Candiru: Un autre fournisseur de logiciels espions mercenaires entre en scène:
Par Bill Marczak, John Scott-Railton, Kristin Berdan, Bahr Abdul Razzak et Ron Deibert
Le 15 juillet 2021
Sommaire
Candiru a été fondée en 2014 par Yaakov Weizmann et Eran Shorer, son président vétéran Itzik Zack étant également son principal actionnaire. La société fait des efforts considérables pour garder ses opérations sous le radar et, au fil des ans, a changé de nom à plusieurs reprises. Son nom le plus actuel est Saito Tech Inc., et s'appelait auparavant également Taveta, Grindavik Solutions Ltd. et DF Associates, mais dans l'industrie, il est toujours connu sous son nom d'origine Candiru. Comme de nombreux acteurs israéliens dans le domaine de la cyber-surveillance, il recrute la plupart de ses employés dans l'unité 8200 de Tsahal.
| Candiru/Saito tech ltd | |||||||||||||||||||||||||||||||||||||||||||||||
| Création | 2014 | ||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Fondateurs | Eran Shorer, Yaakov Weizman | ||||||||||||||||||||||||||||||||||||||||||||||
| Forme juridique | Société à capitaux privés (en)1 | ||||||||||||||||||||||||||||||||||||||||||||||
| Siège social | Tel Aviv Israël, | au 21 Ha'arba'a TelAviv , Israel | |||||||||||||||||||||||||||||||||||||||||||||
| Direction | Eaitan Achlow | ||||||||||||||||||||||||||||||||||||||||||||||
| Actionnaires | Isaac Zack | ||||||||||||||||||||||||||||||||||||||||||||||
| Activité | Surveillance | ||||||||||||||||||||||||||||||||||||||||||||||
| Sociétés sœurs | NSO Group | ||||||||||||||||||||||||||||||||||||||||||||||
| Effectif | 150 |
CANDIRU LTD
סאייטו טק בע"מ
Google maps:
https://www.google.com/maps/place/HaArba'a+21,+Tel+Aviv-Yafo,+Isra%C3%ABl/@32.0704496,34.7870971,17z/data=!4m13!1m7!3m6!1s0x151d4b9d0d387b67:0xbe562e877c1084ba!2sHaArba'a+21,+Tel+Aviv-Yafo,+Isra%C3%ABl!3b1!8m2!3d32.0704496!4d34.7870971!3m4!1s0x151d4b9d0d387b67:0xbe562e877c1084ba!8m2!3d32.0704496!4d34.7870971
Candiru est une société secrète basée en Israël qui vend des logiciels espions exclusivement aux gouvernements. Apparemment, leurs logiciels espions peuvent infecter et surveiller les iPhones, les Android, les Mac, les PC et les comptes cloud. Grâce à l'analyse Internet, nous avons identifié plus de 750 sites Web liés à l'infrastructure de logiciels espions de Candiru. Nous avons trouvé de nombreux domaines se faisant passer pour des organisations de défense telles qu'Amnesty International, le mouvement Black Lives Matter, ainsi que des sociétés de médias et d'autres entités thématiques de la société civile. Nous avons identifié une victime politiquement active en Europe occidentale et récupéré une copie du logiciel espion Windows de Candiru. En collaboration avec Microsoft Threat Intelligence Center (MSTIC), nous avons analysé le logiciel espion, ce qui a abouti à la découverte de CVE-2021-31979 et CVE-2021-33771 par Microsoft, deux vulnérabilités d'élévation de privilèges exploitées par Candiru. Microsoft a corrigé les deux vulnérabilités le 13 juillet 2021. Dans le cadre de son enquête, Microsoft a observé au moins 100 victimes en Palestine, en Israël, en Iran, au Liban, au Yémen, en Espagne, au Royaume-Uni, en Turquie, en Arménie et à Singapour. Les victimes comprennent des défenseurs des droits humains, des dissidents, des journalistes, des militants et des politiciens. Nous fournissons un bref aperçu technique du mécanisme de persistance du logiciel espion Candiru et quelques détails sur la fonctionnalité du logiciel espion. Candiru a fait des efforts pour masquer sa structure de propriété, son personnel et ses partenaires d'investissement. Néanmoins, nous avons pu faire la lumière sur ces domaines dans ce rapport.
1. Qui est Candiru ?
La société connue sous le nom de « Candiru », basée à Tel-Aviv, en Israël, est une société de logiciels espions mercenaires qui commercialise des logiciels espions « introuvables » aux clients du gouvernement. Leur offre de produits comprend des solutions d'espionnage sur les ordinateurs, les appareils mobiles et les comptes cloud. Figure 1 : Une fresque distinctive de cinq hommes à tête vide portant des costumes et des chapeaux melon est affichée sur cette photo « Happy Hour » d'un ancien bureau de Candiru publiée sur Facebook par une entreprise de restauration. Une structure d'entreprise délibérément opaque Candiru s'efforce de garder ses opérations, son infrastructure et l'identité de son personnel opaques à l'examen public. Candiru Ltd. a été fondée en 2014 et a subi plusieurs changements de nom (voir : Tableau 1). Comme de nombreuses sociétés de logiciels espions mercenaires, la société recruterait dans les rangs de l'unité 8200, l'unité de renseignement électromagnétique des Forces de défense israéliennes. Bien que le nom actuel de l'entreprise soit Saito Tech Ltd, nous les appellerons "Candiru" car ils sont plus connus sous ce nom. Le logo de l'entreprise semble être une silhouette du poisson Candiru réputé horrible sous la forme de la lettre "C". Raison sociale Date d'enregistrement Signification possible Saito Tech Ltd. (סאייטו טק בעיימ) 2020 "Saito" est une ville au Japon Taveta Ltd. (טאבטה בעיימ) 2019 "Taveta" est une ville du Kenya Grindavik Solutions Ltd. (גרינדוויק פתרונות בעיימ) 2018 "Grindavik" est une ville d'Islande DF Associates Ltd. (ד. אפ אסוסיאייטס בעיימ) 2017 ? Candiru Ltd. (קנדירו בעיימ) 2014 Un poisson d'eau douce parasite Tableau 1 : Enregistrements des sociétés de Candiru au fil du temps Candiru a au moins une filiale : Sokoto Ltd. La section 5 fournit une documentation supplémentaire sur la structure d'entreprise et la propriété de Candiru. Ventes et investissements déclarés Selon un procès intenté par un ancien employé, Candiru a réalisé des ventes de « près de 30 millions de dollars », dans les deux ans suivant sa création. Les clients déclarés de l'entreprise sont situés en "Europe, dans l'ex-Union soviétique, dans le golfe Persique, en Asie et en Amérique latine". De plus, des rapports sur des accords possibles avec plusieurs pays ont été publiés : Ouzbékistan : lors d'une présentation en 2019 lors de la conférence sur la sécurité du Virus Bulletin, un chercheur de Kaspersky Lab a déclaré que Candiru avait probablement vendu son logiciel espion au service de sécurité nationale d'Ouzbékistan. Arabie saoudite et Émirats arabes unis : la même présentation mentionnait également l'Arabie saoudite et les Émirats arabes unis comme clients probables de Candiru. Singapour : Un rapport d'Intelligence Online de 2019 mentionne que Candiru était actif dans la sollicitation d'affaires auprès des services de renseignement de Singapour. Qatar : Un rapport d'Intelligence Online de 2020 note que Candiru "s'est rapproché du Qatar". Une société liée au fonds souverain du Qatar a investi dans Candiru. Aucune information sur les clients basés au Qatar n'a encore émergé, Offres de logiciels espions de Candiru Une proposition de projet Candiru divulguée publiée par TheMarker montre que les logiciels espions de Candiru peuvent être installés à l'aide d'un certain nombre de vecteurs différents, notamment des liens malveillants, des attaques de type "man-in-the-middle" et des attaques physiques. Un vecteur nommé "Sherlock" est également proposé, qui, selon eux, fonctionne sur Windows, iOS et Android. Il peut s'agir d'un vecteur sans clic basé sur un navigateur.
Figure 2 : Vecteurs d'infection proposés par Candiru. Comme beaucoup de ses pairs, Candiru semble accorder une licence à ses logiciels espions en fonction du nombre d'infections simultanées, ce qui reflète le nombre de des cibles qui peuvent être sous surveillance active à tout instant. Comme NSO Group, Candiru semble également limiter le client à un ensemble de pays approuvés. La proposition de projet de 16 millions d'euros permet un nombre illimité de tentatives d'infection par des logiciels espions, mais la surveillance de seulement 10 appareils simultanément. Pour 1,5 million d'euros supplémentaires, le client peut acheter la possibilité de surveiller 15 appareils supplémentaires simultanément et d'infecter des appareils dans un seul pays supplémentaire. Pour 5,5 millions d'euros supplémentaires, le client peut surveiller simultanément 25 appareils supplémentaires et mener des activités d'espionnage dans cinq autres pays. Figure 3 : Proposition pour un client Candiru indiquant le nombre d'infections simultanées dans le cadre d'un contrat donné. Les petits caractères de la proposition indiquent que le produit fonctionnera dans « tous les territoires convenus », puis mentionnent une liste de pays restreints, notamment les États-Unis, la Russie, la Chine, Israël et l'Iran. Cette même liste de pays restreints a déjà été mentionnée par NSO Group. Néanmoins, Microsoft a observé des victimes de Candiru en Iran, suggérant que dans certaines situations, les produits de Candiru opèrent dans des territoires restreints. En outre, l'infrastructure de ciblage divulguée dans ce rapport comprend des domaines se faisant passer pour le service postal russe. La proposition indique que le logiciel espion peut exfiltrer des données privées à partir d'un certain nombre d'applications et de comptes, notamment Gmail, Skype, Telegram et Facebook. Le logiciel espion peut également capturer l'historique de navigation et les mots de passe, activer la webcam et le microphone de la cible et prendre des photos de l'écran. La capture de données à partir d'applications supplémentaires, telles que Signal Private Messenger, est vendue en tant que module complémentaire. Figure 4 : Les clients peuvent payer des frais supplémentaires pour capturer les données de Signal. Pour un supplément supplémentaire de 1,5 million d'euros, les clients peuvent acheter une capacité de shell distant, qui leur permet un accès complet pour exécuter n'importe quelle commande ou programme sur l'ordinateur de la cible. Ce type de capacité est particulièrement préoccupant, étant donné qu'il pourrait également être utilisé pour télécharger des fichiers, tels que la plantation de matériaux incriminants, sur un appareil infecté.
2. Trouver les logiciels malveillants de Candiru dans la nature En utilisant les données de télémétrie de l'équipe Cymru, ainsi que l'aide de partenaires de la société civile, le Citizen Lab a pu identifier un ordinateur que nous soupçonnions de contenir une infection persistante à Candiru. Nous avons contacté le propriétaire de l'ordinateur, un individu politiquement actif en Europe occidentale, et nous nous sommes arrangés pour que le disque dur de l'ordinateur soit imagé. Nous avons finalement extrait une copie du logiciel espion de Candiru de l'image disque. Alors que l'analyse des logiciels espions extraits est en cours, cette section présente les premiers résultats concernant la persistance des logiciels espions. Persistance Le logiciel espion de Candiru a été installé de manière persistante sur l'ordinateur via le piratage COM de la clé de registre suivante : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 Normalement, la valeur de cette clé de registre pointe vers le fichier bénin Windows Management Instrumentation wmiutils.dll, mais la valeur sur l'ordinateur infecté a été modifiée pour pointer vers un fichier DLL malveillant qui a été déposé dans le dossier système Windows associé à la méthode de saisie japonaise. (IMEJP) C:\WINDOWS\system32\ime\IMEJP\IMJPUEXP.DLL. Ce dossier est bénin et inclus dans une installation par défaut de Windows 10, mais IMJPUEXP.DLL n'est pas le nom d'un composant Windows légitime. Lorsque Windows démarre, il charge automatiquement le service Windows Management Instrumentation, ce qui implique de rechercher le chemin DLL dans la clé de registre, puis d'invoquer la DLL. Chargement de la configuration du logiciel espion Le fichier DLL IMJPUEXP comporte huit blobs dans la section des ressources PE avec les identifiants 102, 103, 105, 106, 107, 108, 109, 110. La DLL les déchiffre à l'aide d'une clé AES et d'un IV codés en dur dans la DLL. Le décryptage se fait via Windows CryptoAPI, en utilisant AES-256-CBC. Il convient de noter en particulier la ressource 102, qui contient le chemin d'accès au wmiutils.dll légitime, qui est chargé après le logiciel espion, garantissant que le piratage COM ne perturbe pas les fonctionnalités normales de Windows. La ressource 103 pointe vers un fichier AgentService.dat dans un dossier créé par le logiciel espion, C:\WINDOWS\system32\config\spp\Licenses\curv\config\tracing\. La ressource 105 pointe vers un deuxième fichier dans le même répertoire, KBDMAORI.dat. IMJPUEXP.DLL déchiffre et charge le fichier AgentService.dat dont le chemin est dans la ressource 103, en utilisant la même clé AES et IV, et le décompresse via zlib. Le fichier AgentService.dat charge ensuite le fichier dans la ressource 105, KBDMAORI.dat, à l'aide d'une seconde clé AES et d'un IV codé en dur dans AgentService.dat, et effectue le déchiffrement à l'aide d'un OpenSSL lié statiquement. Le déchiffrement de KBDMAORI.DAT produit un fichier avec une série de neuf blobs chiffrés, chacun préfixé par un champ de longueur little-endian de 8 octets. Chaque blob est chiffré avec la même clé AES et IV utilisé pour déchiffrer KBDMAORI.DAT, puis est compressé en zlib. Les quatre premiers blobs chiffrés semblent être des DLL du redistribuable Microsoft Visual C++ : vcruntime140.dll, msvcp140.dll, ucrtbase.dll, concrt140.dll. Les blobs suivants font partie du logiciel espion, y compris des composants apparemment appelés Internals.dll et Help.dll. Les DLL Microsoft et les DLL de logiciels espions dans KBDMAORI.DAT sont légèrement masquées. L'annulation des modifications suivantes rend les fichiers DLL valides : Les deux premiers octets du fichier (MZ) ont été mis à zéro. Les 4 premiers octets de l'en-tête NT (\x50\x45\x00\x00) ont été mis à zéro. Les 2 premiers octets de l'en-tête facultatif (\x0b\x02) ont été mis à zéro. Les chaînes du répertoire d'importation ont été masquées par XOR, à l'aide d'une clé XOR de 48 octets codée en dur dans AgentService.dat : 6604F922F90B65F2B10CE372555C0A0C0C5258B6842A83C7DC2EE4E58B363349F496E6B6A587A88D0164B74DAB9E6B58 Le blob final dans KBDMAORI.DAT est la configuration du logiciel espion au format JSON. La configuration est quelque peu obscurcie, mais contient clairement des URL encodées en Base64 UTF-16 pour la commande et le contrôle. Figure 5 : Configuration C&C du logiciel espion masqué au format JSON. Les serveurs C&C dans la configuration sont : https://msstore[.]io https://adtracker[.]lien https://cdnmobile[.]io Les trois noms de domaine pointaient vers 185.181.8[.]155. Cette adresse IP était connectée à trois autres adresses IP qui correspondaient à notre empreinte digitale Candiru CF1 (Section 3). Fonctionnalité des logiciels espions Nous inversons toujours la plupart des fonctionnalités du logiciel espion, mais la charge utile Windows de Candiru semble inclure des fonctionnalités pour exfiltrer des fichiers, exporter tous les messages enregistrés dans la version Windows de la populaire application de messagerie cryptée Signal, et voler des cookies et des mots de passe de Chrome, Internet Explorer, Firefox , Safari et Opera. Le logiciel espion utilise également un pilote tiers signé légitime, physmem.sys : c299063e3eae8ddc15839767e83b9808fd43418dc5a1af7e4f44b97ba53fbd3d L'analyse de Microsoft a également établi que le logiciel espion pouvait envoyer des messages à partir de comptes de messagerie et de réseaux sociaux connectés directement sur l'ordinateur de la victime. Cela pourrait permettre l'envoi de liens malveillants ou d'autres messages directement depuis l'ordinateur d'un utilisateur compromis. Prouver que l'utilisateur compromis n'a pas envoyé le message peut être assez difficile.
3. Cartographie de l'infrastructure de commande et de contrôle de Candiru Pour identifier les sites Web utilisés par les logiciels espions de Candiru, nous avons développé quatre empreintes digitales et une nouvelle technique de numérisation Internet. Nous avons recherché des données historiques de Censys et effectué nos propres analyses en 2021. Cela nous a conduit à identifier au moins 764 noms de domaine que nous évaluons avec une confiance modérée à élevée pour être utilisés par Candiru et ses clients. L'examen des noms de domaine indique un intérêt probable pour des cibles en Asie, en Europe, au Moyen-Orient et en Amérique du Nord. De plus, sur la base de notre analyse des données de numérisation Internet, nous pensons qu'il existe des systèmes Candiru exploités depuis l'Arabie saoudite, Israël, les Émirats arabes unis, la Hongrie et l'Indonésie, entre autres pays. L'erreur OPSEC de Candiru mène à leur infrastructure En utilisant Censys, nous avons trouvé un certificat TLS auto-signé qui incluait l'adresse e-mail "amitn@candirusecurity.com". Nous avons attribué le nom de domaine candirusecurity[.]com à Candiru Ltd, car un deuxième nom de domaine (vérification[.]center) a été enregistré en 2015 avec une adresse e-mail candirusecurity[.]com et un numéro de téléphone (+972-54-2552428 ) répertorié par Dun & Bradstreet comme numéro de fax de Candiru Ltd, également connu sous le nom de Saito Tech Ltd. Figure 6 : Ce certificat Candiru que nous avons trouvé sur Censys a été le point de départ de notre analyse. Les données Censys enregistrent qu'un total de six adresses IP ont renvoyé ce certificat : 151.236.23[.]93, 69.28.67[.]162, 176.123.26[.]67, 52.8.109[.]170, 5.135.115[ .]40, 185.56.89[.]66. Les quatre dernières de ces adresses IP ont ensuite renvoyé un autre certificat, dont nous avons pris les empreintes digitales (Fingerprint CF1) sur la base de caractéristiques distinctives. Nous avons recherché les données de Censys pour cette empreinte digitale. SELECT analysé.fingerprint_sha256 FROM`censys-io.certificates_public.certificates` OÙ parsed.issuer_dn EST NULL ET analysé.subject_dn IS NULL ET analysé.validité.longueur = 8639913600 ET analysé.extensions.basic_constraints.is_ca Tableau 2 : Empreinte digitale CF1 Nous avons trouvé 42 certificats sur Censys correspondant à CF1. Nous avons observé que six adresses IP correspondant aux certificats CF1 ont ensuite renvoyé des certificats correspondant à une deuxième empreinte digitale que nous avons conçue, CF2. L'empreinte CF2 est basée sur des certificats qui correspondent à ceux générés par un générateur de "Fake Name". Nous avons d'abord exécuté une requête SQL sur les données Censys pour l'empreinte digitale, puis filtré par une liste de faux noms. SELECT analysé.fingerprint_sha256, analysé.subject_dn FROM`censys-io.certificates_public.certificates` OÙ (parsed.subject_dn = parsed.issuer_dn AND REGEXP_CONTAINS (parsed.subject_dn, r"^O=[A-Z][a-z]+,, ? CN=[a-z]+\.(com|net|org)+$") ET analysé.extensions.basic_constraints.is_ca Tableau 3 : Requête SQL CF2 d'empreintes digitales. La requête SQL a donné 572 résultats. Nous avons filtré les résultats, exigeant que l'organisation du certificat TLS dans le champ parsed.subject_dn contienne une entrée de la liste des 475 noms de famille du module Perl Data-Faker.
Nous soupçonnons que Candiru utilise soit ce module Perl, soit un autre module qui utilise la même liste de mots, pour générer de faux noms pour les certificats TLS. Ni le module Perl Data-Faker, ni d'autres modules similaires (par exemple, Ruby Faker Gem ou le module PHP Faker) ne semblent avoir de fonctionnalité intégrée pour générer de faux certificats TLS. Ainsi, nous soupçonnons que le code de génération de certificat TLS est un code personnalisé écrit par Candiru. Après filtrage, nous avons trouvé 542 certificats correspondants. Nous avons ensuite développé une empreinte HTTP, appelée BRIDGE, avec laquelle nous avons scanné Internet et construit une troisième empreinte TLS, CF3. Nous gardons les empreintes BRIDGE et CF3 confidentielles pour l'instant afin de maintenir la visibilité sur l'infrastructure de Candiru. Chevauchement avec CHAINSHOT L'une des adresses IP correspondant à notre empreinte CF1, 185.25.50[.]194, a été pointée par dl.nmcyclingexperience[.]com, qui est mentionnée comme URL finale d'une charge utile de logiciel espion fournie par le kit d'exploitation CHAINSHOT dans un 2018 rapport. On pense que CHAINSHOT est lié à Candiru, bien qu'aucun rapport public n'ait décrit la base de cette attribution, jusqu'à présent. Kaspersky a observé le groupe de piratage des Émirats arabes unis Stealth Falcon utilisant CHAINSHOT, ainsi qu'un client basé en Ouzbékistan qu'ils appellent SandCat. Alors que de nombreuses analyses se sont concentrées sur diverses techniques d'exploitation CHAINSHOT, nous n'avons vu aucun travail public examinant la charge utile Windows finale de Candiru. Chevauchement avec Google TAG Research Le 14 juillet 2021, le Threat Analysis Group (TAG) de Google a publié un rapport qui mentionne deux exploits Chrome zero-day que TAG a observés utilisés contre des cibles (CVE-2021-21166 et CVE-2021-30551). Le rapport mentionne neuf sites Web qui, selon Google, ont été utilisés pour diffuser les exploits. Huit de ces sites Web pointaient vers des adresses IP qui correspondaient à notre empreinte CF3 Candiru. Nous pensons donc que les attaques que Google a observées impliquant ces exploits Chrome étaient liées à Candiru. Google a également lié un autre exploit Microsoft Office qu'ils ont observé (CVE-2021-33742) au même opérateur. Thèmes de ciblage L'examen de l'infrastructure de ciblage de Candiru nous permet de faire des suppositions sur l'emplacement des cibles potentielles, ainsi que sur les sujets et les thèmes que les opérateurs de Candiru pensaient que les cibles trouveraient pertinents et attrayants. Certains des thèmes suggèrent fortement que le ciblage concernait probablement la société civile et l'activité politique. Cet indicateur troublant correspond à l'observation de Microsoft du ciblage étendu des membres de la société civile, des universitaires et des médias avec le logiciel espion de Candiru. Nous avons observé des preuves de ciblage d'infrastructures se faisant passer pour des médias, des organisations de plaidoyer, des organisations internationales et autres (voir : Tableau 4). Nous avons trouvé de nombreux aspects de ce ciblage préoccupants, comme le domaine blacklivesmatters[.]info, qui peut être utilisé pour cibler des personnes intéressées ou affiliées à ce mouvement. De même, les infrastructures se faisant passer pour Amnesty International et Refugee International sont troublantes, tout comme les domaines similaires pour les Nations Unies, l'Organisation mondiale de la santé et d'autres organisations internationales. Nous avons également constaté que le thème de ciblage des études de genre (par exemple, womanstudies[.]co & genderconference[.]org) était particulièrement intéressant et justifiait une enquête plus approfondie. Domaines d'exemple de thème se faisant passer pour Médias internationaux cnn24-7[.]CNN en ligne dw-arabe[.]com Deutsche Welle euro-news[.]en ligne Euronews rasef22[.]com Raseef22 france-24[.]actualité France 24 Organisations de défense amnestyreports[.]com Amnesty International blacklivesmatters[.]info Mouvement Black Lives Matter réfugiéinternational[.]org Réfugiés International Études de genre womanstudies[.]co Thème académique genderconference[.]org Conférence académique Entreprises technologiques cortanaupdates[.]com Microsoft googleplay[.]store Google mises à jour apple[.]Apple en ligne amazon-cz[.]eu Amazon drpbx-update[.]net Dropbox lenovo-setup[.]tk Lenovo konferenciya-zoom[.]com Zoom zcombinateur[.]co Y Combinateur Réseaux sociaux linkedin-jobs[.]com LinkedIn faceb00k-live[.]com Facebook minstagram[.]net Instagram twitt-live[.]com Twitter youtubee[.]vie YouTube Sites Internet populaires wikipediaathome[.]net Wikipedia Organisations internationales osesgy-unmissions[.]org Bureau de l'Envoyé spécial du Secrétaire général pour le Yémen un-asia[.]co Nations Unies whoint[.]co Organisation mondiale de la santé Entreprises publiques vesteldefnce[.]io Entreprise de défense turque vfsglobal[.]fr Prestataire de services de visas Tableau 4 : Quelques thèmes de ciblage observés dans les domaines Candiru. Une gamme de domaines de ciblage semble être raisonnablement spécifique à chaque pays (voir : Tableau 5). Nous pensons que ces thèmes de domaine indiquent des pays cibles probables et pas nécessairement les pays des opérateurs eux-mêmes. Pays Exemple Domaine Quelle est cette usurpation d'identité probable ? Indonésie indoprogress[.]co Publication indonésienne de gauche Russie pochtarossiy[.]info Service postal russe Tchéquie kupony-rohlik[.]cz Epicerie tchèque Arménie armenpress[.]net Agence de presse d'État d'Arménie Iran tehrantimes[.]org quotidien de langue anglaise en Iran Turquie yeni-safak[.]com journal turc Chypre cyprusnet[.]tk Portail fournissant des informations sur les entreprises chypriotes. Autriche oiip[.]org Institut autrichien des affaires internationales Palestine lwaeh-iteham-alasra[.]com Site Web qui publie les actes d'accusation des tribunaux israéliens contre des prisonniers palestiniens Arabie saoudite mbsmetoo[.]com Site Web pour « une campagne internationale pour soutenir le cas de Jamal Khashoggi » et d'autres affaires contre le prince héritier saoudien Mohammed bin Salman Slovénie total-slovenia-news[.]net Site d'information slovène en anglais. Tableau 5 : Quelques thèmes pays observés dans les domaines Candiru.
4. Un cluster saoudien ? Un document a été téléchargé depuis l'Iran vers VirusTotal qui a utilisé une macro AutoOpen pour lancer un navigateur Web et a navigué dans le navigateur vers l'URL https://cuturl[.]space/lty7uw, que VirusTotal a enregistré comme redirigeant vers une URL, https:/ /useproof[.]cc/1tUAE7A2Jn8WMmq/api, qui mentionne un domaine que nous avons lié à Candiru, useproof[.]cc. Le domaine useproof[.]cc pointait vers 109.70.236.107, ce qui correspondait à notre empreinte digitale CF3. Le document était vierge, à l'exception d'un graphique contenant le texte "Ministre des affaires étrangères de la République islamique d'Iran". Figure 7 : Un document qui charge une URL Candiru a été téléchargé sur VirusTotal depuis l'Iran et comprend une image d'en-tête faisant référence au ministre des Affaires étrangères. Nous avons identifié le comportement de cuturl[.]space et l'avons retracé jusqu'à cinq autres raccourcisseurs d'URL : llink[.]link, instagrarn[.]co, cuturl[.]app, url-tiny[.]co et bitly[.] tél. Fait intéressant, plusieurs de ces domaines ont été signalés par un chercheur de ThreatConnect dans deux tweets, sur la base de caractéristiques suspectes de leur enregistrement. Nous soupçonnons que le format AutoOpen et les raccourcisseurs d'URL peuvent être uniques à un client Candiru particulier. Un utilisateur saoudien de Twitter nous a contactés et nous a signalé que des utilisateurs saoudiens actifs sur Twitter recevaient des messages contenant des URL courtes suspectes, y compris des liens vers le nom de domaine bitly[.]tel. Compte tenu de cela, nous soupçonnons que les raccourcisseurs d'URL peuvent être liés à l'Arabie saoudite.
5. Détails supplémentaires sur l'entreprise pour Candiru Ya'acov Weitzman (ויצמן יעקב) et Eran Shorer (שורר ערן) ont fondé Candiru en 2014. Isaac Zack (זק יעקב), qui aurait également été l'un des premiers investisseurs du groupe NSO, est devenu le principal actionnaire de Candiru moins de deux mois après sa fondation et siège à son conseil d'administration. En janvier 2019, Tomer Israel (ישראלי תומר) est apparu pour la première fois dans les registres de l'entreprise en tant que «directeur des finances» de Candiru et Eitan Achlow (אחלאו איתן) a été nommé PDG. Un certain nombre d'investisseurs indépendants semblent avoir financé les opérations de Candiru au fil des ans. Depuis l'avis d'attribution d'actions de Candiru déposé en février 2021 auprès de l'Autorité israélienne des sociétés, Zack, Shorer et Weitzman sont toujours les principaux actionnaires. Trois organisations sont les prochains actionnaires les plus importants : Universal Motors Israel LTD (immatriculation 511809071), ESOP management and trust services (איסופ שירותי ניהול) immatriculation 513699538 et Optas Industry Ltd. ESOP (immatriculation 513699538) est une société israélienne qui fournit des services administratifs du programme d'actionnariat des employés aux entreprises clientes. Nous ne savons pas si ESOP détient ses actions en fiducie pour certains employés de Candiru. Optas Industry Ltd. est une société de capital-investissement basée à Malte (numéro d'enregistrement C91267, actionnaire Leonard Joseph O'Brien, les administrateurs sont O'Brien et Michael Ellul, constituée le 28 mars 2019). Il a été rapporté que pendant une décennie, O'Brien a été responsable des investissements et membre du conseil d'administration du Gulf Investment Fund, et que l'autorité souveraine d'investissement du Qatar détient une participation de 12 % dans le Gulf Investment Fund (par l'intermédiaire d'une filiale, Qatar Holding). Universal Motors Israel (numéro d'enregistrement de la société 511809071) en tant qu'investisseur (y compris un siège au conseil d'administration de Candiru) est curieux étant donné que son activité principale est la distribution d'automobiles neuves et d'occasion. Outre Amit Ron (רון עמית), le représentant d'Universal Motors Israël, le conseil d'administration de Candiru en décembre 2020 comprend Isaac Zack, Ya'acov Weitzman et Eran Shorer. En plus de l'implication de Zack, Candiru partage d'autres points communs avec le groupe NSO, notamment la représentation par le même cabinet d'avocats et l'utilisation de la même société de services d'équité et d'administration de fiducie.
6. Conclusion
L'apparente présence généralisée de Candiru et l'utilisation de sa technologie de surveillance contre la société civile mondiale sont un puissant rappel que l'industrie mercenaire des logiciels espions contient de nombreux acteurs et est sujette à des abus généralisés. Cette affaire démontre, une fois de plus, qu'en l'absence de garanties internationales ou de contrôles gouvernementaux rigoureux à l'exportation, les vendeurs de logiciels espions vendront à des clients gouvernementaux qui abuseront régulièrement de leurs services. De nombreux gouvernements désireux d'acquérir des technologies de surveillance sophistiquées manquent de sécurité gardes sur leurs agences de sécurité nationales et étrangères. Beaucoup se caractérisent par de piètres antécédents en matière de droits humains. Il n'est pas surprenant qu'en l'absence de contraintes juridiques fortes, ces types de clients gouvernementaux abusent des services de logiciels espions pour suivre les journalistes, l'opposition politique, les défenseurs des droits de l'homme et d'autres membres de la société civile mondiale. La société civile dans le collimateur… encore une fois Le ciblage apparent d'un individu en raison de ses convictions politiques et de ses activités qui ne sont ni de nature terroriste ni criminelle est un exemple troublant de cette situation dangereuse. L'analyse indépendante de Microsoft est également déconcertante, découvrant au moins 100 victimes des opérations de logiciels malveillants de Candiru, parmi lesquelles "des politiciens, des militants des droits de l'homme, des journalistes, des universitaires, des employés d'ambassade et des dissidents politiques". Tout aussi troublant à cet égard est l'enregistrement par Candiru de domaines se faisant passer pour des ONG de défense des droits humains (Amnesty International), des mouvements sociaux légitimes (Black Lives Matter), des organisations internationales de santé (OMS), des thèmes relatifs aux droits des femmes et des organes de presse. Bien que nous manquions de contexte autour des cas d'utilisation spécifiques liés à ces domaines, leur simple présence dans le cadre de l'infrastructure de Candiru - à la lumière des préjudices généralisés contre la société civile associés à l'industrie mondiale des logiciels espions - est très préoccupante et mérite une enquête plus approfondie. Rectifier les dommages autour du marché des logiciels espions commerciaux En fin de compte, la lutte contre les pratiques malveillantes de l'industrie des logiciels espions nécessitera une approche robuste et complète qui va au-delà des efforts concentrés sur une seule entreprise ou un seul pays de premier plan. Malheureusement, le ministère israélien de la Défense - dont les entreprises basées en Israël comme Candiru doivent recevoir une licence d'exportation avant de vendre à l'étranger - s'est jusqu'à présent montré peu disposé à soumettre les entreprises de surveillance au type d'examen rigoureux qui serait nécessaire pour prévenir des abus de ce type. nous et d'autres organisations avons identifié. Le processus d'octroi de licences d'exportation dans ce pays est presque entièrement opaque, manquant même des mesures les plus élémentaires de responsabilité publique ou de transparence. Nous espérons que des rapports comme celui-ci aideront à inciter les décideurs politiques et les législateurs en Israël et ailleurs à faire plus pour prévenir les dommages croissants associés à un marché des logiciels espions non réglementé. Il convient de noter les risques croissants auxquels les fournisseurs de logiciels espions et leurs groupes propriétaires eux-mêmes sont confrontés en raison de leurs propres ventes imprudentes. Les vendeurs de logiciels espions mercenaires comme Candiru commercialisent leurs services auprès de leurs clients gouvernementaux comme des outils «introuvables» qui échappent à la détection et empêchent ainsi les opérations de leurs clients d'être exposées. Cependant, nos recherches montrent une fois de plus à quel point ces affirmations sont spécieuses. Bien que parfois difficile, il est possible pour les chercheurs de détecter et de découvrir l'espionnage ciblé en utilisant une variété de surveillance des réseaux et d'autres techniques d'enquête, comme nous l'avons démontré dans ce rapport (et d'autres similaires). Même les sociétés de surveillance les mieux dotées en ressources commettent des erreurs opérationnelles et laissent des traces numériques, ce qui rend leurs affirmations marketing selon lesquelles elles sont furtives et indétectables très discutables. Dans la mesure où leurs produits sont impliqués dans des dommages importants ou des cas de ciblage illégal, l'exposition négative qui découle de la recherche d'intérêt public peut créer des responsabilités importantes pour les propriétaires, les actionnaires et les autres personnes associées à ces sociétés de logiciels espions. Enfin, cette affaire montre la valeur d'une approche communautaire des enquêtes sur l'espionnage ciblé. Afin de remédier aux dommages causés par cette industrie aux membres innocents de la société civile mondiale, la coopération entre les chercheurs universitaires, les défenseurs des réseaux, les équipes de renseignement sur les menaces et les plateformes technologiques est essentielle. Notre recherche s'est appuyée sur de multiples sources de données organisées par d'autres groupes et entités avec lesquels nous avons coopéré, et a finalement aidé à identifier les vulnérabilités logicielles d'un produit largement utilisé qui ont été signalées puis corrigées par son fournisseur. Remerciements Merci à Microsoft et au Microsoft Threat Intelligence Center (MSTIC) pour leur collaboration et pour avoir travaillé à résoudre rapidement les problèmes de sécurité identifiés grâce à leurs recherches. Nous sommes particulièrement reconnaissants aux cibles qui font le choix de travailler avec nous pour aider à identifier et exposer les entités impliquées dans leur ciblage. Sans leur participation, ce rapport n'aurait pas été possible. Merci à Team Cymru de nous avoir donné accès à leur produit Pure Signal Recon. La capacité de leur outil à afficher la télémétrie du trafic Internet des trois derniers mois a fourni la percée dont nous avions besoin pour identifier la première victime de l'infrastructure de Candiru. Le financement de ce projet a été assuré par une généreuse subvention de la Fondation John D. et Catherine T. MacArthur, de la Fondation Ford, de la Fondation Oak, du Sigrid Rausing Trust et de la Fondation Open Societies. Merci à Miles Kenyon, Mari Zhou et Adam Senft pour les communications,graphiques et soutien organisationnel.
NOTA:
Le groupe NSO a été lancé en Israël en 2010 par des amis Niv Carmi, Omri Lavie et Shalev Hulio. Carmi a quitté l'entreprise peu de temps après sa création et, selon toute apparence, a gardé ses distances depuis. Lavie et Hulio, quant à eux, restent dans l'entreprise. Ils ont atteint un niveau de notoriété rare sur la scène technologique très soudée d'Herzliya, en Israël, où les entreprises restent en "mode furtif" pendant des années, et même les entrepreneurs locaux bien connus peuvent être étrangement difficiles à trouver via Google. Sur les photographies, le couple ressemble à des frères, avec des têtes rasées assorties, du chaume et des constructions trapues qui trahissent leur carrière en informatique, les deux étant maintenant retirés de leur temps passé en service obligatoire pour les Forces de défense israéliennes.
REF.: https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/
