Le Threat Analysis Group (TAG) de Google a découvert plusieurs chaînes d’exploitation utilisant les vulnérabilités zero-day et n-day d’Android, iOS et Chrome pour installer des logiciels espions commerciaux et des applications malveillantes sur les appareils des cibles.

Les attaquants ont ciblé les utilisateurs iOS et Android avec des chaînes d’exploitation distinctes dans le cadre d’une première campagne repérée en novembre 2022.

Ils ont utilisé des messages texte poussant des liens raccourcis bit.ly pour rediriger les victimes vers des sites Web d’expédition légitimes d’Italie, de Malaisie et du Kazakhstan après les avoir d’abord envoyés vers des pages déclenchant des exploits abusant d’une exécution de code à distance WebKit zero-day (CVE-2022-42856) et un bogue d’échappement de bac à sable (CVE-2021-30900).

Sur les appareils compromis, les acteurs de la menace ont déposé une charge utile leur permettant de suivre l’emplacement des victimes et d’installer des fichiers .IPA.

Dans cette campagne, une chaîne d’exploits Android a également été utilisée pour attaquer des appareils équipés de GPU ARM avec un contournement de bac à sable Chrome GPU Zero-day (CVE-2022-4135), un bogue d’escalade de privilèges ARM (CVE-2022-38181) et un Chrome bogue de confusion de type (CVE-2022-3723) avec une charge utile inconnue.

« Lorsque ARM a publié un correctif pour CVE-2022-38181, plusieurs fournisseurs, dont Pixel, Samsung, Xiaomi, Oppo et d’autres, n’ont pas intégré le correctif, ce qui a donné lieu à une situation où les attaquants ont pu exploiter librement le bogue pendant plusieurs mois,  » a déclaré Clément Lecigne de Google TAG.

Deuxième série d’attaques contre les utilisateurs de Samsung
Une deuxième campagne a été repérée en décembre 2022 après que les chercheurs de Google TAG ont découvert une chaîne d’exploitation ciblant les versions à jour du navigateur Internet Samsung utilisant plusieurs jours 0 et n jours.

Les cibles des Émirats arabes unis (EAU) ont été redirigées vers des pages d’exploitation identiques à celles créées par le fournisseur de logiciels espions mercenaires Variston pour son cadre d’exploitation Heliconia et ciblant une longue liste de failles, notamment :

  • CVE-2022-4262 – Vulnérabilité de confusion de type Chrome (jour zéro au moment de l’exploitation)
  • CVE-2022-3038 – Échappement du bac à sable chromé
  • CVE-2022-22706 – Vulnérabilité Mali GPU Kernel Driver fournissant un accès au système et corrigée en janvier 2022 (non résolue dans le micrologiciel Samsung au moment des attaques)
  • CVE-2023-0266 – Vulnérabilité de condition de concurrence du sous-système audio du noyau Linux qui donne un accès en lecture et en écriture au noyau (jour zéro au moment de l’exploitation)
  • La chaîne d’exploitation a également utilisé plusieurs fuites d’informations sur le noyau lors de l’exploitation de CVE-2022-22706 et CVE-2023-0266.

En fin de compte, la chaîne d’exploitation a déployé avec succès une suite de logiciels espions basée sur C++ pour Android, avec des bibliothèques conçues pour déchiffrer et extraire les données de nombreuses applications de chat et de navigateur.

Les deux campagnes étaient très ciblées et les attaquants « ont profité du grand intervalle de temps entre la publication du correctif et le moment où il a été entièrement déployé sur les appareils des utilisateurs finaux », a déclaré Lecigne.

« Ces campagnes peuvent également indiquer que des exploits et des techniques sont partagés entre les fournisseurs de surveillance, permettant la prolifération d’outils de piratage dangereux. »

La découverte de ces chaînes d’exploitation a été motivée par les découvertes partagées par le laboratoire de sécurité d’Amnesty International, qui a également publié des informations concernant les domaines et l’infrastructure utilisés dans les attaques.

« La campagne de logiciels espions récemment découverte est active depuis au moins 2020 et cible les appareils mobiles et de bureau, y compris les utilisateurs du système d’exploitation Android de Google », a ajouté Amnesty International dans un rapport séparé aujourd’hui.

« Les logiciels espions et les exploits zero-day ont été diffusés à partir d’un vaste réseau de plus de 1000 domaines malveillants, y compris des domaines usurpant des sites Web de médias dans plusieurs pays. »

Efforts de suivi des fournisseurs de logiciels espions
Cela fait partie d’un effort continu pour garder un œil sur le marché des logiciels espions mercenaires et suivre les vulnérabilités zero-day qu’ils exploitent pour installer leurs outils sur les appareils vulnérables des défenseurs des droits de l’homme et des militants politiques, des journalistes, des politiciens et d’autres hauts responsables. utilisateurs à risque dans le monde entier.

Google a déclaré en mai 2022 qu’il suivait activement plus de 30 fournisseurs avec des niveaux variables d’exposition publique et de sophistication connus pour vendre des capacités de surveillance ou des exploits aux acteurs de la menace parrainés par le gouvernement dans le monde entier.

En novembre 2022, les chercheurs de Google TAG ont révélé qu’ils avaient lié un cadre d’exploit connu sous le nom d’Heliconia et ciblant les vulnérabilités de Chrome, Firefox et Microsoft Defender à la société de logiciels espagnole Variston IT.

En juin 2022, certains fournisseurs d’accès Internet (FAI) ont aidé le fournisseur italien de logiciels espions RCS Labs à infecter les appareils des utilisateurs d’Android et d’iOS en Italie et au Kazakhstan avec des outils de surveillance commerciaux, selon Google.

Un mois plus tôt, une autre campagne de surveillance a été mise au jour par Google TAG, où des attaquants parrainés par l’État ont exploité cinq jours zéro pour installer le logiciel espion Predator développé par Cytrox.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *