:



Liste des entités

La liste des entités (supplément n° 4 à la partie 744 de l'EAR) identifie les entités pour lesquelles il existe des motifs raisonnables de croire, sur la base de faits spécifiques et articulés, que les entités ont été impliquées, sont impliquées ou présentent un risque important d'être ou s'impliquer dans des activités contraires à la sécurité nationale ou aux intérêts de la politique étrangère des États-Unis. L'EAR (15 CFR parties 730-774) impose des exigences de licence supplémentaires et limite la disponibilité de la plupart des exceptions de licence pour les exportations, les réexportations et les transferts (dans le pays) aux entités répertoriées. La politique d'examen des licences pour chaque entité répertoriée est identifiée dans la colonne « Politique d'examen des licences » de la liste des entités, et l'impact sur la disponibilité des exceptions de licence est décrit dans les

Registre fédéral

document ajoutant des entités à la liste des entités. Le Bureau de l'industrie et de la sécurité (BIS) place les entités sur la liste des entités conformément à la partie 744 (Politique de contrôle : basée sur l'utilisateur final et l'utilisation finale) et la partie 746 (Embargos et autres contrôles spéciaux) de l'EAR.

Le Comité d'examen des utilisateurs finaux (ERC), composé de représentants des ministères du Commerce (président), de l'État, de la Défense, de l'Énergie et, le cas échéant, du Trésor, prend toutes les décisions concernant les ajouts, les suppressions ou d'autres modifications au Liste des entités. L'ERC prend toutes les décisions d'ajouter une entrée à la liste des entités par vote majoritaire et prend toutes les décisions de supprimer ou de modifier une entrée par vote unanime.

Décisions sur la liste des entités de l'ERC

Ajouts à la liste des entités

Cette règle met en œuvre la décision de l'ERC d'ajouter quatre entités à la liste des entités. Les quatre entités sont ajoutées sur la base du § 744.11 (Exigences de licence qui s'appliquent aux entités agissant contrairement à la sécurité nationale ou aux intérêts de politique étrangère des États-Unis) de l'EAR. Les quatre entités sont situées en Israël, en Russie et à Singapour.

L'ERC a déterminé que NSO Group et Candiru devaient être ajoutés à la liste des entités sur la base du § 744.11(b) de l'EAR : Entités pour lesquelles il existe un motif raisonnable de croire, sur la base de faits spécifiques et articulés, que l'entité a été impliquée, est impliqué, ou présente un risque important d'être ou de devenir impliqué dans des activités contraires à la sécurité nationale ou aux intérêts de politique étrangère des États-Unis et de ceux qui agissent au nom de ces entités. Plus précisément, des informations d'enquête ont montré que les sociétés israéliennes NSO Group et Candiru(Israel) ont développé et fourni des logiciels espions à des gouvernements étrangers qui ont utilisé cet outil pour cibler de manière malveillante des responsables gouvernementaux, des journalistes, des hommes d'affaires, des militants, des universitaires et des employés d'ambassade.

L'ERC a déterminé que Positive Technologies, située en Russie, et Computer Security Initiative Consultancy PTE. LTD., située à Singapour, soit ajoutée à la liste des entités en raison de leur engagement dans des activités contraires à la sécurité nationale des États-Unis. Plus précisément, ces entités font le trafic de cyber-exploits utilisés pour accéder aux systèmes d'information, menaçant la vie privée et la sécurité des individus et des organisations dans le monde entier.

Conformément au § 744.11(b) de l'EAR, l'ERC a déterminé que la conduite des quatre entités décrites ci-dessus soulève suffisamment de préoccupations pour qu'un examen préalable, via l'imposition d'une obligation de licence pour les exportations, les réexportations ou les transferts (à l'intérieur du pays) de tous les articles soumis à l'EAR impliquant ces quatre entités et la délivrance éventuelle de refus de licence ou l'éventuelle imposition de conditions de licence sur les expéditions vers ces entités, renforcera la capacité de BIS à prévenir les violations de l'EAR ou à protéger la sécurité nationale ou la politique étrangère des États-Unis intérêts. En outre, l'ERC a également déterminé qu'aucune exception de licence ne devrait être disponible pour les exportations, les réexportations ou les transferts (dans le pays) aux personnes ajoutées à la liste des entités dans cette règle. L'ERC a imposé une politique d'examen des licences d'une présomption de refus pour ces quatre entités. L'acronyme "alias", qui est une abréviation de "également connu sous le nom", est utilisé dans les entrées de la liste des entités pour identifier les alias, aidant ainsi les exportateurs, les réexportateurs et les cédants à identifier les entités sur la liste des entités.

Pour les raisons décrites ci-dessus, cette règle finale ajoute ce qui suit pour les entités à la liste des entités et inclut, le cas échéant, des alias :

Israël

• Candiru ;

et

Groupe ONS

Russie

Technologies positives

Singapour

Conseil en initiative de sécurité informatique PTE. LTD.

Clause d'épargne

Les envois d'articles retirés de l'admissibilité à une exception de licence ou exportés, réexportés ou transférés (dans le pays) sans licence (NLR) à la suite de cette mesure réglementaire qui étaient en route à bord d'un transporteur vers un port d'exportation, de réexportation, ou transfert (dans le pays), le 4 novembre 2021, conformément aux commandes réelles d'exportation, de réexportation ou de transfert (dans le pays) vers ou dans une destination étrangère, peut procéder à cette destination en vertu de l'admissibilité précédente à une exception de licence ou exporter, réexporter ou transférer (dans le pays) sans licence (NLR).

Loi de 2018 sur la réforme du contrôle des exportations

Le 13 août 2018, le président a promulgué la loi John S. McCain sur l'autorisation de la défense nationale pour l'exercice 2019, qui comprenait l'Export Control Reform Act of 2018 (ECRA) (50 U.S.C. 4801-4852). L'ECRA fournit la base juridique des principales autorités du BIS et sert d'autorité en vertu de laquelle le BIS émet cette règle.

Exigences en matière de réglementation

1. Les décrets exécutifs 13563 et 12866 ordonnent aux agences d'évaluer tous les coûts et avantages des alternatives réglementaires disponibles et, si une réglementation est nécessaire, de sélectionner des approches réglementaires qui maximisent les avantages nets (y compris les effets potentiels sur l'économie, l'environnement, la santé publique et la sécurité, les impacts distributifs, et équité). Le décret 13563 souligne l'importance de quantifier à la fois les coûts et les avantages, de réduire les coûts, d'harmoniser les règles et de promouvoir la flexibilité. Cette règle a été jugée non significative aux fins du décret 12866.

2. Nonobstant toute autre disposition de la loi, nul n'est tenu de répondre ou d'être soumis à une sanction pour non-respect d'une collecte d'informations, sous réserve des exigences du Paperwork Reduction Act de 1995 (44 U.S.C. 3501

et suiv.

) (PRA), à moins que cette collecte d'informations n'affiche un numéro de contrôle de l'Office of Management and Budget (OMB) actuellement valide. Ce règlement implique des collectes préalablement approuvées par l'OMB sous le numéro de contrôle 0694-0088, Simplified Network Application Processing System, qui comprend, entre autres, les demandes de licence et la classification des produits, et comporte une estimation de charge de 29,6 minutes pour une soumission manuelle ou électronique pour un estimation de la charge totale de 31 835 heures. Le nombre total d'heures de charge associées au numéro de contrôle PRA et OMB 0694-0088 ne devrait pas augmenter en raison de cette règle.

3. Cette règle ne contient pas de politiques ayant des implications sur le fédéralisme tel que ce terme est défini dans le décret 13132.

4. Conformément à l'article 1762 de l'ECRA, cette action est exemptée des exigences de la loi sur la procédure administrative (5 U.S.C. 553) concernant l'avis de proposition de réglementation, la possibilité de participation du public et le retard de la date d'entrée en vigueur.

5. Étant donné qu'un avis de proposition de réglementation et une opportunité de commentaires publics ne sont pas tenus d'être donnés pour cette règle par 5 U.S.C. 553, ou par toute autre loi, les exigences analytiques du Regulatory Flexibility Act, 5 U.S.C. 601,

et suiv.,

ne sont pas applicables. Par conséquent, aucune analyse de flexibilité réglementaire n'est requise et aucune n'a été préparée.

Liste des sujets dans 15 CFR Part 744

Exportations

Exigences en matière de rapports et de tenue de registres

Terrorisme

En conséquence, la partie 744 des Export Administration Regulations (15 CFR parts 730-774) est modifiée comme suit :

PARTIE 744—[MODIFIÉ]

1. La citation d'autorité pour 15 CFR partie 744 est révisée pour se lire comme suit :

Autorité:

50 U.S.C. 4801-4852 ; 50 U.S.C. 4601

et suiv.;

50 U.S.C. 1701

et suiv.;

22 U.S.C. 3201

et suiv.;

42 U.S.C. 2139a; 22 U.S.C. 7201

et suiv.;

22 U.S.C. 7210 ; E.O. 12058, 43 FR 20947, 3 CFR, 1978 Comp., p. 179 ; E.O. 12851, 58 FR 33181, 3 CFR, 1993 Comp., p. 608 ; E.O. 12938, 59 FR 59099, 3 CFR, 1994 Comp., p. 950 ; E.O. 13026, 61 FR 58767, 3 CFR, 1996 Comp., p. 228 ; E.O. 13099, 63 FR 45167, 3 CFR, 1998 Comp., p. 208 ; E.O. 13222, 66 FR 44025, 3 CFR, 2001 Comp., p. 783 ; E.O. 13224, 66 FR 49079, 3 CFR, 2001 Comp., p. 786 ; Avis du 15 septembre 2021, 86 FR 52069 (17 septembre 2021) ; Avis du 12 novembre 2020, 85 FR 72897 (13 novembre 2020).

2. Le supplément n° 4 à la partie 744 est modifié :

un. Sous ISRAËL, en ajoutant dans l'ordre alphabétique les entrées « Candiru » et « NSO Group » ;

b. Sous RUSSIE, en ajoutant dans l'ordre alphabétique une rubrique pour « Technologies positives » ; et

c. Sous SINGAPOUR, en ajoutant dans l'ordre alphabétique une entrée pour "Computer Security Initiative Consultancy PTE. LTD.".

Les ajouts se lisent comme suit :

Supplément n° 4 à la partie 744 — Liste des entités

* * * * *

PaysEntitéLicence

exigenceLicence

politique de révisionRegistre fédéral

Citation * * * * * * * Israël * * * * * * Candiru, a.k.a., les sept alias suivants:

Candiru Ltd. ;

DF Associates Ltd. ;

Grindavik Solutions Ltd. ;

Taveta Ltd. ;

Saito Tech Ltd. ;

Solutions Greenwick ;

et

—Tabatha Ltd.Tous les articles sont soumis à l'EAR. (Voir § 744.11 de l'oreille) .Presomption de Denial86 FR [INSERT FR Page Number] 4 novembre 2021. 21 Haarbaa, Tel Aviv-Yafo, Israël 6473921. * * * * * * nso Group, 22 Galgalei Hapllada, Herzliya, Tel Aviv-Yafo, Israël 4672222. Tous les articles sont soumis à l'EAR. (Voir § 744.11 de l'oreille) .Presomption de Denial86 FR [INSERT FR Page Number] 4 novembre 2021. * * * * * * * * * * * Russie * * * * * * Technologies positives, 8 Preobrzhenskaya Square , Moscou, Russie 107061. Tous droits réservés. (Voir § 744.11 de l'oreille) .Presomption de Denial86 FR [INSERT FR Page Number] 4 novembre 2021. * * * * * * * * * * * Singapour * * * * * * Initiative de sécurité informatique Consultation PTE. LTD., alias le pseudonyme suivant :

—COSEINC.Tous les articles soumis à l'EAR. (Voir § 744.11 de l'oreille) .Presomption de Denial86 FR [INSERT FR Page Number] 4 novembre 2021. 102f Pasir Panjang Rd., # 08-02, complexe d'entrepôt Citilink, Singapour 118530. * * * * * * * * * * CU* CU* BRASSARD* BRASSARD*

* * * * *

REF.:  https://www.federalregister.gov/documents/2021/11/04/2021-24123/addition-of-certain-entities-to-the-entity-list

Matthew S.Borman,

Sous-secrétaire adjoint à l'administration des exportations.

[FR Doc. 2021-24123 déposé le 11-3-21 ; 8h45]

CODE DE FACTURATION 3510-33-P




Microsoft contre la société israélienne SOURGUM alias (plus connu sous Candiru)qui créa le Malware DevilsTongue:

 

Microsoft contre la société israélienne SOURGUM alias (plus connu sous Candiru)qui créa le Malware DevilsTongue:

 Protéger les clients d'un acteur offensif du secteur privé à l'aide d'exploits 0-day et du logiciel malveillant DevilsTongue(Voir:  https://docteo2.wordpress.com/2022/08/16/candiru-un-autre-fournisseur-de-logiciels-espions-mercenaires-entre-en-scene/)

 Centre de renseignements sur les menaces Microsoft (MSTIC)

 Le Microsoft Threat Intelligence Center (MSTIC) aux côtés du Microsoft Security Response Center (MSRC) a découvert un acteur offensif du secteur privé, ou PSOA, que nous appelons SOURGUM en possession d'exploits Windows 0-day désormais corrigés (CVE-2021 -31979 et CVE-2021-33771). 

 Les acteurs offensifs du secteur privé sont des entreprises privées qui fabriquent et vendent des cyberarmes dans des packages de piratage en tant que service, souvent à des agences gouvernementales du monde entier, pour pirater les ordinateurs, les téléphones, l'infrastructure réseau et d'autres appareils de leurs cibles. Avec ces packages de piratage, les agences gouvernementales choisissent généralement les cibles et exécutent elles-mêmes les opérations. Les outils, tactiques et procédures utilisés par ces entreprises ne font qu'ajouter à la complexité, à l'échelle et à la sophistication des attaques. Nous prenons ces menaces au sérieux et avons rapidement agi aux côtés de nos partenaires pour intégrer les dernières protections à nos clients. 

 MSTIC pense que SOURGUM est un acteur offensif du secteur privé basé en Israël. Nous tenons à remercier le Citizen Lab, de la Munk School de l'Université de Toronto, pour avoir partagé l'échantillon de logiciel malveillant à l'origine de ce travail et leur collaboration au cours de l'enquête. Dans son blog, Citizen Lab affirme avec une grande confiance que SOURGUM est une société israélienne communément connue sous le nom de Candiru. Des rapports de tiers indiquent que Candiru produit "des outils de piratage [qui] sont utilisés pour pénétrer dans les ordinateurs et les serveurs". 

Comme nous l'avons partagé sur le blog Microsoft on the Issues, Microsoft et Citizen Lab ont travaillé ensemble pour désactiver le logiciel malveillant utilisé par SOURGUM qui a ciblé plus de 100 victimes à travers le monde, y compris des politiciens, des militants des droits de l'homme, des journalistes, des universitaires, des employés d'ambassade et dissidents politiques. Pour limiter ces attaques, Microsoft a créé et intégré des protections dans nos produits contre ce malware unique, que nous appelons DevilsTongue. Nous avons partagé ces protections avec la communauté de la sécurité afin que nous puissions collectivement traiter et atténuer cette menace. Nous avons également publié une mise à jour logicielle qui protégera les clients Windows contre les exploits associés que l'acteur a utilisés pour aider à diffuser ses logiciels malveillants hautement sophistiqués.

 SOURGUM victimologie

 Les rapports des médias (1, 2, 3) indiquent que les PSOA vendent souvent des exploits Windows et des logiciels malveillants dans des packages de piratage en tant que service aux agences gouvernementales. Des agences en Ouzbékistan, aux Émirats arabes unis et en Arabie saoudite figurent sur la liste des anciens clients présumés de Candiru. Ces agences choisissent alors probablement qui cibler et exécutent elles-mêmes les cyberopérations. 

 Microsoft a identifié plus de 100 victimes du logiciel malveillant de SOURGUM, et ces victimes sont aussi diversifiées géographiquement que l'on pourrait s'y attendre lorsque diverses agences gouvernementales sont censées sélectionner les cibles. Environ la moitié des victimes ont été retrouvées dans l'Autorité palestinienne, la plupart des victimes restantes se trouvant en Israël, en Iran, au Liban, au Yémen, en Espagne (Catalogne), au Royaume-Uni, en Turquie, en Arménie et à Singapour. Pour être clair, l'identification des victimes du malware dans un pays ne signifie pas nécessairement qu'une agence dans ce pays est un client de SOURGUM, car le ciblage international est courant.

 Toutes les alertes Microsoft 365 Defender et Microsoft Defender for Endpoint contenant des noms de détection pour le nom du malware DevilsTongue sont des signes de compromission par le malware de SOURGUM. Nous avons inclus une liste complète des noms de détection ci-dessous pour que les clients puissent effectuer une recherche supplémentaire dans leur environnement.

Exploits 

SOURGUM semble utiliser une chaîne d'exploits de navigateur et de Windows, y compris des 0-days, pour installer des logiciels malveillants sur les boîtes des victimes. Les exploits de navigateur semblent être diffusés via des URL à usage unique envoyées à des cibles sur des applications de messagerie telles que WhatsApp.

 Au cours de l'enquête, Microsoft a découvert deux exploits Windows 0-day pour les vulnérabilités suivies comme CVE-2021-31979 et CVE-2021-33771, qui ont toutes deux été corrigées dans les mises à jour de sécurité de juillet 2021. Ces vulnérabilités permettent une élévation des privilèges, donnant à un attaquant la possibilité d'échapper aux bacs à sable du navigateur et d'obtenir l'exécution du code du noyau. Si les clients ont pris la mise à jour de sécurité de juillet 2021, ils sont protégés contre ces exploits.

 CVE-2021-31979 corrige un débordement d'entier dans le système d'exploitation basé sur Windows NT (NTOS). Ce débordement entraîne le calcul d'une taille de tampon incorrecte, qui est ensuite utilisée pour allouer un tampon dans le pool du noyau. Un débordement de tampon se produit par la suite lors de la copie de la mémoire vers le tampon de destination plus petit que prévu. Cette vulnérabilité peut être exploitée pour corrompre un objet dans une allocation de mémoire adjacente. À l'aide des API du mode utilisateur, la disposition de la mémoire du pool de noyau peut être améliorée avec des allocations contrôlées, ce qui entraîne le placement d'un objet dans l'emplacement de mémoire adjacent. Une fois corrompu par le buffer overflow, cet objet peut être transformé en mode utilisateur pour kernel mode lecture/écriture primitive. Avec ces primitives en place, un attaquant peut alors élever ses privilèges.

 CVE-2021-33771 résout une condition de concurrence dans NTOS entraînant l'utilisation après libération d'un objet noyau. En utilisant plusieurs threads de course, l'objet noyau peut être libéré et la mémoire libérée récupérée par un objet contrôlable. Comme la vulnérabilité précédente, la mémoire du pool du noyau peut être pulvérisée avec des allocations à l'aide d'API en mode utilisateur dans l'espoir d'obtenir une allocation d'objet dans la mémoire récemment libérée. En cas de succès, l'objet contrôlable peut être utilisé pour former une primitive de lecture/écriture du mode utilisateur au mode noyau et élever les privilèges. 

Présentation des logiciels malveillants DevilsTongue

 DevilsTongue est un logiciel malveillant multithread modulaire complexe écrit en C et C++ avec plusieurs nouvelles fonctionnalités. L'analyse est toujours en cours pour certains composants et capacités, mais nous partageons notre compréhension actuelle du malware afin que les défenseurs puissent utiliser cette intelligence pour protéger les réseaux et que d'autres chercheurs puissent s'appuyer sur notre analyse. 

 Pour les fichiers sur disque, les chemins PDB et les horodatages PE sont nettoyés, les chaînes et les configurations sont chiffrées et chaque fichier a un hachage unique. La principale fonctionnalité réside dans les DLL chiffrées sur disque et uniquement déchiffrées en mémoire, ce qui rend la détection plus difficile. Les données de configuration et de tâches sont séparées du logiciel malveillant, ce qui rend l'analyse plus difficile. DevilsTongue possède à la fois des fonctionnalités en mode utilisateur et en mode noyau. Il existe plusieurs nouveaux mécanismes d'évasion de détection intégrés. Toutes ces fonctionnalités prouvent que les développeurs de SOURGUM sont très professionnels, ont une vaste expérience dans l'écriture de logiciels malveillants Windows et ont une bonne compréhension de la sécurité opérationnelle.

 Lorsque le logiciel malveillant est installé, une DLL de logiciel malveillant de « piratage » de première étape est déposée dans un sous-dossier de C:\Windows\system32\IME\ ; les dossiers et les noms des DLL de piratage se mélangent aux noms légitimes dans les répertoires \IME\. Les logiciels malveillants de deuxième étape chiffrés et les fichiers de configuration sont déposés dans des sous-dossiers de C:\Windows\system32\config\ avec une extension de fichier .dat. Un pilote tiers légitime et signé physmem.sys est déposé dans le dossier system32\drivers. Un fichier appelé WimBootConfigurations.ini est également supprimé ; ce fichier contient la commande pour suivre le piratage COM. Enfin, le logiciel malveillant ajoute la DLL de piratage à une clé de registre de classe COM, écrasant le chemin légitime de la DLL COM qui s'y trouvait, obtenant ainsi la persistance via le piratage COM.

 À partir du piratage COM, la DLL de piratage de première étape de DevilsTongue est chargée dans un processus svchost.exe pour s'exécuter avec les autorisations SYSTEM. La technique de piratage COM signifie que la DLL d'origine qui se trouvait dans la clé de registre COM n'est pas chargée. Cela peut interrompre la fonctionnalité du système et déclencher une enquête qui pourrait conduire à la découverte du logiciel malveillant, mais DevilsTongue utilise une technique intéressante pour éviter cela. Dans sa fonction DllMain, il appelle LoadLibrary sur la DLL COM d'origine afin qu'elle soit correctement chargée dans le processus. DevilsTongue recherche ensuite dans la pile des appels l'adresse de retour de LoadLibraryExW (c'est-à-dire la fonction qui charge actuellement la DLL DevilsTongue), qui renvoie généralement l'adresse de base de la DLL DevilsTongue. 

 Une fois l'adresse de retour LoadLibraryExW trouvée, DevilsTongue alloue un petit tampon avec un shellcode qui place l'adresse de base de la DLL COM (imecfmup.7FFE49060000 dans la figure 1) dans le registre rax, puis passe à l'adresse de retour d'origine de LoadLibraryExW (svchost.7FF78E903BFB dans Figures 1 et 2). Dans la figure 1, la DLL COM est nommée imecfmup plutôt qu'un nom de DLL COM légitime, car certains exemples DevilsTongue ont copié la DLL COM à un autre emplacement et l'ont renommée.

 Figure 1. Shellcode de modification de l'adresse de retour DevilsTongue DevilsTongue échange ensuite l'adresse de retour LoadLibraryExW d'origine sur la pile avec l'adresse du shellcode de sorte que lorsque LoadLibraryExW le retourne, il le fasse dans le shellcode (Figures 2 et 3). Le shellcode remplace l'adresse de base DevilsTongue dans rax par l'adresse de base de la DLL COM, ce qui donne l'impression que LoadLibraryExW a renvoyé l'adresse de la DLL COM. Le processus hôte svchost.exe utilise désormais l'adresse de base de la DLL COM renvoyée comme il le ferait habituellement.

 Figure 2. Pile d'appels avant l'échange de pile, LoadLibraryExW dans kernelbase retournant à svchost.exe (0x7FF78E903BFB) 

 Figure 3. Pile d'appels après échange de pile, LoadLibraryExW dans la base du noyau retournant à l'adresse du shellcode (0x156C51E0000 de la figure 1) 

Cette technique garantit que la DLL DevilsTongue est chargée par le processus svchost.exe, ce qui donne la persistance du logiciel malveillant, mais que la DLL COM légitime est également chargée correctement, de sorte qu'il n'y a pas de changement notable dans les fonctionnalités des systèmes de la victime.

 Après cela, la DLL de piratage déchiffre et charge une DLL de logiciel malveillant de deuxième étape à partir de l'un des fichiers .dat chiffrés. Le logiciel malveillant de deuxième étape décrypte un autre fichier .dat qui contient plusieurs DLL d'assistance sur lesquelles il s'appuie pour ses fonctionnalités. 

DevilsTongue possède des fonctionnalités standard de logiciels malveillants, y compris la collecte de fichiers, le registre interroger, exécuter des commandes WMI et interroger des bases de données SQLite. Il est capable de voler les informations d'identification des victimes à la fois de LSASS et de navigateurs, tels que Chrome et Firefox. Il dispose également d'une fonctionnalité dédiée pour décrypter et exfiltrer les conversations de l'application de messagerie Signal.

 Il peut récupérer les cookies d'une variété de navigateurs Web. Ces cookies volés peuvent ensuite être utilisés par l'attaquant pour se connecter en tant que victime à des sites Web afin de permettre la collecte d'informations supplémentaires. Les cookies peuvent être collectés à partir de ces chemins (* est un caractère générique pour correspondre à tous les dossiers) :

 %LOCALAPPDATA%\Chrome\Données utilisateur\*\Cookies 

%LOCALAPPDATA%\Google\Chrome\Données utilisateur\*\Cookies 

%LOCALAPPDATA%\Microsoft\Windows\INetCookies 

 %LOCALAPPDATA%\Packages\*\AC\*\MicrosoftEdge\Cookies 

 %LOCALAPPDATA%\UCBrowser\User Data_i18n\*\Cookies.9

 %LOCALAPPDATA%\Yandex\YandexBrowser\Données utilisateur\*\Cookies 

%APPDATA%\Apple Computer\Safari\Cookies\Cookies.binarycookies

 %APPDATA%\Microsoft\Windows\Cookies 

 %APPDATA%\Mozilla\Firefox\Profiles\*\cookies.sqlite

%APPDATA%\Opera Software\Opera Stable\Cookies

 Fait intéressant, DevilsTongue semble capable d'utiliser des cookies directement depuis l'ordinateur de la victime sur des sites Web tels que Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki et Vkontakte pour collecter des informations, lire les messages de la victime et récupérer des photos. DevilsTongue peut également envoyer des messages en tant que victime sur certains de ces sites Web, indiquant à tout destinataire que la victime a envoyé ces messages. La capacité d'envoyer des messages pourrait être militarisée pour envoyer des liens malveillants à davantage de victimes. 

Parallèlement à DevilsTongue, un pilote signé tiers est déposé dans C:\Windows\system32\drivers\physmem.sys. La description du pilote est "Pilote d'accès à la mémoire physique" et il semble offrir une capacité de lecture/écriture du noyau "de par sa conception". Cela semble être abusé par DevilsTongue pour proxy certains appels d'API via le noyau pour entraver la détection, y compris la possibilité de faire apparaître certains des appels à partir d'autres processus. Les fonctions pouvant être mandatées incluent CreateProcessW, VirtualAllocEx, VirtualProtectEx, WriteProcessMemory, ReadProcessMemory, CreateFileW et RegSetKeyValueW.

 Prévention et détection

 Pour éviter les compromis dus aux exploits du navigateur, il est recommandé d'utiliser un environnement isolé, tel qu'une machine virtuelle, lors de l'ouverture de liens provenant de parties non fiables. L'utilisation d'une version moderne de Windows 10 avec des protections basées sur la virtualisation, telles que Credential Guard, empêche les capacités de vol d'informations d'identification LSASS de DevilsTongue. L'activation de la règle de réduction de la surface d'attaque "Bloquer les abus des pilotes signés vulnérables exploités" dans Microsoft Defender pour Endpoint bloque le pilote utilisé par DevilsTongue. La protection réseau bloque les domaines SOURGUM connus.

 Opportunités de détection 

 Cette section est destinée à servir de guide non exhaustif pour aider les clients et les pairs du secteur de la cybersécurité à détecter le malware DevilsTongue. Nous fournissons ces conseils dans l'espoir que SOURGUM modifiera probablement les caractéristiques que nous identifions pour la détection dans leur prochaine itération du logiciel malveillant. Compte tenu du niveau de sophistication de l'acteur, cependant, nous pensons que le résultat se produirait probablement indépendamment de nos conseils publics.

 Emplacements des fichiers

 Les DLL de piratage se trouvent dans des sous-dossiers de \system32\ime\ avec des noms commençant par "im". Cependant, ils sont mélangés avec des DLL légitimes dans ces dossiers. Pour faire la distinction entre le malveillant et le bénin, les DLL légitimes sont signées (sur Windows 10) alors que les fichiers DevilsTongue ne le sont pas.

 Exemples de chemins : 

C:\Windows\System32\IME\IMEJP\imjpueact.dll

 C:\Windows\system32\ime\IMETC\IMTCPROT.DLL

 C:\Windows\system32\ime\SHARED\imecpmeid.dll

 Les fichiers de configuration DevilsTongue, qui sont cryptés AES, se trouvent dans des sous-dossiers de C:\Windows\system32\config\ et ont une extension .dat. Les chemins exacts sont spécifiques à la victime, bien que certains noms de dossier soient communs à toutes les victimes. Comme les fichiers sont cryptés AES, tous les fichiers dont la taille mod 16 est 0 peuvent être considérés comme un fichier de configuration de logiciel malveillant possible. Les fichiers de configuration se trouvent toujours dans de nouveaux dossiers, et non dans les dossiers existants légitimes (par exemple, sous Windows 10, jamais dans \Journal, \systemprofile, \TxR, etc.).

 Exemples de chemins : 

 C:\Windows\system32\config\spp\ServiceState\Recovery\pac.dat

 C:\Windows\system32\config\cy-GB\Setup\SKB\InputMethod\TupTask.dat

 C:\Windows\system32\config\config\startwus.dat 

Noms de dossier couramment réutilisés dans les chemins des fichiers de configuration :

 spp

 SKB

curv

 liste de réseau(networklist)

 Licences

 Procédé d'entrée(InputMethod)

 Récupération(Recovery)

 Le fichier .ini reg porte le nom unique WimBootConfigurations.ini et se trouve dans un sous-dossier de system32\ime\. 

Exemples de chemins :

 C:\Windows\system32\ime\SHARED\WimBootConfigurations.ini

 C:\Windows\system32\ime\IMEJP\WimBootConfigurations.ini

 C:\Windows\system32\ime\IMETC\WimBootConfigurations.ini

 Le pilote Physmem est déposé dans system32 : C:\Windows\system32\drivers\physmem.sys

 Comportements 

 Les deux clés COM qui ont été observées étant détournées pour la persistance sont répertoriés ci-dessous avec leurs valeurs propres par défaut. Si leur DLL de valeur par défaut se trouve dans le dossier \system32\ime\, la DLL est probablement DevilsTongue.(a été vu aussi dans windows7)

    HKLM\SOFTWARE\Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 = %systemroot%\system32\wbem\wmiutils.dll (valeur par défaut propre)


    HKLM\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32 = %systemroot%\system32\wbem\wbemsvc.dll (valeur par défaut propre)

Contenu et caractéristiques du fichier


Cette règle Yara peut être utilisée pour trouver la DLL de piratage DevilsTongue :


import "pe"
rule DevilsTongue_HijackDll
{
meta:
description = "Detects SOURGUM's DevilsTongue hijack DLL"
author = "Microsoft Threat Intelligence Center (MSTIC)"
date = "2021-07-15"
strings:
$str1 = "windows.old\\windows" wide
$str2 = "NtQueryInformationThread"
$str3 = "dbgHelp.dll" wide
$str4 = "StackWalk64"
$str5 = "ConvertSidToStringSidW"
$str6 = "S-1-5-18" wide
$str7 = "SMNew.dll" // DLL original name
// Call check in stack manipulation
// B8 FF 15 00 00   mov     eax, 15FFh
// 66 39 41 FA      cmp     [rcx-6], ax
// 74 06            jz      short loc_1800042B9
// 80 79 FB E8      cmp     byte ptr [rcx-5], 0E8h ; 'è'
$code1 = {B8 FF 15 00 00 66 39 41 FA 74 06 80 79 FB E8}
// PRNG to generate number of times to sleep 1s before exiting
// 44 8B C0 mov r8d, eax
// B8 B5 81 4E 1B mov eax, 1B4E81B5h
// 41 F7 E8 imul r8d
// C1 FA 05 sar edx, 5
// 8B CA    mov ecx, edx
// C1 E9 1F shr ecx, 1Fh
// 03 D1    add edx, ecx
// 69 CA 2C 01 00 00 imul ecx, edx, 12Ch
// 44 2B C1 sub r8d, ecx
// 45 85 C0 test r8d, r8d
// 7E 19    jle  short loc_1800014D0
$code2 = {44 8B C0 B8 B5 81 4E 1B 41 F7 E8 C1 FA 05 8B CA C1 E9 1F 03 D1 69 CA 2C 01 00 00 44 2B C1 45 85 C0 7E 19}
condition:
filesize < 800KB and
uint16(0) == 0x5A4D and
(pe.characteristics & pe.DLL) and
(
4 of them or
($code1 and $code2) or
(pe.imphash() == "9a964e810949704ff7b4a393d9adda60")
)
}


Détections de l'antivirus Microsoft Defender

Microsoft Defender Antivirus détecte les logiciels malveillants DevilsTongue avec les détections suivantes :

    Trojan:Win32/DevilsTongue.A!dha
    Trojan:Win32/DevilsTongue.B!dha
    Trojan:Script/DevilsTongueIni.A!dha
    VirTool:Win32/DevilsTongueConfig.A!dha
    HackTool:Win32/DevilsTongueDriver.A!dha

Alertes Microsoft Defender pour point de terminaison

Les alertes portant les titres suivants dans le centre de sécurité peuvent indiquer une activité de malware DevilsTongue sur votre réseau :

    Détournement COM
    Vol possible d'informations sensibles sur le navigateur Web
    Cookies SSO volés

Requête Azure Sentinel

Pour localiser une éventuelle activité SOURGUM à l'aide d'Azure Sentinel, les clients peuvent trouver une requête Sentinel contenant ces indicateurs dans ce référentiel GitHub.
Indicateurs de compromis (IOC)

Aucun hachage de logiciel malveillant n'est partagé car les fichiers DevilsTongue, à l'exception du troisième pilote ci-dessous, ont tous des hachages uniques et ne constituent donc pas un indicateur utile de compromission.
Pilote physique

Notez que ce pilote peut être utilisé légitimement, mais s'il apparaît sur le chemin C:\Windows\system32\drivers\physmem.sys, il s'agit d'un indicateur de haute confiance de l'activité de DevilsTongue. Les hachages ci-dessous sont fournis pour le seul pilote observé en cours d'utilisation.

    MD5 : a0e2223868b6133c5712ba5ed20c3e8a
    SHA-1 : 17614fdee3b89272e99758983b99111cbb1b312c
    SHA-256 : c299063e3eae8ddc15839767e83b9808fd43418dc5a1af7e4f44b97ba53fbd3d

Domaines

   noc-service-streamer[.]com
    fbcdnads[.]live
    hilocake[.]info
    backxercise[.]com
    winmslaf[.]xyz
    service-deamon[.]com
    online-affiliate-mon[.]com
    codeingasmylife[.]com
    kenoratravels[.]com
    weathercheck[.]digital
    colorpallatess[.]com
    library-update[.]com
    online-source-validate[.]com
    grayhornet[.]com
    johnshopkin[.]net
    eulenformacion[.]com
    pochtarossiy[.]info

REF.:  https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/

Classé sous :

    La cyber-sécurité

mercredi 17 août 2022

Le groupe NSO

  Le groupe NSO

 

 Le groupe NSO a été lancé en Israël en 2010 par des amis Niv Carmi, Omri Lavie et Shalev Hulio. https://www.linkedin.com/in/shalevholy/

https://twitter.com/Shalevoosh

 https://en.wikipedia.org/wiki/Candiru_(spyware_company)
















Carmi a quitté l'entreprise peu de temps après sa création et, selon toute apparence, a gardé ses distances depuis. Lavie et Hulio, quant à eux, restent dans l'entreprise. Ils ont atteint un niveau de notoriété rare sur la scène technologique très soudée d'Herzliya, en Israël, où les entreprises restent en "mode furtif" pendant des années, et même les entrepreneurs locaux bien connus peuvent être étrangement difficiles à trouver via Google. Sur les photographies, le couple ressemble à des frères, avec des têtes rasées assorties, du chaume et des constructions trapues qui trahissent leur carrière en informatique, les deux étant maintenant retirés de leur temps passé en service obligatoire pour les Forces de défense israéliennes.

 Fondé en 2010 ; Fondateurs Omri Lavie Shalev Hulio Niv Karmi (A quitté l'entreprise un mois après sa création) Siège social Herzlia , Israël Personnes clés Shalev Hulio (PDG)[1] Produits Pégase Chiffre d'affaires 243 millions de dollars (2020) Résultat d'exploitation 99 millions de dollars américains (2020) Propriétaire Capitale Novalpina Omri Lavie Shalev Hulio Nombre d'employés 750 (2021) Site Web : nsogroup.com

  La société ne révèle pas le coût de ces exploits. Le journal israélien Haaretz a rapporté en novembre que l'Arabie saoudite avait payé 55 millions de dollars pour accéder à Pegasus en 2017.Selon l'offre de dette, NSO Group comptait 60 clients actifs dans le monde. Parmi ceux-ci, 80 % appartenaient au gouvernement; 20% étaient des services de police, des autorités pénitentiaires ou des militaires. Plus de 60 % de ses clients se trouvaient au Moyen-Orient et en Asie. Moins de 30 % se trouvaient en Europe. Seulement 3 % se trouvaient dans les Caraïbes et en Amérique latine, et 1 % en Amérique du Nord. La mafia de l'NSO ! https://www.haaretz.com/israel-news/tech-news/2020-09-07/ty-article/.premium/mobile-spytech-millions-in-gulf-deals-top-secret-israeli-cyberattack-firm-reve/0000017f-e1eb-d568-ad7f-f3eb36390000

1.9127537

 https://youtu.be/Tl3mpywMYFA

Au fur et à mesure que NSO Group s'est développé, un enchevêtrement de startups similaires s'est développé autour de lui, dans de nombreux cas fondés, financés ou dotés par d'anciens employés de NSO Group. Selon l'estimation d'une personne, il y a plus de 20 startups fondées par des anciens du groupe NSO. L'une des entreprises les plus visibles est Interionet, qui développe des logiciels malveillants pour les routeurs Internet. Dans son profil sur la base de données du centre de recherche IVC, la société se décrit comme une plate-forme de cyberespionnage "qui permet aux agences de renseignement du monde entier d'obtenir de grandes quantités de renseignements sensibles et de haute qualité". Il a été fondé par Yair Ceache, l'ancien PDG du groupe NSO, et Sharon Oknin, l'ancienne vice-présidente de la livraison du groupe NSO. Joshua Lesher, ancien membre du conseil d'administration de NSO Group, siège également au conseil d'administration d'Interionet. Il existe également une startup cyber offensive appelée Wayout, fondée par Gil Dolev, le frère du président du groupe NSO, Shiri Dolev. La startup a levé des fonds auprès des fondateurs de NSO Group va construire des outils d'interception pour les appareils "internet des objets", selon les personnes présentes dans l'espace. Dolev n'a pas répondu à une demande de commentaire.

 L'une des entreprises les plus ouvertes au public est PICSIX, qui fait la promotion de sa technologie, y compris ce dispositif d'interception d'appels, sur son site Web. PICSIX Une autre société secrète est Grindavik Solutions, également connue sous le nom de Candiru, une startup fondée par l'ancien cadre de Gett Eitan Achlow et le cadre du groupe NSO Isaac Zack, et soutenue financièrement par Zack. En janvier, la publication israélienne TheMarker a rapporté que Candiru vend des outils pour pirater des ordinateurs et des serveurs, et a cité des sources qui ont déclaré que l'entreprise pourrait également pirater des appareils mobiles. 

 Ensuite, il y a Intellexa, un consortium international d'entreprises vendant des technologies d'interception et d'extraction, y compris des outils d'interception 2G, 3G et 4G de Nexa basé à Paris, des outils d'interception WiFi longue portée de WiSpear basé à Chypre et un dispositif d'extraction de données de Cytrox, qui a été acquis par WiSpear en 2018. Aujourd'hui, le consortium est composé de sociétés distinctes, mais le plan est de fusionner éventuellement en une seule société, selon une personne proche du dossier. Le lien le plus profond d'Intellexa avec le groupe NSO passe par Tal Dilian, le fondateur israélien de WiSpear. La société de Dilian, Circles, qui vendait des technologies de localisation et d'interception, a été acquise pour 130 millions de dollars par la société de capital-investissement Francisco Partners avant d'être fusionnée avec NSO Group en 2014. Au printemps, Dilian a montré au journaliste de Forbes, Thomas Brewster, la nouvelle offre de produits frappante d'Intellexa : une fourgonnette de surveillance trompée qui se vend entre 3,5 et 9 millions de dollars et peut soi-disant suivre les visages, écouter les appels, localiser les téléphones et accéder à distance aux messages WhatsApp.

 L'espace n'est cependant pas limité aux anciens de l'NSO. De nombreuses entreprises israéliennes développent des logiciels malveillants pour les routeurs WiFi ou des attaques sur les réseaux WiFi, ce qui permet à ses utilisateurs d'intercepter les informations envoyées sur Internet. Ceux-ci incluent Merlinx, autrefois connu sous le nom d'Equus Technologies; Wintégo ; les cyberlaboratoires de Jenovice ; et PICSIX. Il y a aussi Quadream, qui développe des attaques sur le système d'exploitation mobile d'Apple. Une société appelée Rayzone Group et une autre appelée Magen 100 vendent toutes deux des outils pour l'interception des données des smartphones. Ensuite, il y a Toka et Incert Intelligence, qui créent tous deux des outils pour accéder à distance aux appareils de l'Internet des objets. Il n'est pas clair si l'une de ces entreprises est liée au groupe NSO ou est financée par ses anciens élèves. Tableau des groupes d'NSO


 

  La Silicon Valley flirte avec le diable

 L'une des raisons pour lesquelles tant de ces entreprises vantent les investissements providentiels de Lavie, Hulio et d'autres anciens du groupe NSO est que les investisseurs plus traditionnels restent à l'écart. Les capital-risqueurs de la Silicon Valley et de Tel Aviv ont déclaré qu'ils recevaient occasionnellement des arguments de startups dans l'espace – un investisseur a déclaré avoir entendu parler de 10 à 20 entreprises différentes à Tel Aviv, en Israël, avec une technologie offensive. Mais pour beaucoup, cela ne vaut tout simplement pas la peine de s'impliquer. Certains investisseurs en capital-risque ont remis en question la logique commerciale de soutenir une entreprise comme NSO Group, qui n'a pas beaucoup d'acquéreurs viables et dont les techniques controversées peuvent être mal vues par les marchés publics. Alors que bon nombre des plus grandes entreprises de Sand Hill Road n'ont pas de règles explicites contre le placement de leur argent dans les cyber-armes, les investisseurs l'ont comparé à l'investissement dans le cannabis ou les armes à feu – des domaines à risque qu'il vaut mieux garder à distance.

 Udi Doenyas, cofondateur et ancien directeur de la technologie du groupe NSO qui a quitté l'entreprise en 2014, a déclaré qu'un contrôle accru de la légalité de la cybertechnologie offensive a augmenté le coût des affaires et effrayé les sources de financement. "Nous avons vraiment eu de la chance", a-t-il déclaré à propos des premiers succès du groupe NSO sous le radar. "Nous étions là au bon moment." Yoav Leitersdorf, le fondateur de la société de capital-risque israélo-américaine YL Ventures, a déclaré que son entreprise n'avait jamais investi et n'investirait jamais dans une cyberentreprise offensive. "La principale raison en est éthique, car souvent les clients de ces fournisseurs finissent par utiliser la technologie d'une manière qui viole les droits de l'homme, avec ou sans la connaissance des fournisseurs", a déclaré Leitersdorf dans un e-mail. "La raison secondaire est que ces investissements sont beaucoup plus difficiles à sortir que les investissements de cybersécurité plus traditionnels, car il y a beaucoup moins d'acquéreurs potentiels pour les fournisseurs de cybersécurité offensifs : vous recherchez essentiellement des sociétés de capital-investissement et des sous-traitants de la défense, et c'est à peu près tout."

 Il y a cependant une exception récente : le concurrent du groupe NSO, Toka, a levé un tour de table de 12,5 millions de dollars auprès d'Andreessen Horowitz, de Dell Technologies Capital, de LaunchCapital, d'Entrée Capital et du l'investisseur Ray Rothrock l'an dernier.

 Toka construit des cyber-outils à la demande avec un accent particulier sur les logiciels espions pour l'Internet des objets. Son objectif est de donner à ses clients un accès à distance à des appareils comme Amazon Echoes, des appareils intelligents et des thermostats. Son équipe fondatrice est un who's who du monde israélien de la cybersécurité. Le PDG de Toka est Yaron Rosen, l'ancien cyberchef des Forces de défense israéliennes. Son chef de l'exploitation est Kfir Waldman, un entrepreneur en série et ancien cadre de Cisco. Il y a aussi Alon Kanton, un ancien cadre de Check Point Security. Et son dernier cofondateur et directeur est l'ancien Premier ministre israélien Ehud Barak. Trois investisseurs et deux technologues connaissant Toka ont déclaré à Business Insider que la société avait des capacités offensives, bien que la société conteste cette caractérisation.

 "Toka ne construit pas de cyber, d'outils d'attaque ou d'armes offensifs", a déclaré Kenneth Baer, ​​porte-parole de l'entreprise, à Business Insider. "Toka ne construira que des outils de renseignement, pas des armes offensives. Un domaine sur lequel nous nous concentrons, qui nous semble mal desservi, est le secteur de l'IdO. Il présente d'énormes opportunités - et des défis - pour les forces de l'ordre et les agences de sécurité." Toka, comme NSO Group, est réglementé par le ministère israélien de la Défense, qui approuve en fin de compte toutes les exportations de technologies de cybersécurité qui pourraient être classées comme des outils de cyberguerre. Tout comme le groupe NSO, Toka formera un conseil consultatif pour "superviser toutes les activités et opérations de vente", a déclaré Baer. Aucune responsabilité significative Dans une grande partie du monde, la vente de logiciels offensifs est largement réglementée comme des armes. L'arrangement de Wassenaar de 42 pays, dont les signataires comprennent toute l'Amérique du Nord et la majeure partie de l'Europe, a des lignes directrices pour les exportations mondiales d'armes, qui incluent les cyberarmes depuis 2013.

 Bien qu'Israël ne fasse pas partie de l'arrangement, le pays affirme qu'il suit les directives et que toutes les exportations de logiciels doivent être approuvées par le ministère de la Défense. Les initiés de l'industrie ont qualifié les lois d'opaques et ont déclaré que les entreprises n'avaient souvent pas beaucoup d'informations sur les critères d'approbation. Il y a peu d'informations publiques sur les exportations qui réussissent. (Reuters a rapporté le mois dernier que le ministère israélien de la Défense avait assoupli certaines de ses règles pour accélérer la vente de cybertechnologies offensives.) Les détracteurs de l'industrie soutiennent que les contrôles nationaux ne suffisent pas et cherchent à établir des précédents juridiques mondiaux pour tenir les entreprises technologiques responsables si et quand leurs produits sont mal utilisés par des gouvernements étrangers. "Il n'y a aucune preuve à l'heure actuelle qu'il existe une responsabilité significative concernant les abus qui se sont déjà produits", a déclaré John Scott-Railton, chercheur principal au Citizen Lab de l'Université de Toronto, qui suit l'utilisation de Pegasus. "Personne ne peut raisonnablement prétendre que l'industrie se surveille ou est tenue responsable de ce qu'elle fait."

 Doenyas, l'ancien directeur de la technologie du groupe NSO, pense qu'il est "beau" que les anciens élèves du NSO créent leur propre entreprise - tant, a-t-il dit, qu'ils agissent moralement. Mais il hésitait à parler d'entreprises spécifiques. Ils préfèrent le secret, dit-il, car cela rend leurs produits plus efficaces. "Quand vous voulez maintenir la paix, vous feriez mieux de ne pas faire paniquer toute la population", a déclaré Doenyas. "Vous voulez garder les informations et les capacités pour vous-même, et ne les utiliser que lorsque vous en avez besoin."

ndlr:

Comme feraient si bien les grandes agences de renseignements! 

 

REF.:  https://newsfilter.io/articles/the-founders-of-a-billion-dollar-israeli-spyware-startup-accused-of-helping-saudi-arabia-attack-dissidents-are-funding-a-web-of-new-companies-that-hack-into-smart-speakers-routers-and-other-devices-ed4cf1513635055c33ad85008086deeb