Le Groupe d’analyse des menaces (TAG) de Google et sa filiale Mandiant ont déclaré avoir observé une augmentation significative du nombre de vulnérabilités zero-day exploitées lors d’attaques en 2023, dont beaucoup étaient liées à des fournisseurs de logiciels espions et à leurs clients.

L’année dernière, le nombre d’attaques a atteint 97 jours zéro exploités, ce qui représente une augmentation de plus de 50% par rapport aux 62 vulnérabilités de l’année précédente. Malgré cette hausse, le chiffre reste inférieur au pic de 106 bugs zero-day exploités en 2021.

Mandiant et TAG ont découvert collectivement 29 instances sur 97 vulnérabilités, dont 61 affectant les plates-formes et produits des utilisateurs finaux (y compris les appareils mobiles, les systèmes d’exploitation, les navigateurs et diverses autres applications).

Les 36 vulnérabilités restantes ont été utilisées pour cibler des technologies axées sur l’entreprise, telles que des logiciels et des périphériques de sécurité.

« Du côté de l’entreprise, nous voyons une plus grande variété de fournisseurs et de produits ciblés, et une augmentation des technologies spécifiques à l’entreprise exploitées », a averti Google [PDF].

« Au fil des ans, nous avons appris que plus vite nous découvrons et corrigeons les bogues des attaquants, plus la durée de vie de l’exploit est courte et plus il en coûte aux attaquants de maintenir leurs capacités. »

L’année dernière, des acteurs motivés financièrement ont utilisé dix vulnérabilités zero-day, soit moins que ce qui avait été observé en 2022. Parmi celles-ci, le groupe de menaces FIN11 a exploité trois vulnérabilités zero-day distinctes, tandis qu’au moins quatre groupes de ransomwares ont exploité quatre autres vulnérabilités zero-day.

La Chine était liée aux attaques les plus soutenues par le gouvernement, les groupes de cyberespionnage chinois exploitant 12 vulnérabilités zero-day en 2023, une augmentation notable par rapport à sept en 2022 et une tendance observée ces dernières années.

Zéro jour exploité dans les attaques depuis 2019

Les logiciels espions à l’origine de 50% de tous les jours zéro exploités en 2023
Cependant, en 2023, les fournisseurs commerciaux de surveillance (CSV) étaient à l’origine de la plupart des exploits zero-day ciblant les produits Google et les appareils de l’écosystème Android.

Ils étaient responsables de 75% des exploits zero-day connus ciblant ces plates-formes (13 vulnérabilités sur 17). De plus, ces fournisseurs étaient liés à 48 exploits zero-day exploités lors d’attaques l’année dernière, soit environ 50% de toutes ces failles utilisées dans la nature en 2023.

Enfin, sur les 37 vulnérabilités zero-day dans les navigateurs et les appareils mobiles exploitées en 2023, Google a lié plus de 60% à des CSV qui vendent des fonctionnalités de logiciels espions aux clients du gouvernement.

« En fin de compte, les CSV et leurs clients gouvernementaux utilisant ces capacités ont effectué la moitié de l’exploitation zero-day attribuée par les acteurs gouvernementaux en 2023 (24 vulnérabilités sur 48) », a déclaré Google.

« Les entreprises du secteur privé sont impliquées dans la découverte et la vente d’exploits depuis de nombreuses années, mais nous avons observé une augmentation notable de l’exploitation par ces acteurs au cours des dernières années. »

En février, Google a révélé que la plupart des vulnérabilités zero-day découvertes par son groupe de BALISES l’année dernière remontaient à des fabricants de logiciels espions mercenaires.

La société a également associé les fournisseurs de logiciels espions à 35 des 72 exploits connus du jour zéro utilisés dans la nature au cours de la dernière décennie.

Certains fournisseurs de logiciels espions mis en évidence dans le rapport de février de Google incluent:

  • Cy4Gate et RC SLab: fabricant italien des logiciels espions Epeius et Hermit pour Android et iOS.
  • Intellexa: Alliance d’entreprises de logiciels espions dirigée par Tal Dilian qui combine des technologies telles que les logiciels espions Citrix « Predator » et les outils d’interception WiFi de WiSpear.
  • Egg Group: CSV italien de portée internationale connu pour Sky go free malware et Virus spyware ciblant les utilisateurs mobiles via des chaînes d’exploitation.
  • NSO Group: société israélienne à l’origine du logiciel espion Pegasus et d’autres outils d’espionnage commercial.
  • Varistor: fabricant espagnol de logiciels espions lié au framework Heliconia et connu pour travailler avec d’autres fournisseurs de surveillance sur des exploits zero-day.

Pour se défendre contre les attaques zero-day, Google a conseillé aux utilisateurs à haut risque d’activer l’extension de marquage de la mémoire (MTE) sur les appareils Pixel 8 et le mode de verrouillage sur les smartphones iPhone.

La société a également recommandé aux utilisateurs à haut risque de Chrome d’activer le « mode HTTPS d’abord » et de désactiver l’optimiseur v8 pour se débarrasser des vulnérabilités de sécurité potentielles afin d’éliminer les vulnérabilités de sécurité potentielles introduites par la compilation JIT (juste à temps) qui pourraient permettre aux attaquants de manipuler des données ou injecter du code malveillant.

De plus, Google a suggéré que les utilisateurs à haut risque s’inscrivent à son Programme de protection avancée( APP), qui offre une sécurité de compte améliorée et des défenses intégrées conçues pour se protéger contre les attaquants soutenus par l’État.

L’Office of Foreign Assets Control (OFAC) du département du Trésor a sanctionné les opérateurs de logiciels espions prédateurs Cytrox, Intellexa, Thalestris et le fondateur israélien du Consortium Intellexa, Tal Jonathan Dilian, plus tôt ce mois-ci.

En février, le Département d’État américain a également annoncé une nouvelle politique de restriction des visas ciblant les personnes liées à des logiciels espions commerciaux, qui leur interdira d’entrer aux États-Unis.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *