Google a dénoncé une société qui a exploité cinq failles 0-day dans Chrome et Android afin d’installer le spyware Predator et espionner des cibles sensibles pour le compte de gouvernements.
L'année 2021, a été un bon cru pour l’équipe du Threat Analysis Group (TAG) de Google ! Cette année là, le TAG avait mis à jour neuf vulnérabilités 0-day affectant Chrome, Android, Apple et Microsoft. Quatre d’entre elles se trouvaient dans le navigateur Chrome et une dans le système d’exploitation Android, et ont été exploitées dans plusieurs campagnes. Petite particularité : toutes sont attribuables à Cytrox, l'entreprise qui développe le spyware Predator a dénoncé Google dans un billet blog publié le 19 mai dernier. Cet éditeur basé en Macédoine du Nord avait été désigné une première fois en décembre 2021 par The CitizenLab.
Le logiciel espion Predator est un peu le nouveau Pegasus. Une fois installé sur un appareil, il est capable de faire des enregistrements audios, de générer des autorités de certification et de dissimuler des applications malveillantes indétectables.
Cytrox a « vendus des exploits à différents acteurs soutenus par le gouvernement qui les ont utilisés dans au moins trois campagnes », notent les chercheurs dans leur rapport. Et d’ajouter que : « conformément aux conclusions de CitizenLab, nous évaluons que les acteurs probablement soutenus par le gouvernement qui achètent ces exploits opèrent (au moins) en Égypte, en Arménie, en Grèce, à Madagascar, en Côte d'Ivoire, en Serbie, en Espagne et en Indonésie. »
Un nouveau Pegasus
Quid du mode opératoire ? Les trois campagnes envoyaient un e-mail de phishing contenant des liens URL à leur cible. Une fois que la victime cliquait sur ledit lien, elle était redirigée vers un domaine malveillant appartenant à l’attaquant qui infectait l’appareil afin d’installer Predator, et qui redirigeait ensuite le navigateur vers un site Web légitime afin de ne pas attirer l’attention. « Nous avons vu cette technique utilisée contre des journalistes et d'autres cibles non identifiées, et avons alerté ces utilisateurs lorsque cela était possible », écrivent les chercheurs. « Les campagnes étaient limitées — dans chaque cas, nous évaluons le nombre de cibles à des dizaines d'utilisateurs », ajoutent-ils.
Le TAG indique que 7 des zero-days découvertes en 2021 ont utilisé cette solution au profit de clients gouvernementaux. Une trentaine d’éditeurs sont actuellement toujours étudiés par les chercheurs. « Nous restons déterminés à informer la communauté au fur et à mesure que nous découvrons ces campagnes », concluent les chercheurs. Ce qui est sûr selon eux, c'est que ces capacités, qui démontrent une grande expertise technique, sont historiquement liées à des gouvernements.