Les critiques des vendeurs de logiciels espions et d’exploits ont longtemps averti que le piratage avancé proposé par les vendeurs de surveillance commerciale (CSV) représente un danger mondial, car ces outils atterrissent inévitablement dans les mains de parties malveillantes, même lorsque les CSV promettent de les utiliser uniquement pour cibler des criminels connus. Jeudi, les analystes de Google ont présenté des preuves soutenant cette critique, ayant découvert que des espions agissant pour le compte du Kremlin utilisaient des exploits « identiques ou étrangement similaires » à ceux vendus par les producteurs de logiciels espions Intellexa et NSO Group.
Ce groupe de hackers, suivi sous des noms tels que APT29, Cozy Bear et Midnight Blizzard, est largement considéré comme travaillant pour le Service de renseignement extérieur de la Russie, ou SVR. Les chercheurs du Threat Analysis Group (TAG) de Google, qui suit le piratage soutenu par les États, ont déclaré jeudi avoir observé qu’APT29 utilisait des exploits identiques ou très similaires à ceux initialement utilisés par les vendeurs commerciaux d’exploits NSO Group d’Israël et Intellexa d’Irlande. Dans les deux cas, les exploits des Vendeurs de Surveillance Commerciale avaient été utilisés pour la première fois en tant que zero-days, ce qui signifie que les vulnérabilités n’étaient pas publiquement connues et qu’aucun correctif n’était disponible.
Identiques ou étrangement similaires
Une fois que des correctifs ont été mis à disposition pour les vulnérabilités, le TAG a indiqué qu’APT29 utilisait les exploits dans des attaques de watering hole, qui infectent les cibles en plaçant furtivement des exploits sur des sites qu’elles fréquentent souvent. Le TAG a précisé qu’APT29 utilisait les exploits en tant que n-days, ciblant des vulnérabilités récemment corrigées mais pas encore largement installées par les utilisateurs.
« À chaque itération des campagnes de watering hole, les attaquants ont utilisé des exploits identiques ou étrangement similaires à ceux des CSV, Intellexa et NSO Group », a écrit Clement Lecigne du TAG. « Nous ne savons pas comment les attaquants ont acquis ces exploits. Ce qui est clair, c’est que les acteurs APT utilisent des exploits de type n-day qui étaient initialement utilisés comme 0-days par les CSV. »
Dans un cas, Lecigne a affirmé que le TAG avait observé APT29 compromettre les sites du gouvernement mongol mfa.gov[.]mn et cabinet.gov[.]mn et y placer un lien chargeant un code exploitant CVE-2023-41993, une faille critique dans le moteur de navigateur WebKit. Les opérateurs russes ont utilisé cette vulnérabilité, chargée sur les sites en novembre, pour voler les cookies de navigateur afin d’accéder aux comptes en ligne de cibles qu’ils espéraient compromettre. L’analyste de Google a indiqué que l’exploit d’APT29 « utilisait exactement le même déclencheur » qu’un exploit d’Intellexa utilisé en septembre 2023, avant que CVE-2023-41993 ne soit corrigé.
Lecigne a fourni l’image suivante montrant une comparaison côte à côte du code utilisé lors de chaque attaque.
APT29 a de nouveau utilisé le même exploit en février de cette année lors d’une attaque de watering hole sur le site du gouvernement mongol mga.gov[.]mn.
En juillet 2024, APT29 a placé une nouvelle attaque de vol de cookies sur mga.gov[.]me. Il a exploité CVE-2024-5274 et CVE-2024-4671, deux vulnérabilités n-day dans Google Chrome. Lecigne a déclaré que l’exploit CVE-2024-5274 d’APT29 était une version légèrement modifiée de celui utilisé par NSO Group en mai 2024 lorsqu’il était encore un zero-day. L’exploit pour CVE-2024-4671, quant à lui, contenait de nombreuses similitudes avec CVE-2021-37973, un exploit qu’Intellexa avait précédemment utilisé pour contourner les protections du sandbox de Chrome.
La chronologie des attaques est illustrée ci-dessous :
Comme mentionné précédemment, il reste flou comment APT29 aurait pu obtenir ces exploits. Les possibilités comprennent : des employés malveillants au sein des CSV ou des courtiers ayant travaillé avec les CSV, des hacks ayant volé le code, ou des achats directs. Les deux entreprises défendent leurs activités en promettant de vendre des exploits uniquement aux gouvernements de pays jugés avoir une bonne réputation dans le monde. Les preuves mises au jour par le TAG suggèrent que, malgré ces assurances, les exploits parviennent entre les mains de groupes de hackers soutenus par des gouvernements.
« Bien que nous ne soyons pas certains de la manière dont les acteurs suspects d’APT29 ont acquis ces exploits, notre recherche souligne l’étendue à laquelle les exploits initialement développés par l’industrie de la surveillance commerciale sont diffusés vers des acteurs menaçants », a écrit Lecigne.
En tant que journaliste, je trouve ces révélations préoccupantes. Elles montrent à quel point la cybersécurité est un enjeu majeur dans le monde actuel, et soulignent l’importance d’une régulation stricte des technologies de surveillance. Il est impératif que les gouvernements agissent pour protéger les citoyens des abus potentiels de ces outils puissants.