Microsoft dit avoir attrapé un groupe autrichien de logiciels espions utilisant des exploits Windows 0-day

Les équipes de sécurité et de renseignement sur les menaces de Microsoft auraient surpris une société autrichienne vendant des logiciels espions basés sur des exploits Windows jusqu’alors inconnus.

Les nouveaux détails ont été publiés mercredi dans un article de blog technique du Threat Intelligence Center (MSTIC) de Microsoft, publié à l’occasion du témoignage écrit de l’éditeur de logiciels lors d’une audience du House Intelligence Committee sur les logiciels espions commerciaux et la cybersurveillance.

Le développeur de logiciels espions, officiellement appelé DSIRF, mais que Microsoft suit sous le nom de code KNOTWEED, a publié un logiciel espion connu sous le nom de Subzero qui a été utilisé pour attaquer des cabinets d’avocats, des banques et des cabinets de conseil au Royaume-Uni, en Autriche et au Panama, a déclaré Microsoft. L’analyse de MSTIC a révélé que les exploits utilisés par DSIRF pour compromettre les systèmes comprenaient un exploit d’escalade de privilèges de type « zero-day » pour Windows et une attaque d’Adobe Reader sur l’exécution de code à distance. Microsoft indique que l’exploit utilisé par DSIRF a maintenant été corrigé dans une mise à jour de sécurité.

DSIRF prétend aider les entreprises multinationales à effectuer des évaluations des risques et à recueillir des renseignements commerciaux, mais Microsoft (et d’autres médias locaux) ont lié l’entreprise à la vente de logiciels espions utilisés pour la surveillance non autorisée. Selon le billet de blog de Microsoft :

MSTIC a trouvé plusieurs liens entre DSIRF et les exploits et logiciels malveillants utilisés dans ces attaques. Il s’agit notamment de l’infrastructure de commande et de contrôle utilisée par le malware qui se connecte directement à DSIRF, un compte GitHub associé à DSIRF utilisé dans une seule attaque, un certificat de signature de code délivré à DSIRF qui est utilisé pour créer un exploit, et d’autres articles d’actualité open source pour attribuer Subzero à DSIRF.

Les nouvelles informations sur le suivi et l’atténuation par Microsoft des exploits de DSIRF/KNOTWEED ont été publiées en même temps que les témoignages écrits déposés pour l’audience sur “Combating the Threats to U.S. National Security Through the Spread of Foreign Commercial Spyware” qui s’est tenue le 27 juillet.

Le témoignage écrit de Microsoft décrit une industrie des logiciels espions commerciaux largement non réglementée où les acteurs privés étaient libres de conclure des contrats avec des régimes répressifs du monde entier.

“Il y a plus de dix ans, nous avons commencé à voir des entreprises du secteur privé entrer dans cet espace de surveillance sophistiqué alors que des nations autocratiques et des gouvernements plus petits recherchaient les capacités de leurs homologues plus grands et mieux équipés”, indique le témoignage.

« Dans certains cas, les entreprises ont développé des capacités que les gouvernements pourraient utiliser conformément à l’État de droit et aux valeurs démocratiques. Mais dans d’autres cas, les entreprises ont commencé à construire et à vendre la surveillance en tant que service… à des gouvernements autoritaires ou à des gouvernements qui violaient l’état de droit et les normes des droits de l’homme.

Pour lutter contre la menace à la liberté d’expression et aux droits de l’homme, Microsoft préconise que les États-Unis contribuent à faire avancer le débat sur les logiciels espions en tant que “cyberarme”, qui pourraient alors être soumis à des normes et réglementations mondiales comme d’autres types d’armes.

Au cours de la même audience, la commission du renseignement a également reçu le témoignage de Carine Kanimba, fille de l’activiste rwandais emprisonné Paul Rusesabagina, qui a été crédité d’avoir sauvé jusqu’à 1 200 Rwandais pendant le génocide de 1994. Tout en plaidant pour la libération de son père, les enquêteurs ont cru que le téléphone de Kanimba était infecté par le logiciel espion Pegasus du groupe NSO.

“À moins qu’il n’y ait des conséquences pour les pays et leurs facilitateurs qui abusent de cette technologie, aucun d’entre nous n’est en sécurité”, a déclaré Kanimba.

Le groupe NSO a également été mentionné par l’enquêteur principal de Citizen Lab, John Scott-Railton, un autre témoin expert qui témoigne devant le comité. Scott-Railton a décrit un paysage mondial en mutation dans lequel l’accès aux techniques de surveillance numérique les plus avancées et les plus répandues – autrefois disponibles uniquement pour une poignée d’États-nations – s’est beaucoup plus répandu avec l’implication de “sociétés de location de logiciels espions”.

La plus grande puissance de ces outils signifie que même les responsables américains ont été ciblés plus souvent, comme cela se serait produit avec neuf employés du Département d’État travaillant en Ouganda dont les iPhones ont été piratés avec Pegasus de NSO.

“De toute évidence, le gouvernement des États-Unis n’est pas à l’abri de la menace des logiciels espions mercenaires”, a déclaré Scott-Railton.

Leave a Reply

Your email address will not be published.