Actualités

DevilsTongue : le logiciel-espion venu d’Israël qui espionne journalistes et ONGs !

Vulnérabilité de type 0-day, la cellule MSRC (Microsoft Security Response Center) vient de relayer une mise en lumière de l’équipe CitizenLab concernant DevilsTongue, un malware propulsé par Candiru Ltd, une entreprise israélienne spécialisée dans la vente de solution d’espionnage qui aurait permis, rien qu’ici, de permettre d’espionner en toute quiétude plus de 750 sites Web. Selon les observations et investigations complémentaires de Microsoft, 100 victimes, au moins et dans le monde, auraient été impactées…

 

 

 Nommée SOURGUM par Microsoft, Candiru Ltd permet un vaste choix en terme d’outils comme les URLs, les attaque man-in-the-middle, les solutions mobiles (iOS, Android) et bien d’autres vecteurs ou malware d’attaque : “la proposition de projet de 16 millions d’euros permet un nombre illimité de tentatives d’infection par des logiciels espions, mais la surveillance de seulement 10 appareils simultanément. Pour 1,5 million d’euros supplémentaires, le client peut acheter la possibilité de surveiller 15 appareils supplémentaires simultanément et d’infecter des appareils dans un seul pays supplémentaire. Pour 5,5 millions d’euros supplémentaires, le client peut surveiller 25 appareils supplémentaires simultanément et mener des activités d’espionnage dans cinq autres pays“, relate dangereusement le billet de CitizenLab, le 15 Juillet 2021 tout en précisant que les données espionnées sont, également, ex-filtrables depuis des applications tierces (un bonus de 200 000 euros et par application) telles que Gmail, Skype, Telegram, Twitter, Viber, Signal ou encore Facebook. Une des preuves pointant vers l’entreprise pointait vers un nom de domaine (depuis le site de certification Censys) enregistré depuis 2015 avec des informations comme l’adresse mail (amitn at candirusecurity.com) ou encore des numéros de téléphone et fax. Au final et à coup de quelques requêtes SQLs – 475 résultats intégrant un certificat TLS sous module Perl, pour générer de faux certificats) 42 certificats et 6 adresses IPs ont été recensées.

 

Les clients principaux seraient l’Uzbekistan, l’Arabie Saoudite, les Emirats Arabes Unis, Singapour voire le Quatar. Amnesty International, les Nations Unis, l’OMS, les mouvements Black Lives Matter, les GAFAMs, les sites journalistiques (Euronews, France24, CNN…) ou encore bon nombre de pays (Palestine, Israël, Iran, Lebanon, Yemen, Espagne, Royaume-Uni, Turquie, Arménie, Singapour…) seraient les cibles principales.

L’infection prend son point de départ au sein d’un DLL modifié du WMI (Windows Management Instrumentation (wmiutils.dll) puis instillé au sein de C:\WINDOWS\system32\ime\IMEJP\IMJPUEXP.DLL. Un déchiffrement est opéré depuis Windows CryptoAPI, sous AES-256-CBC. Plusieurs interactions peuvent s’activer, alors, est-il noté, comme la ventilation multiple de la charge malveillante à différents endroits du système dont deux fichiers (AgentService.dat et KBDMaori.dat) se logeant vers C:\WINDOWS\system32\config\spp\Licenses\curv\config\tracing\. Pour le cas d’AgentService.dat, celui-ci est décodé et décompressé (zlib) à l’aide de IMJPUEXP.dll. Cela permet de passer à l’étape suivante : le chargement de KBDMaori.dat via une seconde clé de chiffrement AES. A son tour, ce fichier déchiffré (via OpenSSL) donne lieu à d’autres sous-ensembles : “les quatre premiers blobs chiffrés semblent être des DLL du redistribuable Microsoft Visual C++ : vcruntime140.dll, msvcp140.dll, ucrtbase.dll, concrt140.dll. Les blobs suivants font partie du logiciel espion, y compris des composants apparemment appelés Internals.dll et Help.dll. Les DLL Microsoft et les DLL de logiciels espions dans KBDMAORI.DAT sont légèrement obscurcies. L’annulation des modifications suivantes rend les fichiers DLL valides : Les deux premiers octets du fichier (MZ) ont été mis à zéro. Les 4 premiers octets de l’en-tête NT (\x50\x45\x00\x00) ont été mis à zéro. Les 2 premiers octets de l’en-tête facultatif (\x0b\x02) ont été mis à zéro. Les chaînes du répertoire d’importation ont été masquées par XOR, à l’aide d’une clé XOR de 48 octets codée en dur dans AgentService.dat“, précisé les chercheurs sécuritaires. Une fonctionnalité distante régulée sous command-and-control (serveur) permet d’incarner le logiciel-espion sous la forme d’un fichier JSON. Au final, KBDMaori.dat recèle des URLs (chiffrées) en base64 UTF-16.

Véritable couteau-suisse, le malware est compatible sur presque tout les navigateurs Web et couvre près de 764 noms de domaine à travers l’Europe, l’Asie, le Moyen-Orient et les Amérique du Nord, en notant que d’autres pays peuvent potentiellement être inclus : c’est le cas, entre-autres, de l’Indonésie, l’Hongrie, les Emirats Arabes Unis, Israël et l’Arabie Saoudite.

 

 

Colmatées courant de ce mois de Juillet 2021 au sein d’un bulletin sécuritaire, Microsoft confirme deux failles directement liées à cet exploit :

 

  • CVE-2021-31979 : vulnérabilité reposant sur le dépassement d’entier sous Windows NT. Quand l’erreur de calcul se produit, une allocation-mémoire se trouve alors corrompue (objet). Par ricochet (mémoire adjacente : buffer overflow), une élévation de privilège est exploitable en lecture-écriture au niveau du noyau ;

  • CVE-2021-33771 : vulnérabilité reposant sur la situation de compétition sous Windows NT. Quand le conflit apparaît (partage multi-tâches), la mémoire se retrouve, tout comme pour la faille précédente, saturée et vite submergée à tout les niveaux (adjacents). Une élévation de privilège est alors exploitable, également, en lecture-écriture au niveau du noyau.

 

Au 14 Juillet 2021, il est apporté en complément, enfin, que le Google Threat Analysis Group (TAG) apporte trois failles sécuritaires (CVE-2021-21166, CVE-2021-30551 et CVE-2021-33742) pointant vers des exploits 0-day dont 8 des sites Web évoqués par Google sont recensés dans les investigations relatives des chercheurs, concernant Candiru Ltd… A veiller !

 

 

 

 

Source : CitizenLab – 15 Juillet 2021 – Candiru Ltd (SOURGUM) : logiciel-espion (DevilsTongue) commercialisé par une entreprise basée en Israël pour espionner des groupes ou agence de presse ainsi que des ONGs.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.4a