Powered By Blogger

Rechercher sur ce blogue

mercredi 17 août 2022

Le groupe NSO

  Le groupe NSO

 

 Le groupe NSO a été lancé en Israël en 2010 par des amis Niv Carmi, Omri Lavie et Shalev Hulio. https://www.linkedin.com/in/shalevholy/

https://twitter.com/Shalevoosh

 https://en.wikipedia.org/wiki/Candiru_(spyware_company)
















Carmi a quitté l'entreprise peu de temps après sa création et, selon toute apparence, a gardé ses distances depuis. Lavie et Hulio, quant à eux, restent dans l'entreprise. Ils ont atteint un niveau de notoriété rare sur la scène technologique très soudée d'Herzliya, en Israël, où les entreprises restent en "mode furtif" pendant des années, et même les entrepreneurs locaux bien connus peuvent être étrangement difficiles à trouver via Google. Sur les photographies, le couple ressemble à des frères, avec des têtes rasées assorties, du chaume et des constructions trapues qui trahissent leur carrière en informatique, les deux étant maintenant retirés de leur temps passé en service obligatoire pour les Forces de défense israéliennes.

 Fondé en 2010 ; Fondateurs Omri Lavie Shalev Hulio Niv Karmi (A quitté l'entreprise un mois après sa création) Siège social Herzlia , Israël Personnes clés Shalev Hulio (PDG)[1] Produits Pégase Chiffre d'affaires 243 millions de dollars (2020) Résultat d'exploitation 99 millions de dollars américains (2020) Propriétaire Capitale Novalpina Omri Lavie Shalev Hulio Nombre d'employés 750 (2021) Site Web : nsogroup.com

  La société ne révèle pas le coût de ces exploits. Le journal israélien Haaretz a rapporté en novembre que l'Arabie saoudite avait payé 55 millions de dollars pour accéder à Pegasus en 2017.Selon l'offre de dette, NSO Group comptait 60 clients actifs dans le monde. Parmi ceux-ci, 80 % appartenaient au gouvernement; 20% étaient des services de police, des autorités pénitentiaires ou des militaires. Plus de 60 % de ses clients se trouvaient au Moyen-Orient et en Asie. Moins de 30 % se trouvaient en Europe. Seulement 3 % se trouvaient dans les Caraïbes et en Amérique latine, et 1 % en Amérique du Nord. La mafia de l'NSO ! https://www.haaretz.com/israel-news/tech-news/2020-09-07/ty-article/.premium/mobile-spytech-millions-in-gulf-deals-top-secret-israeli-cyberattack-firm-reve/0000017f-e1eb-d568-ad7f-f3eb36390000

1.9127537

 https://youtu.be/Tl3mpywMYFA

Au fur et à mesure que NSO Group s'est développé, un enchevêtrement de startups similaires s'est développé autour de lui, dans de nombreux cas fondés, financés ou dotés par d'anciens employés de NSO Group. Selon l'estimation d'une personne, il y a plus de 20 startups fondées par des anciens du groupe NSO. L'une des entreprises les plus visibles est Interionet, qui développe des logiciels malveillants pour les routeurs Internet. Dans son profil sur la base de données du centre de recherche IVC, la société se décrit comme une plate-forme de cyberespionnage "qui permet aux agences de renseignement du monde entier d'obtenir de grandes quantités de renseignements sensibles et de haute qualité". Il a été fondé par Yair Ceache, l'ancien PDG du groupe NSO, et Sharon Oknin, l'ancienne vice-présidente de la livraison du groupe NSO. Joshua Lesher, ancien membre du conseil d'administration de NSO Group, siège également au conseil d'administration d'Interionet. Il existe également une startup cyber offensive appelée Wayout, fondée par Gil Dolev, le frère du président du groupe NSO, Shiri Dolev. La startup a levé des fonds auprès des fondateurs de NSO Group va construire des outils d'interception pour les appareils "internet des objets", selon les personnes présentes dans l'espace. Dolev n'a pas répondu à une demande de commentaire.

 L'une des entreprises les plus ouvertes au public est PICSIX, qui fait la promotion de sa technologie, y compris ce dispositif d'interception d'appels, sur son site Web. PICSIX Une autre société secrète est Grindavik Solutions, également connue sous le nom de Candiru, une startup fondée par l'ancien cadre de Gett Eitan Achlow et le cadre du groupe NSO Isaac Zack, et soutenue financièrement par Zack. En janvier, la publication israélienne TheMarker a rapporté que Candiru vend des outils pour pirater des ordinateurs et des serveurs, et a cité des sources qui ont déclaré que l'entreprise pourrait également pirater des appareils mobiles. 

 Ensuite, il y a Intellexa, un consortium international d'entreprises vendant des technologies d'interception et d'extraction, y compris des outils d'interception 2G, 3G et 4G de Nexa basé à Paris, des outils d'interception WiFi longue portée de WiSpear basé à Chypre et un dispositif d'extraction de données de Cytrox, qui a été acquis par WiSpear en 2018. Aujourd'hui, le consortium est composé de sociétés distinctes, mais le plan est de fusionner éventuellement en une seule société, selon une personne proche du dossier. Le lien le plus profond d'Intellexa avec le groupe NSO passe par Tal Dilian, le fondateur israélien de WiSpear. La société de Dilian, Circles, qui vendait des technologies de localisation et d'interception, a été acquise pour 130 millions de dollars par la société de capital-investissement Francisco Partners avant d'être fusionnée avec NSO Group en 2014. Au printemps, Dilian a montré au journaliste de Forbes, Thomas Brewster, la nouvelle offre de produits frappante d'Intellexa : une fourgonnette de surveillance trompée qui se vend entre 3,5 et 9 millions de dollars et peut soi-disant suivre les visages, écouter les appels, localiser les téléphones et accéder à distance aux messages WhatsApp.

 L'espace n'est cependant pas limité aux anciens de l'NSO. De nombreuses entreprises israéliennes développent des logiciels malveillants pour les routeurs WiFi ou des attaques sur les réseaux WiFi, ce qui permet à ses utilisateurs d'intercepter les informations envoyées sur Internet. Ceux-ci incluent Merlinx, autrefois connu sous le nom d'Equus Technologies; Wintégo ; les cyberlaboratoires de Jenovice ; et PICSIX. Il y a aussi Quadream, qui développe des attaques sur le système d'exploitation mobile d'Apple. Une société appelée Rayzone Group et une autre appelée Magen 100 vendent toutes deux des outils pour l'interception des données des smartphones. Ensuite, il y a Toka et Incert Intelligence, qui créent tous deux des outils pour accéder à distance aux appareils de l'Internet des objets. Il n'est pas clair si l'une de ces entreprises est liée au groupe NSO ou est financée par ses anciens élèves. Tableau des groupes d'NSO


 

  La Silicon Valley flirte avec le diable

 L'une des raisons pour lesquelles tant de ces entreprises vantent les investissements providentiels de Lavie, Hulio et d'autres anciens du groupe NSO est que les investisseurs plus traditionnels restent à l'écart. Les capital-risqueurs de la Silicon Valley et de Tel Aviv ont déclaré qu'ils recevaient occasionnellement des arguments de startups dans l'espace – un investisseur a déclaré avoir entendu parler de 10 à 20 entreprises différentes à Tel Aviv, en Israël, avec une technologie offensive. Mais pour beaucoup, cela ne vaut tout simplement pas la peine de s'impliquer. Certains investisseurs en capital-risque ont remis en question la logique commerciale de soutenir une entreprise comme NSO Group, qui n'a pas beaucoup d'acquéreurs viables et dont les techniques controversées peuvent être mal vues par les marchés publics. Alors que bon nombre des plus grandes entreprises de Sand Hill Road n'ont pas de règles explicites contre le placement de leur argent dans les cyber-armes, les investisseurs l'ont comparé à l'investissement dans le cannabis ou les armes à feu – des domaines à risque qu'il vaut mieux garder à distance.

 Udi Doenyas, cofondateur et ancien directeur de la technologie du groupe NSO qui a quitté l'entreprise en 2014, a déclaré qu'un contrôle accru de la légalité de la cybertechnologie offensive a augmenté le coût des affaires et effrayé les sources de financement. "Nous avons vraiment eu de la chance", a-t-il déclaré à propos des premiers succès du groupe NSO sous le radar. "Nous étions là au bon moment." Yoav Leitersdorf, le fondateur de la société de capital-risque israélo-américaine YL Ventures, a déclaré que son entreprise n'avait jamais investi et n'investirait jamais dans une cyberentreprise offensive. "La principale raison en est éthique, car souvent les clients de ces fournisseurs finissent par utiliser la technologie d'une manière qui viole les droits de l'homme, avec ou sans la connaissance des fournisseurs", a déclaré Leitersdorf dans un e-mail. "La raison secondaire est que ces investissements sont beaucoup plus difficiles à sortir que les investissements de cybersécurité plus traditionnels, car il y a beaucoup moins d'acquéreurs potentiels pour les fournisseurs de cybersécurité offensifs : vous recherchez essentiellement des sociétés de capital-investissement et des sous-traitants de la défense, et c'est à peu près tout."

 Il y a cependant une exception récente : le concurrent du groupe NSO, Toka, a levé un tour de table de 12,5 millions de dollars auprès d'Andreessen Horowitz, de Dell Technologies Capital, de LaunchCapital, d'Entrée Capital et du l'investisseur Ray Rothrock l'an dernier.

 Toka construit des cyber-outils à la demande avec un accent particulier sur les logiciels espions pour l'Internet des objets. Son objectif est de donner à ses clients un accès à distance à des appareils comme Amazon Echoes, des appareils intelligents et des thermostats. Son équipe fondatrice est un who's who du monde israélien de la cybersécurité. Le PDG de Toka est Yaron Rosen, l'ancien cyberchef des Forces de défense israéliennes. Son chef de l'exploitation est Kfir Waldman, un entrepreneur en série et ancien cadre de Cisco. Il y a aussi Alon Kanton, un ancien cadre de Check Point Security. Et son dernier cofondateur et directeur est l'ancien Premier ministre israélien Ehud Barak. Trois investisseurs et deux technologues connaissant Toka ont déclaré à Business Insider que la société avait des capacités offensives, bien que la société conteste cette caractérisation.

 "Toka ne construit pas de cyber, d'outils d'attaque ou d'armes offensifs", a déclaré Kenneth Baer, ​​porte-parole de l'entreprise, à Business Insider. "Toka ne construira que des outils de renseignement, pas des armes offensives. Un domaine sur lequel nous nous concentrons, qui nous semble mal desservi, est le secteur de l'IdO. Il présente d'énormes opportunités - et des défis - pour les forces de l'ordre et les agences de sécurité." Toka, comme NSO Group, est réglementé par le ministère israélien de la Défense, qui approuve en fin de compte toutes les exportations de technologies de cybersécurité qui pourraient être classées comme des outils de cyberguerre. Tout comme le groupe NSO, Toka formera un conseil consultatif pour "superviser toutes les activités et opérations de vente", a déclaré Baer. Aucune responsabilité significative Dans une grande partie du monde, la vente de logiciels offensifs est largement réglementée comme des armes. L'arrangement de Wassenaar de 42 pays, dont les signataires comprennent toute l'Amérique du Nord et la majeure partie de l'Europe, a des lignes directrices pour les exportations mondiales d'armes, qui incluent les cyberarmes depuis 2013.

 Bien qu'Israël ne fasse pas partie de l'arrangement, le pays affirme qu'il suit les directives et que toutes les exportations de logiciels doivent être approuvées par le ministère de la Défense. Les initiés de l'industrie ont qualifié les lois d'opaques et ont déclaré que les entreprises n'avaient souvent pas beaucoup d'informations sur les critères d'approbation. Il y a peu d'informations publiques sur les exportations qui réussissent. (Reuters a rapporté le mois dernier que le ministère israélien de la Défense avait assoupli certaines de ses règles pour accélérer la vente de cybertechnologies offensives.) Les détracteurs de l'industrie soutiennent que les contrôles nationaux ne suffisent pas et cherchent à établir des précédents juridiques mondiaux pour tenir les entreprises technologiques responsables si et quand leurs produits sont mal utilisés par des gouvernements étrangers. "Il n'y a aucune preuve à l'heure actuelle qu'il existe une responsabilité significative concernant les abus qui se sont déjà produits", a déclaré John Scott-Railton, chercheur principal au Citizen Lab de l'Université de Toronto, qui suit l'utilisation de Pegasus. "Personne ne peut raisonnablement prétendre que l'industrie se surveille ou est tenue responsable de ce qu'elle fait."

 Doenyas, l'ancien directeur de la technologie du groupe NSO, pense qu'il est "beau" que les anciens élèves du NSO créent leur propre entreprise - tant, a-t-il dit, qu'ils agissent moralement. Mais il hésitait à parler d'entreprises spécifiques. Ils préfèrent le secret, dit-il, car cela rend leurs produits plus efficaces. "Quand vous voulez maintenir la paix, vous feriez mieux de ne pas faire paniquer toute la population", a déclaré Doenyas. "Vous voulez garder les informations et les capacités pour vous-même, et ne les utiliser que lorsque vous en avez besoin."

ndlr:

Comme feraient si bien les grandes agences de renseignements! 

 

REF.:  https://newsfilter.io/articles/the-founders-of-a-billion-dollar-israeli-spyware-startup-accused-of-helping-saudi-arabia-attack-dissidents-are-funding-a-web-of-new-companies-that-hack-into-smart-speakers-routers-and-other-devices-ed4cf1513635055c33ad85008086deeb

mardi 16 août 2022

Candiru: Un autre fournisseur de logiciels espions mercenaires entre en scène:

 

 Candiru: Un autre fournisseur de logiciels espions mercenaires entre en scène:

 

 Par Bill Marczak, John Scott-Railton, Kristin Berdan, Bahr Abdul Razzak et Ron Deibert 

Le 15 juillet 2021 

Sommaire 

 Candiru a été fondée en 2014 par Yaakov Weizmann et Eran Shorer, son président vétéran Itzik Zack étant également son principal actionnaire. La société fait des efforts considérables pour garder ses opérations sous le radar et, au fil des ans, a changé de nom à plusieurs reprises. Son nom le plus actuel est Saito Tech Inc., et s'appelait auparavant également Taveta, Grindavik Solutions Ltd. et DF Associates, mais dans l'industrie, il est toujours connu sous son nom d'origine Candiru. Comme de nombreux acteurs israéliens dans le domaine de la cyber-surveillance, il recrute la plupart de ses employés dans l'unité 8200 de Tsahal.

 

Candiru/Saito tech ltd
Création2014
FondateursEran Shorer, Yaakov Weizman
Forme juridiqueSociété à capitaux privés (en)1
Siège socialTel Aviv
 Israël,
au 21 Ha'arba'a  TelAviv , Israel
DirectionEaitan Achlow
ActionnairesIsaac Zack
ActivitéSurveillance
Sociétés sœursNSO Group
Effectif150                                              
 

Also known as

CANDIRU LTD

Hebrew Name

סאייטו טק בע"מ

Phone Number
+972-54-2003251
Fax Number
+972-54-2552428
Mailing Address
21 Haarbaa, TEL AVIV-JAFFA 6473921
 
https://saito.tech/
https://www.dunsguide.co.il/en/Cf02a0e29fc26363000a0275217acaa51_high_tech_computing_services/saito_tech/
 
 
 
 

 

 Google maps:
https://www.google.com/maps/place/HaArba'a+21,+Tel+Aviv-Yafo,+Isra%C3%ABl/@32.0704496,34.7870971,17z/data=!4m13!1m7!3m6!1s0x151d4b9d0d387b67:0xbe562e877c1084ba!2sHaArba'a+21,+Tel+Aviv-Yafo,+Isra%C3%ABl!3b1!8m2!3d32.0704496!4d34.7870971!3m4!1s0x151d4b9d0d387b67:0xbe562e877c1084ba!8m2!3d32.0704496!4d34.7870971

 Candiru est une société secrète basée en Israël qui vend des logiciels espions exclusivement aux gouvernements. Apparemment, leurs logiciels espions peuvent infecter et surveiller les iPhones, les Android, les Mac, les PC et les comptes cloud. Grâce à l'analyse Internet, nous avons identifié plus de 750 sites Web liés à l'infrastructure de logiciels espions de Candiru. Nous avons trouvé de nombreux domaines se faisant passer pour des organisations de défense telles qu'Amnesty International, le mouvement Black Lives Matter, ainsi que des sociétés de médias et d'autres entités thématiques de la société civile. Nous avons identifié une victime politiquement active en Europe occidentale et récupéré une copie du logiciel espion Windows de Candiru. En collaboration avec Microsoft Threat Intelligence Center (MSTIC), nous avons analysé le logiciel espion, ce qui a abouti à la découverte de CVE-2021-31979 et CVE-2021-33771 par Microsoft, deux vulnérabilités d'élévation de privilèges exploitées par Candiru. Microsoft a corrigé les deux vulnérabilités le 13 juillet 2021. Dans le cadre de son enquête, Microsoft a observé au moins 100 victimes en Palestine, en Israël, en Iran, au Liban, au Yémen, en Espagne, au Royaume-Uni, en Turquie, en Arménie et à Singapour. Les victimes comprennent des défenseurs des droits humains, des dissidents, des journalistes, des militants et des politiciens. Nous fournissons un bref aperçu technique du mécanisme de persistance du logiciel espion Candiru et quelques détails sur la fonctionnalité du logiciel espion. Candiru a fait des efforts pour masquer sa structure de propriété, son personnel et ses partenaires d'investissement. Néanmoins, nous avons pu faire la lumière sur ces domaines dans ce rapport.

 1. Qui est Candiru ?

 La société connue sous le nom de « Candiru », basée à Tel-Aviv, en Israël, est une société de logiciels espions mercenaires qui commercialise des logiciels espions « introuvables » aux clients du gouvernement. Leur offre de produits comprend des solutions d'espionnage sur les ordinateurs, les appareils mobiles et les comptes cloud. Figure 1 : Une fresque distinctive de cinq hommes à tête vide portant des costumes et des chapeaux melon est affichée sur cette photo « Happy Hour » d'un ancien bureau de Candiru publiée sur Facebook par une entreprise de restauration. Une structure d'entreprise délibérément opaque Candiru s'efforce de garder ses opérations, son infrastructure et l'identité de son personnel opaques à l'examen public. Candiru Ltd. a été fondée en 2014 et a subi plusieurs changements de nom (voir : Tableau 1). Comme de nombreuses sociétés de logiciels espions mercenaires, la société recruterait dans les rangs de l'unité 8200, l'unité de renseignement électromagnétique des Forces de défense israéliennes. Bien que le nom actuel de l'entreprise soit Saito Tech Ltd, nous les appellerons "Candiru" car ils sont plus connus sous ce nom. Le logo de l'entreprise semble être une silhouette du poisson Candiru réputé horrible sous la forme de la lettre "C". Raison sociale Date d'enregistrement Signification possible Saito Tech Ltd. (סאייטו טק בעיימ) 2020 "Saito" est une ville au Japon Taveta Ltd. (טאבטה בעיימ) 2019 "Taveta" est une ville du Kenya Grindavik Solutions Ltd. (גרינדוויק פתרונות בעיימ) 2018 "Grindavik" est une ville d'Islande DF Associates Ltd. (ד. אפ אסוסיאייטס בעיימ) 2017 ? Candiru Ltd. (קנדירו בעיימ) 2014 Un poisson d'eau douce parasite Tableau 1 : Enregistrements des sociétés de Candiru au fil du temps Candiru a au moins une filiale : Sokoto Ltd. La section 5 fournit une documentation supplémentaire sur la structure d'entreprise et la propriété de Candiru. Ventes et investissements déclarés Selon un procès intenté par un ancien employé, Candiru a réalisé des ventes de « près de 30 millions de dollars », dans les deux ans suivant sa création. Les clients déclarés de l'entreprise sont situés en "Europe, dans l'ex-Union soviétique, dans le golfe Persique, en Asie et en Amérique latine". De plus, des rapports sur des accords possibles avec plusieurs pays ont été publiés : Ouzbékistan : lors d'une présentation en 2019 lors de la conférence sur la sécurité du Virus Bulletin, un chercheur de Kaspersky Lab a déclaré que Candiru avait probablement vendu son logiciel espion au service de sécurité nationale d'Ouzbékistan. Arabie saoudite et Émirats arabes unis : la même présentation mentionnait également l'Arabie saoudite et les Émirats arabes unis comme clients probables de Candiru. Singapour : Un rapport d'Intelligence Online de 2019 mentionne que Candiru était actif dans la sollicitation d'affaires auprès des services de renseignement de Singapour. Qatar : Un rapport d'Intelligence Online de 2020 note que Candiru "s'est rapproché du Qatar". Une société liée au fonds souverain du Qatar a investi dans Candiru. Aucune information sur les clients basés au Qatar n'a encore émergé, Offres de logiciels espions de Candiru Une proposition de projet Candiru divulguée publiée par TheMarker montre que les logiciels espions de Candiru peuvent être installés à l'aide d'un certain nombre de vecteurs différents, notamment des liens malveillants, des attaques de type "man-in-the-middle" et des attaques physiques. Un vecteur nommé "Sherlock" est également proposé, qui, selon eux, fonctionne sur Windows, iOS et Android. Il peut s'agir d'un vecteur sans clic basé sur un navigateur. 

Figure 2 : Vecteurs d'infection proposés par Candiru. Comme beaucoup de ses pairs, Candiru semble accorder une licence à ses logiciels espions en fonction du nombre d'infections simultanées, ce qui reflète le nombre de des cibles qui peuvent être sous surveillance active à tout instant. Comme NSO Group, Candiru semble également limiter le client à un ensemble de pays approuvés. La proposition de projet de 16 millions d'euros permet un nombre illimité de tentatives d'infection par des logiciels espions, mais la surveillance de seulement 10 appareils simultanément. Pour 1,5 million d'euros supplémentaires, le client peut acheter la possibilité de surveiller 15 appareils supplémentaires simultanément et d'infecter des appareils dans un seul pays supplémentaire. Pour 5,5 millions d'euros supplémentaires, le client peut surveiller simultanément 25 appareils supplémentaires et mener des activités d'espionnage dans cinq autres pays. Figure 3 : Proposition pour un client Candiru indiquant le nombre d'infections simultanées dans le cadre d'un contrat donné. Les petits caractères de la proposition indiquent que le produit fonctionnera dans « tous les territoires convenus », puis mentionnent une liste de pays restreints, notamment les États-Unis, la Russie, la Chine, Israël et l'Iran. Cette même liste de pays restreints a déjà été mentionnée par NSO Group. Néanmoins, Microsoft a observé des victimes de Candiru en Iran, suggérant que dans certaines situations, les produits de Candiru opèrent dans des territoires restreints. En outre, l'infrastructure de ciblage divulguée dans ce rapport comprend des domaines se faisant passer pour le service postal russe. La proposition indique que le logiciel espion peut exfiltrer des données privées à partir d'un certain nombre d'applications et de comptes, notamment Gmail, Skype, Telegram et Facebook. Le logiciel espion peut également capturer l'historique de navigation et les mots de passe, activer la webcam et le microphone de la cible et prendre des photos de l'écran. La capture de données à partir d'applications supplémentaires, telles que Signal Private Messenger, est vendue en tant que module complémentaire. Figure 4 : Les clients peuvent payer des frais supplémentaires pour capturer les données de Signal. Pour un supplément supplémentaire de 1,5 million d'euros, les clients peuvent acheter une capacité de shell distant, qui leur permet un accès complet pour exécuter n'importe quelle commande ou programme sur l'ordinateur de la cible. Ce type de capacité est particulièrement préoccupant, étant donné qu'il pourrait également être utilisé pour télécharger des fichiers, tels que la plantation de matériaux incriminants, sur un appareil infecté.

 2. Trouver les logiciels malveillants de Candiru dans la nature En utilisant les données de télémétrie de l'équipe Cymru, ainsi que l'aide de partenaires de la société civile, le Citizen Lab a pu identifier un ordinateur que nous soupçonnions de contenir une infection persistante à Candiru. Nous avons contacté le propriétaire de l'ordinateur, un individu politiquement actif en Europe occidentale, et nous nous sommes arrangés pour que le disque dur de l'ordinateur soit imagé. Nous avons finalement extrait une copie du logiciel espion de Candiru de l'image disque. Alors que l'analyse des logiciels espions extraits est en cours, cette section présente les premiers résultats concernant la persistance des logiciels espions. Persistance Le logiciel espion de Candiru a été installé de manière persistante sur l'ordinateur via le piratage COM de la clé de registre suivante : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 Normalement, la valeur de cette clé de registre pointe vers le fichier bénin Windows Management Instrumentation wmiutils.dll, mais la valeur sur l'ordinateur infecté a été modifiée pour pointer vers un fichier DLL malveillant qui a été déposé dans le dossier système Windows associé à la méthode de saisie japonaise. (IMEJP) C:\WINDOWS\system32\ime\IMEJP\IMJPUEXP.DLL. Ce dossier est bénin et inclus dans une installation par défaut de Windows 10, mais IMJPUEXP.DLL n'est pas le nom d'un composant Windows légitime. Lorsque Windows démarre, il charge automatiquement le service Windows Management Instrumentation, ce qui implique de rechercher le chemin DLL dans la clé de registre, puis d'invoquer la DLL. Chargement de la configuration du logiciel espion Le fichier DLL IMJPUEXP comporte huit blobs dans la section des ressources PE avec les identifiants 102, 103, 105, 106, 107, 108, 109, 110. La DLL les déchiffre à l'aide d'une clé AES et d'un IV codés en dur dans la DLL. Le décryptage se fait via Windows CryptoAPI, en utilisant AES-256-CBC. Il convient de noter en particulier la ressource 102, qui contient le chemin d'accès au wmiutils.dll légitime, qui est chargé après le logiciel espion, garantissant que le piratage COM ne perturbe pas les fonctionnalités normales de Windows. La ressource 103 pointe vers un fichier AgentService.dat dans un dossier créé par le logiciel espion, C:\WINDOWS\system32\config\spp\Licenses\curv\config\tracing\. La ressource 105 pointe vers un deuxième fichier dans le même répertoire, KBDMAORI.dat. IMJPUEXP.DLL déchiffre et charge le fichier AgentService.dat dont le chemin est dans la ressource 103, en utilisant la même clé AES et IV, et le décompresse via zlib. Le fichier AgentService.dat charge ensuite le fichier dans la ressource 105, KBDMAORI.dat, à l'aide d'une seconde clé AES et d'un IV codé en dur dans AgentService.dat, et effectue le déchiffrement à l'aide d'un OpenSSL lié statiquement. Le déchiffrement de KBDMAORI.DAT produit un fichier avec une série de neuf blobs chiffrés, chacun préfixé par un champ de longueur little-endian de 8 octets. Chaque blob est chiffré avec la même clé AES et IV utilisé pour déchiffrer KBDMAORI.DAT, puis est compressé en zlib. Les quatre premiers blobs chiffrés semblent être des DLL du redistribuable Microsoft Visual C++ : vcruntime140.dll, msvcp140.dll, ucrtbase.dll, concrt140.dll. Les blobs suivants font partie du logiciel espion, y compris des composants apparemment appelés Internals.dll et Help.dll. Les DLL Microsoft et les DLL de logiciels espions dans KBDMAORI.DAT sont légèrement masquées. L'annulation des modifications suivantes rend les fichiers DLL valides : Les deux premiers octets du fichier (MZ) ont été mis à zéro. Les 4 premiers octets de l'en-tête NT (\x50\x45\x00\x00) ont été mis à zéro. Les 2 premiers octets de l'en-tête facultatif (\x0b\x02) ont été mis à zéro. Les chaînes du répertoire d'importation ont été masquées par XOR, à l'aide d'une clé XOR de 48 octets codée en dur dans AgentService.dat : 6604F922F90B65F2B10CE372555C0A0C0C5258B6842A83C7DC2EE4E58B363349F496E6B6A587A88D0164B74DAB9E6B58 Le blob final dans KBDMAORI.DAT est la configuration du logiciel espion au format JSON. La configuration est quelque peu obscurcie, mais contient clairement des URL encodées en Base64 UTF-16 pour la commande et le contrôle. Figure 5 : Configuration C&C du logiciel espion masqué au format JSON. Les serveurs C&C dans la configuration sont : https://msstore[.]io https://adtracker[.]lien https://cdnmobile[.]io Les trois noms de domaine pointaient vers 185.181.8[.]155. Cette adresse IP était connectée à trois autres adresses IP qui correspondaient à notre empreinte digitale Candiru CF1 (Section 3). Fonctionnalité des logiciels espions Nous inversons toujours la plupart des fonctionnalités du logiciel espion, mais la charge utile Windows de Candiru semble inclure des fonctionnalités pour exfiltrer des fichiers, exporter tous les messages enregistrés dans la version Windows de la populaire application de messagerie cryptée Signal, et voler des cookies et des mots de passe de Chrome, Internet Explorer, Firefox , Safari et Opera. Le logiciel espion utilise également un pilote tiers signé légitime, physmem.sys : c299063e3eae8ddc15839767e83b9808fd43418dc5a1af7e4f44b97ba53fbd3d L'analyse de Microsoft a également établi que le logiciel espion pouvait envoyer des messages à partir de comptes de messagerie et de réseaux sociaux connectés directement sur l'ordinateur de la victime. Cela pourrait permettre l'envoi de liens malveillants ou d'autres messages directement depuis l'ordinateur d'un utilisateur compromis. Prouver que l'utilisateur compromis n'a pas envoyé le message peut être assez difficile. 

3. Cartographie de l'infrastructure de commande et de contrôle de Candiru Pour identifier les sites Web utilisés par les logiciels espions de Candiru, nous avons développé quatre empreintes digitales et une nouvelle technique de numérisation Internet. Nous avons recherché des données historiques de Censys et effectué nos propres analyses en 2021. Cela nous a conduit à identifier au moins 764 noms de domaine que nous évaluons avec une confiance modérée à élevée pour être utilisés par Candiru et ses clients. L'examen des noms de domaine indique un intérêt probable pour des cibles en Asie, en Europe, au Moyen-Orient et en Amérique du Nord. De plus, sur la base de notre analyse des données de numérisation Internet, nous pensons qu'il existe des systèmes Candiru exploités depuis l'Arabie saoudite, Israël, les Émirats arabes unis, la Hongrie et l'Indonésie, entre autres pays. L'erreur OPSEC de Candiru mène à leur infrastructure En utilisant Censys, nous avons trouvé un certificat TLS auto-signé qui incluait l'adresse e-mail "amitn@candirusecurity.com". Nous avons attribué le nom de domaine candirusecurity[.]com à Candiru Ltd, car un deuxième nom de domaine (vérification[.]center) a été enregistré en 2015 avec une adresse e-mail candirusecurity[.]com et un numéro de téléphone (+972-54-2552428 ) répertorié par Dun & Bradstreet comme numéro de fax de Candiru Ltd, également connu sous le nom de Saito Tech Ltd. Figure 6 : Ce certificat Candiru que nous avons trouvé sur Censys a été le point de départ de notre analyse. Les données Censys enregistrent qu'un total de six adresses IP ont renvoyé ce certificat : 151.236.23[.]93, 69.28.67[.]162, 176.123.26[.]67, 52.8.109[.]170, 5.135.115[ .]40, 185.56.89[.]66. Les quatre dernières de ces adresses IP ont ensuite renvoyé un autre certificat, dont nous avons pris les empreintes digitales (Fingerprint CF1) sur la base de caractéristiques distinctives. Nous avons recherché les données de Censys pour cette empreinte digitale. SELECT analysé.fingerprint_sha256 FROM`censys-io.certificates_public.certificates` OÙ parsed.issuer_dn EST NULL ET analysé.subject_dn IS NULL ET analysé.validité.longueur = 8639913600 ET analysé.extensions.basic_constraints.is_ca Tableau 2 : Empreinte digitale CF1 Nous avons trouvé 42 certificats sur Censys correspondant à CF1. Nous avons observé que six adresses IP correspondant aux certificats CF1 ont ensuite renvoyé des certificats correspondant à une deuxième empreinte digitale que nous avons conçue, CF2. L'empreinte CF2 est basée sur des certificats qui correspondent à ceux générés par un générateur de "Fake Name". Nous avons d'abord exécuté une requête SQL sur les données Censys pour l'empreinte digitale, puis filtré par une liste de faux noms. SELECT analysé.fingerprint_sha256, analysé.subject_dn FROM`censys-io.certificates_public.certificates` OÙ (parsed.subject_dn = parsed.issuer_dn AND REGEXP_CONTAINS (parsed.subject_dn, r"^O=[A-Z][a-z]+,, ? CN=[a-z]+\.(com|net|org)+$") ET analysé.extensions.basic_constraints.is_ca Tableau 3 : Requête SQL CF2 d'empreintes digitales. La requête SQL a donné 572 résultats. Nous avons filtré les résultats, exigeant que l'organisation du certificat TLS dans le champ parsed.subject_dn contienne une entrée de la liste des 475 noms de famille du module Perl Data-Faker. 

Nous soupçonnons que Candiru utilise soit ce module Perl, soit un autre module qui utilise la même liste de mots, pour générer de faux noms pour les certificats TLS. Ni le module Perl Data-Faker, ni d'autres modules similaires (par exemple, Ruby Faker Gem ou le module PHP Faker) ne semblent avoir de fonctionnalité intégrée pour générer de faux certificats TLS. Ainsi, nous soupçonnons que le code de génération de certificat TLS est un code personnalisé écrit par Candiru. Après filtrage, nous avons trouvé 542 certificats correspondants. Nous avons ensuite développé une empreinte HTTP, appelée BRIDGE, avec laquelle nous avons scanné Internet et construit une troisième empreinte TLS, CF3. Nous gardons les empreintes BRIDGE et CF3 confidentielles pour l'instant afin de maintenir la visibilité sur l'infrastructure de Candiru. Chevauchement avec CHAINSHOT L'une des adresses IP correspondant à notre empreinte CF1, 185.25.50[.]194, a été pointée par dl.nmcyclingexperience[.]com, qui est mentionnée comme URL finale d'une charge utile de logiciel espion fournie par le kit d'exploitation CHAINSHOT dans un 2018 rapport. On pense que CHAINSHOT est lié à Candiru, bien qu'aucun rapport public n'ait décrit la base de cette attribution, jusqu'à présent. Kaspersky a observé le groupe de piratage des Émirats arabes unis Stealth Falcon utilisant CHAINSHOT, ainsi qu'un client basé en Ouzbékistan qu'ils appellent SandCat. Alors que de nombreuses analyses se sont concentrées sur diverses techniques d'exploitation CHAINSHOT, nous n'avons vu aucun travail public examinant la charge utile Windows finale de Candiru. Chevauchement avec Google TAG Research Le 14 juillet 2021, le Threat Analysis Group (TAG) de Google a publié un rapport qui mentionne deux exploits Chrome zero-day que TAG a observés utilisés contre des cibles (CVE-2021-21166 et CVE-2021-30551). Le rapport mentionne neuf sites Web qui, selon Google, ont été utilisés pour diffuser les exploits. Huit de ces sites Web pointaient vers des adresses IP qui correspondaient à notre empreinte CF3 Candiru. Nous pensons donc que les attaques que Google a observées impliquant ces exploits Chrome étaient liées à Candiru. Google a également lié un autre exploit Microsoft Office qu'ils ont observé (CVE-2021-33742) au même opérateur. Thèmes de ciblage L'examen de l'infrastructure de ciblage de Candiru nous permet de faire des suppositions sur l'emplacement des cibles potentielles, ainsi que sur les sujets et les thèmes que les opérateurs de Candiru pensaient que les cibles trouveraient pertinents et attrayants. Certains des thèmes suggèrent fortement que le ciblage concernait probablement la société civile et l'activité politique. Cet indicateur troublant correspond à l'observation de Microsoft du ciblage étendu des membres de la société civile, des universitaires et des médias avec le logiciel espion de Candiru. Nous avons observé des preuves de ciblage d'infrastructures se faisant passer pour des médias, des organisations de plaidoyer, des organisations internationales et autres (voir : Tableau 4). Nous avons trouvé de nombreux aspects de ce ciblage préoccupants, comme le domaine blacklivesmatters[.]info, qui peut être utilisé pour cibler des personnes intéressées ou affiliées à ce mouvement. De même, les infrastructures se faisant passer pour Amnesty International et Refugee International sont troublantes, tout comme les domaines similaires pour les Nations Unies, l'Organisation mondiale de la santé et d'autres organisations internationales. Nous avons également constaté que le thème de ciblage des études de genre (par exemple, womanstudies[.]co & genderconference[.]org) était particulièrement intéressant et justifiait une enquête plus approfondie. Domaines d'exemple de thème se faisant passer pour Médias internationaux cnn24-7[.]CNN en ligne dw-arabe[.]com Deutsche Welle euro-news[.]en ligne Euronews rasef22[.]com Raseef22 france-24[.]actualité France 24 Organisations de défense amnestyreports[.]com Amnesty International blacklivesmatters[.]info Mouvement Black Lives Matter réfugiéinternational[.]org Réfugiés International Études de genre womanstudies[.]co Thème académique genderconference[.]org Conférence académique Entreprises technologiques cortanaupdates[.]com Microsoft googleplay[.]store Google mises à jour apple[.]Apple en ligne amazon-cz[.]eu Amazon drpbx-update[.]net Dropbox lenovo-setup[.]tk Lenovo konferenciya-zoom[.]com Zoom zcombinateur[.]co Y Combinateur Réseaux sociaux linkedin-jobs[.]com LinkedIn faceb00k-live[.]com Facebook minstagram[.]net Instagram twitt-live[.]com Twitter youtubee[.]vie YouTube Sites Internet populaires wikipediaathome[.]net Wikipedia Organisations internationales osesgy-unmissions[.]org Bureau de l'Envoyé spécial du Secrétaire général pour le Yémen un-asia[.]co Nations Unies whoint[.]co Organisation mondiale de la santé Entreprises publiques vesteldefnce[.]io Entreprise de défense turque vfsglobal[.]fr Prestataire de services de visas Tableau 4 : Quelques thèmes de ciblage observés dans les domaines Candiru. Une gamme de domaines de ciblage semble être raisonnablement spécifique à chaque pays (voir : Tableau 5). Nous pensons que ces thèmes de domaine indiquent des pays cibles probables et pas nécessairement les pays des opérateurs eux-mêmes. Pays Exemple Domaine Quelle est cette usurpation d'identité probable ? Indonésie indoprogress[.]co Publication indonésienne de gauche Russie pochtarossiy[.]info Service postal russe Tchéquie kupony-rohlik[.]cz Epicerie tchèque Arménie armenpress[.]net Agence de presse d'État d'Arménie Iran tehrantimes[.]org quotidien de langue anglaise en Iran Turquie yeni-safak[.]com journal turc Chypre cyprusnet[.]tk Portail fournissant des informations sur les entreprises chypriotes. Autriche oiip[.]org Institut autrichien des affaires internationales Palestine lwaeh-iteham-alasra[.]com Site Web qui publie les actes d'accusation des tribunaux israéliens contre des prisonniers palestiniens Arabie saoudite mbsmetoo[.]com Site Web pour « une campagne internationale pour soutenir le cas de Jamal Khashoggi » et d'autres affaires contre le prince héritier saoudien Mohammed bin Salman Slovénie total-slovenia-news[.]net Site d'information slovène en anglais. Tableau 5 : Quelques thèmes pays observés dans les domaines Candiru. 

4. Un cluster saoudien ? Un document a été téléchargé depuis l'Iran vers VirusTotal qui a utilisé une macro AutoOpen pour lancer un navigateur Web et a navigué dans le navigateur vers l'URL https://cuturl[.]space/lty7uw, que VirusTotal a enregistré comme redirigeant vers une URL, https:/ /useproof[.]cc/1tUAE7A2Jn8WMmq/api, qui mentionne un domaine que nous avons lié à Candiru, useproof[.]cc. Le domaine useproof[.]cc pointait vers 109.70.236.107, ce qui correspondait à notre empreinte digitale CF3. Le document était vierge, à l'exception d'un graphique contenant le texte "Ministre des affaires étrangères de la République islamique d'Iran". Figure 7 : Un document qui charge une URL Candiru a été téléchargé sur VirusTotal depuis l'Iran et comprend une image d'en-tête faisant référence au ministre des Affaires étrangères. Nous avons identifié le comportement de cuturl[.]space et l'avons retracé jusqu'à cinq autres raccourcisseurs d'URL : llink[.]link, instagrarn[.]co, cuturl[.]app, url-tiny[.]co et bitly[.] tél. Fait intéressant, plusieurs de ces domaines ont été signalés par un chercheur de ThreatConnect dans deux tweets, sur la base de caractéristiques suspectes de leur enregistrement. Nous soupçonnons que le format AutoOpen et les raccourcisseurs d'URL peuvent être uniques à un client Candiru particulier. Un utilisateur saoudien de Twitter nous a contactés et nous a signalé que des utilisateurs saoudiens actifs sur Twitter recevaient des messages contenant des URL courtes suspectes, y compris des liens vers le nom de domaine bitly[.]tel. Compte tenu de cela, nous soupçonnons que les raccourcisseurs d'URL peuvent être liés à l'Arabie saoudite. 

5. Détails supplémentaires sur l'entreprise pour Candiru Ya'acov Weitzman (ויצמן יעקב) et Eran Shorer (שורר ערן) ont fondé Candiru en 2014. Isaac Zack (זק יעקב), qui aurait également été l'un des premiers investisseurs du groupe NSO, est devenu le principal actionnaire de Candiru moins de deux mois après sa fondation et siège à son conseil d'administration. En janvier 2019, Tomer Israel (ישראלי תומר) est apparu pour la première fois dans les registres de l'entreprise en tant que «directeur des finances» de Candiru et Eitan Achlow (אחלאו איתן) a été nommé PDG. Un certain nombre d'investisseurs indépendants semblent avoir financé les opérations de Candiru au fil des ans. Depuis l'avis d'attribution d'actions de Candiru déposé en février 2021 auprès de l'Autorité israélienne des sociétés, Zack, Shorer et Weitzman sont toujours les principaux actionnaires. Trois organisations sont les prochains actionnaires les plus importants : Universal Motors Israel LTD (immatriculation 511809071), ESOP management and trust services (איסופ שירותי ניהול) immatriculation 513699538 et Optas Industry Ltd. ESOP (immatriculation 513699538) est une société israélienne qui fournit des services administratifs du programme d'actionnariat des employés aux entreprises clientes. Nous ne savons pas si ESOP détient ses actions en fiducie pour certains employés de Candiru. Optas Industry Ltd. est une société de capital-investissement basée à Malte (numéro d'enregistrement C91267, actionnaire Leonard Joseph O'Brien, les administrateurs sont O'Brien et Michael Ellul, constituée le 28 mars 2019). Il a été rapporté que pendant une décennie, O'Brien a été responsable des investissements et membre du conseil d'administration du Gulf Investment Fund, et que l'autorité souveraine d'investissement du Qatar détient une participation de 12 % dans le Gulf Investment Fund (par l'intermédiaire d'une filiale, Qatar Holding). Universal Motors Israel (numéro d'enregistrement de la société 511809071) en tant qu'investisseur (y compris un siège au conseil d'administration de Candiru) est curieux étant donné que son activité principale est la distribution d'automobiles neuves et d'occasion. Outre Amit Ron (רון עמית), le représentant d'Universal Motors Israël, le conseil d'administration de Candiru en décembre 2020 comprend Isaac Zack, Ya'acov Weitzman et Eran Shorer. En plus de l'implication de Zack, Candiru partage d'autres points communs avec le groupe NSO, notamment la représentation par le même cabinet d'avocats et l'utilisation de la même société de services d'équité et d'administration de fiducie. 

6. Conclusion 

L'apparente présence généralisée de Candiru et l'utilisation de sa technologie de surveillance contre la société civile mondiale sont un puissant rappel que l'industrie mercenaire des logiciels espions contient de nombreux acteurs et est sujette à des abus généralisés. Cette affaire démontre, une fois de plus, qu'en l'absence de garanties internationales ou de contrôles gouvernementaux rigoureux à l'exportation, les vendeurs de logiciels espions vendront à des clients gouvernementaux qui abuseront régulièrement de leurs services. De nombreux gouvernements désireux d'acquérir des technologies de surveillance sophistiquées manquent de sécurité gardes sur leurs agences de sécurité nationales et étrangères. Beaucoup se caractérisent par de piètres antécédents en matière de droits humains. Il n'est pas surprenant qu'en l'absence de contraintes juridiques fortes, ces types de clients gouvernementaux abusent des services de logiciels espions pour suivre les journalistes, l'opposition politique, les défenseurs des droits de l'homme et d'autres membres de la société civile mondiale. La société civile dans le collimateur… encore une fois Le ciblage apparent d'un individu en raison de ses convictions politiques et de ses activités qui ne sont ni de nature terroriste ni criminelle est un exemple troublant de cette situation dangereuse. L'analyse indépendante de Microsoft est également déconcertante, découvrant au moins 100 victimes des opérations de logiciels malveillants de Candiru, parmi lesquelles "des politiciens, des militants des droits de l'homme, des journalistes, des universitaires, des employés d'ambassade et des dissidents politiques". Tout aussi troublant à cet égard est l'enregistrement par Candiru de domaines se faisant passer pour des ONG de défense des droits humains (Amnesty International), des mouvements sociaux légitimes (Black Lives Matter), des organisations internationales de santé (OMS), des thèmes relatifs aux droits des femmes et des organes de presse. Bien que nous manquions de contexte autour des cas d'utilisation spécifiques liés à ces domaines, leur simple présence dans le cadre de l'infrastructure de Candiru - à la lumière des préjudices généralisés contre la société civile associés à l'industrie mondiale des logiciels espions - est très préoccupante et mérite une enquête plus approfondie. Rectifier les dommages autour du marché des logiciels espions commerciaux En fin de compte, la lutte contre les pratiques malveillantes de l'industrie des logiciels espions nécessitera une approche robuste et complète qui va au-delà des efforts concentrés sur une seule entreprise ou un seul pays de premier plan. Malheureusement, le ministère israélien de la Défense - dont les entreprises basées en Israël comme Candiru doivent recevoir une licence d'exportation avant de vendre à l'étranger - s'est jusqu'à présent montré peu disposé à soumettre les entreprises de surveillance au type d'examen rigoureux qui serait nécessaire pour prévenir des abus de ce type. nous et d'autres organisations avons identifié. Le processus d'octroi de licences d'exportation dans ce pays est presque entièrement opaque, manquant même des mesures les plus élémentaires de responsabilité publique ou de transparence. Nous espérons que des rapports comme celui-ci aideront à inciter les décideurs politiques et les législateurs en Israël et ailleurs à faire plus pour prévenir les dommages croissants associés à un marché des logiciels espions non réglementé. Il convient de noter les risques croissants auxquels les fournisseurs de logiciels espions et leurs groupes propriétaires eux-mêmes sont confrontés en raison de leurs propres ventes imprudentes. Les vendeurs de logiciels espions mercenaires comme Candiru commercialisent leurs services auprès de leurs clients gouvernementaux comme des outils «introuvables» qui échappent à la détection et empêchent ainsi les opérations de leurs clients d'être exposées. Cependant, nos recherches montrent une fois de plus à quel point ces affirmations sont spécieuses. Bien que parfois difficile, il est possible pour les chercheurs de détecter et de découvrir l'espionnage ciblé en utilisant une variété de surveillance des réseaux et d'autres techniques d'enquête, comme nous l'avons démontré dans ce rapport (et d'autres similaires). Même les sociétés de surveillance les mieux dotées en ressources commettent des erreurs opérationnelles et laissent des traces numériques, ce qui rend leurs affirmations marketing selon lesquelles elles sont furtives et indétectables très discutables. Dans la mesure où leurs produits sont impliqués dans des dommages importants ou des cas de ciblage illégal, l'exposition négative qui découle de la recherche d'intérêt public peut créer des responsabilités importantes pour les propriétaires, les actionnaires et les autres personnes associées à ces sociétés de logiciels espions. Enfin, cette affaire montre la valeur d'une approche communautaire des enquêtes sur l'espionnage ciblé. Afin de remédier aux dommages causés par cette industrie aux membres innocents de la société civile mondiale, la coopération entre les chercheurs universitaires, les défenseurs des réseaux, les équipes de renseignement sur les menaces et les plateformes technologiques est essentielle. Notre recherche s'est appuyée sur de multiples sources de données organisées par d'autres groupes et entités avec lesquels nous avons coopéré, et a finalement aidé à identifier les vulnérabilités logicielles d'un produit largement utilisé qui ont été signalées puis corrigées par son fournisseur. Remerciements Merci à Microsoft et au Microsoft Threat Intelligence Center (MSTIC) pour leur collaboration et pour avoir travaillé à résoudre rapidement les problèmes de sécurité identifiés grâce à leurs recherches. Nous sommes particulièrement reconnaissants aux cibles qui font le choix de travailler avec nous pour aider à identifier et exposer les entités impliquées dans leur ciblage. Sans leur participation, ce rapport n'aurait pas été possible. Merci à Team Cymru de nous avoir donné accès à leur produit Pure Signal Recon. La capacité de leur outil à afficher la télémétrie du trafic Internet des trois derniers mois a fourni la percée dont nous avions besoin pour identifier la première victime de l'infrastructure de Candiru. Le financement de ce projet a été assuré par une généreuse subvention de la Fondation John D. et Catherine T. MacArthur, de la Fondation Ford, de la Fondation Oak, du Sigrid Rausing Trust et de la Fondation Open Societies. Merci à Miles Kenyon, Mari Zhou et Adam Senft pour les communications,graphiques et soutien organisationnel.

 

NOTA:

 Le groupe NSO a été lancé en Israël en 2010 par des amis Niv Carmi, Omri Lavie et Shalev Hulio. Carmi a quitté l'entreprise peu de temps après sa création et, selon toute apparence, a gardé ses distances depuis. Lavie et Hulio, quant à eux, restent dans l'entreprise. Ils ont atteint un niveau de notoriété rare sur la scène technologique très soudée d'Herzliya, en Israël, où les entreprises restent en "mode furtif" pendant des années, et même les entrepreneurs locaux bien connus peuvent être étrangement difficiles à trouver via Google. Sur les photographies, le couple ressemble à des frères, avec des têtes rasées assorties, du chaume et des constructions trapues qui trahissent leur carrière en informatique, les deux étant maintenant retirés de leur temps passé en service obligatoire pour les Forces de défense israéliennes. 

 

REF.:   https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/



Les technologie de surveillance du groupe NSO et son concurrent Candiru convoité par L3Harris

  

Les  technologie de surveillance du groupe NSO et son concurrent Candiru convoité par L3Harris

Le fabricant de Stingray L3Harris cherche à acquérir le groupe NSO ?

 L'entrepreneur américain de la défense L3Harris est en pourparlers pour reprendre la technologie de surveillance du groupe NSO, dans le cadre d'un éventuel accord qui donnerait à une entreprise américaine le contrôle de l'un des outils de piratage les plus sophistiqués et les plus controversés au monde. 

 Plusieurs sources ont confirmé que les discussions étaient centrées sur une vente de la technologie de base de la société israélienne – ou code – ainsi que sur un éventuel transfert du personnel de l’ONS à L3Harris. Si quelqu'un a des objections, parlez maintenant ou pour toujours… eh bien, en fait, il y a déjà des objections. Le gouvernement fédéral américain en a quelques-unes, à savoir les sanctions qu'il a imposées au groupe NSO (et à son concurrent Candiru,bien que le nom actuel de l'entreprise soit Saito Tech Ltd) en novembre dernier. Dans un communiqué, un haut responsable de la Maison Blanche a déclaré: "Une telle transaction, si elle devait avoir lieu, soulève de graves problèmes de contre-espionnage et de sécurité pour le gouvernement américain." 

Ceux-ci sont toujours en place et cela semblerait suggérer que L3Harris (la société issue de la fusion du fabricant Stingray Harris Corporation et de l'entrepreneur de défense L3 Technologies) ne peut pas réellement effectuer cet achat. 

Malheureusement, la déclaration donnée au Guardian suggère que la Maison Blanche pourrait ne pas être en mesure d'empêcher l'achat d'avoir lieu. Cette déclaration, donnée à Lucas Ropek de Gizmodo, s'éloigne encore plus d'une déclaration plate disant que l'acquisition violerait les sanctions du Département du commerce. 

 Dans un e-mail à Gizmodo, un haut responsable de la Maison Blanche a déclaré que le gouvernement "s'oppose" au contournement des sanctions américaines. "Le gouvernement américain, et la Maison Blanche en particulier, n'a été impliqué d'aucune façon dans cette transaction potentielle signalée", a déclaré le responsable. "Bien que nous ne puissions pas parler de ce rapport particulier, le gouvernement américain s'oppose aux efforts des entreprises étrangères pour contourner les mesures ou sanctions américaines de contrôle des exportations, y compris le placement sur la liste des entités du département américain du Commerce pour les cyberactivités malveillantes." 

La Maison Blanche s'opposera à cette acquisition mais il pourrait y avoir une faille exploitable dans les sanctions. Être acquis par une société américaine ne supprimera pas NSO de la liste des sanctions, mais cela obligerait le gouvernement fédéral à franchir un tas d'obstacles (et, vraisemblablement, à faire face à des litiges) pour s'assurer que ses sanctions sont valides et faire face aux menaces réelles envers les États-Unis. entités, y compris d'autres sous-traitants de la défense dont les offres pourraient être ciblées par des acheteurs étrangers de logiciels malveillants NSO.

 Ce qui pourrait le rendre moins répréhensible (et plus susceptible d'entraîner la levée des sanctions) est la liste des clients de L3Harris, qui est en grande partie composée de pays et d'entités gouvernementales que le gouvernement américain aime, plutôt que la liste tentaculaire des violateurs des droits de l'homme à qui NSO a vendu.

 Cela pourrait être quelque chose qui permettrait à l'acquisition d'avoir lieu avec la bénédiction provisoire du gouvernement fédéral, si l'entreprise accepte de réduire sa liste de clients à la liste de clients préférés du gouvernement américain. Même si cela peut quelque peu blanchir la réputation de NSO, cette fusion ne devrait être bien accueillie par personne. Il ajoute les abus de la technologie des simulateurs de tours cellulaires aux abus de puissants exploits compromettant les téléphones portables. Lorsqu'un seul produit peut forcer les téléphones à s'y connecter afin de déployer des logiciels malveillants, les abus observés à ce jour vont sembler assez légers. 

 Au-delà des combinaisons théoriques de la technologie de ciblage téléphonique, il n'y a aucune raison pour qu'une entreprise américaine se mette volontairement au lit avec une entreprise actuellement confrontée à des sanctions du gouvernement américain. Mais les puissants logiciels malveillants de NSO peuvent être trop tentants pour être ignorés, en particulier lorsque Harris a joué rapidement et librement avec les réglementations d'exportation dans le passé. Espérons que cette acquisition restera ce qu'elle est aujourd'hui : simplement l'un des nombreux résultats possibles.

 

Nota:

 Qui est Candiru:

C'est une société secrète basée en Israël qui vend des logiciels espions exclusivement aux gouvernements.

 Apparemment, leurs logiciels espions peuvent infecter et surveiller les iPhones, les Android, les Mac, les PC et les comptes cloud. Grâce à l'analyse Internet, nous avons identifié plus de 750 sites Web liés à l'infrastructure de logiciels espions de Candiru. 

Nous avons trouvé de nombreux domaines se faisant passer pour des organisations de défense telles qu'Amnesty International, le mouvement Black Lives Matter, ainsi que des sociétés de médias et d'autres entités thématiques de la société civile. Nous avons identifié une victime politiquement active en Europe occidentale et récupéré une copie du logiciel espion Windows de Candiru. En collaboration avec Microsoft Threat Intelligence Center (MSTIC), nous avons analysé le logiciel espion, ce qui a abouti à la découverte de CVE-2021-31979 et CVE-2021-33771 par Microsoft, deux vulnérabilités d'élévation de privilèges exploitées par Candiru. Microsoft a corrigé les deux vulnérabilités le 13 juillet 2021. Dans le cadre de son enquête, Microsoft a observé au moins 100 victimes en Palestine, en Israël, en Iran, au Liban, au Yémen, en Espagne, au Royaume-Uni, en Turquie, en Arménie et à Singapour. 

Les victimes comprennent des défenseurs des droits humains, des dissidents, des journalistes, des militants et des politiciens. Nous fournissons un bref aperçu technique du mécanisme de persistance du logiciel espion Candiru et quelques détails sur la fonctionnalité du logiciel espion. Candiru a fait des efforts pour masquer sa structure de propriété, son personnel et ses partenaires d'investissement. Néanmoins, nous avons pu faire la lumière sur ces domaines dans ce rapport.

 1. Qui est Candiru ?

 La société connue sous le nom de « Candiru », basée à Tel-Aviv, en Israël, est une société de logiciels espions mercenaires qui commercialise des logiciels espions « introuvables » aux clients du gouvernement. Leur offre de produits comprend des solutions d'espionnage sur les ordinateurs, les appareils mobiles et les comptes cloud.

 Figure 1 : Une fresque distinctive de cinq hommes à tête vide portant des costumes et des chapeaux melon est affichée sur cette photo « Happy Hour » d'un ancien bureau de Candiru publiée sur Facebook par une entreprise de restauration. Une structure d'entreprise délibérément opaque Candiru s'efforce de garder ses opérations, son infrastructure et l'identité de son personnel opaques à l'examen public. Candiru Ltd. a été fondée en 2014 et a subi plusieurs changements de nom (voir : Tableau 1).

 Comme de nombreuses sociétés de logiciels espions mercenaires, la société recruterait dans les rangs de l'unité 8200, l'unité de renseignement électromagnétique des Forces de défense israéliennes. Bien que le nom actuel de l'entreprise soit Saito Tech Ltd, nous les appellerons "Candiru" car ils sont plus connus sous ce nom. 

Le logo de l'entreprise semble être une silhouette du poisson Candiru réputé horrible sous la forme de la lettre "C". Raison sociale Date d'enregistrement Signification possible Saito Tech Ltd. (סאייטו טק בעיימ) 2020 "Saito" est une ville au Japon Taveta Ltd. (טאבטה בעיימ) 2019 "Taveta" est une ville du Kenya Grindavik Solutions Ltd. (גרינדוויק פתרונות בעיימ) 2018 "Grindavik" est une ville d'Islande DF Associates Ltd. (ד. אפ אסוסיאייטס בעיימ) 2017 ? Candiru Ltd. (קנדירו בעיימ) 2014 Un poisson d'eau douce parasite Tableau 1 : Enregistrements des sociétés de Candiru au fil du temps Candiru a au moins une filiale : Sokoto Ltd.

 

REF.:  https://www.techdirt.com/2022/06/23/stingray-manufacturer-l3harris-seeking-to-acquire-nso-group/