Les trois failles zero-day corrigées par Apple le 21 septembre 2023 ont été exploitées dans le cadre d’une chaîne d’exploitation sur iPhone dans le but de diffuser une souche de logiciel espion appelée Prédateur visant l’ancien député égyptien Ahmed Eltantawy entre mai et septembre 2023.
« Le ciblage a eu lieu après qu’Eltantawy ait été publiquement a exposé ses projets se présenter à la présidence aux élections égyptiennes de 2024″, a déclaré le Citizen Lab ditattribuant l’attaque avec une grande confiance au gouvernement égyptien, car il est un client connu de l’outil d’espionnage commercial.
Selon une enquête conjointe menée par le laboratoire interdisciplinaire canadien et le Threat Analysis Group (TAG) de Google, l’outil de surveillance des mercenaires aurait été délivré via des liens envoyés sur SMS et WhatsApp.
« En août et septembre 2023, la connexion mobile d’Eltantawy Vodafone Egypt a été sélectionnée de manière persistante pour un ciblage via injection réseau ; lorsqu’Eltantawy a visité certains sites Web n’utilisant pas HTTPS, un appareil installé à la frontière du réseau de Vodafone Egypt l’a automatiquement redirigé vers un site Web malveillant pour infecter son téléphone avec le logiciel espion Predator de Cytrox », ont déclaré les chercheurs du Citizen Lab.
La chaîne d’exploitation a exploité un ensemble de trois vulnérabilités – CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993 – qui pourraient permettre à un acteur malveillant de contourner la validation des certificats, d’élever les privilèges et d’exécuter du code à distance sur des cibles ciblées. appareils lors du traitement d’un contenu Web spécialement conçu.
Predator, fabriqué par une société appelée Cytrox, est analogue au Pegasus de NSO Group, permettant à ses clients de surveiller des cibles d’intérêt et de récolter des données sensibles à partir d’appareils compromis. Faisant partie d’un consortium de fournisseurs de logiciels espions appelé Intellexa Alliance, il a été mis sur liste noire par le gouvernement américain en juillet 2023 pour avoir « permis des campagnes de répression et d’autres violations des droits de l’homme ».
L’exploit, hébergé sur un domaine nommé sec-flare[.]com, aurait été livré après qu’Eltantawy ait été redirigé vers un site Web nommé c.betly[.]moi au moyen d’une attaque sophistiquée par injection de réseau utilisant Boîte de médiation PacketLogic de Sandvine situé sur une liaison entre Telecom Egypt et Vodafone Egypt.
« Le corps du site Web de destination comprenait deux iframes, l’ID ‘if1’ qui contenait un contenu d’appât apparemment inoffensif (dans ce cas, un lien vers un fichier APK ne contenant pas de logiciel espion) et l’ID ‘if2’ qui était une iframe invisible contenant un lien d’infection Predator. hébergé sur sec-flare[.]com », a déclaré le Citizen Lab.
Maddie Stone, chercheuse chez Google TAG, l’a caractérisé comme un cas d’attaque d’adversaire au milieu (AitM) qui profite d’une visite sur un site Web utilisant HTTP (par opposition à HTTPS) pour intercepter et forcer la victime à visiter un autre site Web. site exploité par l’acteur menaçant.
« Dans le cas de cette campagne, si la cible se rendait sur un site ‘http’, les attaquants injectaient du trafic pour la rediriger silencieusement vers un site Intellexa, c.betly[.]moi », Pierre expliqué. « Si l’utilisateur était l’utilisateur ciblé attendu, le site redirigerait alors la cible vers le serveur d’exploit, sec-flare[.]com. »
Eltantawy a reçu trois messages SMS en septembre 2021, mai 2023 et septembre 2023 qui se sont fait passer pour des alertes de sécurité de WhatsApp exhortant Eltantawy à cliquer sur un lien pour mettre fin à une session de connexion suspecte provenant d’un prétendu appareil Windows.
Bien que ces liens ne correspondent pas à l’empreinte digitale du domaine susmentionné, l’enquête a révélé que le logiciel espion Predator a été installé sur l’appareil environ 2 minutes et 30 secondes après qu’Eltantawy a lu le message envoyé en septembre 2021.
IA contre IA : exploiter les défenses de l’IA contre les risques liés à l’IA
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
Il a également reçu deux messages WhatsApp, le 24 juin 2023 et le 12 juillet 2023, dans lesquels un individu affirmant travailler pour la Fédération internationale des ligues des droits de l’homme (FIDH) sollicitait son avis sur un article pointant vers le site sec-flare.[.]com. Les messages n’ont pas été lus.
Google TAG a déclaré avoir également détecté une chaîne d’exploitation qui exploitait une faille d’exécution de code à distance dans le navigateur Web Chrome (CVE-2023-4762) pour diffuser Predator sur les appareils Android en utilisant deux méthodes : l’injection AitM et via des liens uniques envoyés directement à la cible.
CVE-2023-4762une vulnérabilité de confusion de types dans le moteur V8, a été signalée de manière anonyme le 16 août 2023, et patché par Google le 5 septembre 2023, même si le géant de l’Internet estime que Cytrox/Intellexa aurait pu utiliser cette vulnérabilité comme zero-day.
Selon une brève description de la National Vulnerability Database (NVD), CVE-2023-4762 concerne une « confusion de types dans la version V8 de Google Chrome antérieure à 116.0.5845.179 ». [that] a permis à un attaquant distant d’exécuter du code arbitraire via une page HTML contrefaite. »
Les dernières découvertes, en plus de souligner l’abus des outils de surveillance pour cibler la société civile, soulignent les angles morts de l’écosystème des télécommunications qui pourraient être exploités pour intercepter le trafic réseau et injecter des logiciels malveillants dans les appareils des cibles.
« Même si de grands progrès ont été réalisés ces dernières années pour » chiffrer le Web « , les utilisateurs visitent encore occasionnellement des sites Web sans HTTPS, et une seule visite d’un site Web non HTTPS peut entraîner une infection par un logiciel espion », a déclaré le Citizen Lab.
Il est recommandé aux utilisateurs qui sont exposés à des menaces de logiciels espions en raison de « qui ils sont ou de ce qu’ils font » de maintenir leurs appareils à jour et d’activer le mode de verrouillage sur les iPhones, iPads et Mac pour éviter de tels risques.