Vous avez aimé Pegasus, « le plus grand scandale d’espionnage depuis l’affaire Snowden » ? Alors il ya de fortes chances que vous adoriez Reign. Tout comme son illustre aîné, créé par la société israélienne NSO Group, Reign est un malware destiné à espionner les iPhone, sans intervention de l’utilisateur, grace à une approche dite zero click. Bienvenue dans un monde où des sociétés de cyber-intelligence created des logiciels de pointe pour attaquer et compromettre vos smartphones afin de vous espionner…
Reign, a spyware in the pas de Pegasus
Pegasus et Reign ont beaucoup en commun. A commencer par le fait qu’ils sont le fruit du travail d’une petite entreprise israélienne, en l’occurrence QuaDream, spécialisée dans la conception de spyware. Comme NSO Group, il s’agit donc d’un PSOA, for Private Sector Offensive Actor, ou acteur offensive du sector privé. Une entreprise, qui a su rester discrète en utilisant une société chypriote pour vendre ses produits, afin de ne pas être en contact direct avec ses clients. Toutefois, malgré ses efforts, elle a déjà fait parler d’elle à deux reprises au cours de l’année passée.
- En February 2022, quand Reuters a dévoilé qu’elle exploitait des failles zero day etc zero click for comparison of the iPhone, in the manner of the NSO Group and his Pegasus.
- Et en December 2022, quand Meta la citait dans son rapport Threat Report on the Surveillance-for-Hire Industry (PDF, in English)en indiquant avoir trouvé des traces d’activité de cette société sur ses réseaux – 250 comptes Facebook et Instagram, notamment, qui menaient des tentatives d’extraction de données sur Android et iOS.
Si QuaDream est discrète, elle n’est pas née de rien. Elle a été fondée par d’anciens employés du… NSO Group, comme le précisait d’ailleurs le rapport de Meta en fin d’année dernière. Il n’y a donc pas de gross surprise ici. L’entreprise entretient également des liens historiques avec an autre structure qui vend des outils de surveillance, Verint, ainsi qu’avec les services secrets israéliens – ce qui en soi n’est pas a surprise, vu l’omniprésence de l’Unité 8200 dans le cursus de all experts en cybersécurité israéliens.
Comme Pegasus, Reign est vendu à des acteurs étatiques ou des forces de l’ordre et visent essentialement les journalistes, les politiciens et les activistes. Une fois encore, il ne s’agit pas d’un espionnage de masse, mais d’une violation flagrante des libertés essentiales. C’est en tout cas ce que révèlent Microsoft, in a long post On his blog said about cybersecurity, and the Citizen Lab of the University of Toronto, it was said about the manoeuvre for denouncing the Pegasus affair.
Les teams de Microsoft Threat Intelligence ont donc identifié ce malware, nom de code KingsPawn, lié à la société QuaDream – nom de code DEV-0196 pour les chercheurs du géant de Redmond. Épaulé par le Citizen Lab, Microsoft a identifié au moins cinq victimses dans le Monde, réparties en Amérique du Nord, en Asia centrale, en Asia du Sud-Est, en Europe et au Moyen-Orient. Parmi les personnes ciblees, on trouve pour l’instant des journalistes, des opposants politiques et des membres d’ONG. Le Citizen Lab is guarded by thunder plus d’information on the people seen.
Comment on marche ?
The analysis technique de Microsoft permet de remonter à une faille d’iOS 14, meme si une partie du code, d’apres les experts du géant américain, pourrait également être utilisée sur Android. Quoi qu’il en soit, la faille en question a été exploitée en tant que faille zero day etc zero click between the versions of iOS 14.4 and 14.4.2, « and possiblement of other versions », precise le communiqué des chercheurs de l’Université de Toronto. Le long post de Microsoft se montre meme plus affirmatif sur ce point : « Puisque le malware cible iOS 14, certaines des techniques utilisées peuvent ne plus fonctionner ou ne plus être pertinentes sur les versions plus récentes d’iOS. Required, it is très probable que DEV-0196 (after QuaDream, NDLR) ait mis à jour son malware ».
Ce trou de sécurité, qui a été baptisé ENDOFDAYS, par les universitaires canadiens, repose on a failure of the system d’invitation du calendrier d’iCloud. L’operator you spywarequi peut donc être un Etat, par example, un service de police, de contre-espionnage, etc., envoie an invitation à la cible, ce qui permet, sans intervention, l’execution de la charge et la mise en place du malware. Pour faire les choses bien, le malware efface ensuite toute trace des «invitations» en provenance de « the organizer » et reçues dans les deux dernières années.
Microsoft rents a little plus in the details of the KingsPawn function, and that is done in advance of the multiple components that are included: a surveillance agent and the agent malware à proper parler.
La première partie permet notamment de réduire l’empreinte du logiciel. Cela lui évite ainsi d’être facilement detected par des outils specialisés mais lui permet aussi de brouiller les pistes en cas d’enquete. Microsoft donne notamment en example sa capacité à surveiller les fichiers generated by the plantations provoqués par sa presence et à les suppressors. Same with des process qui s’exécuteraient en réaction de son execution et seraient interrompus.
La seconde partie, l’agent principal, est codee en Go, a language de programming portable facilement sur de nombreuses plates-formes. Il est capable :
- From the information on the appareil, tell the version of the iOS, the battery status, etc.
- Obtenir les information sur le réseau Wi-Fi (SSID, mode avion, etc.)
- De récupérer les informations sur le réseau cellulaire (operator, données de la carte SIM, numero de téléphone, etc.)
- De hercher et récupérer des fichiers
- D’utiliser la camera de l’appareil en tâche de fond
- De localiser l’appareil
- De surveiller les appels téléphoniques
- D’acceder aux mots de passe stockés dans iOS
- De general un mot de clé unique base sur le temps (TOTP) pour iCloud
La list est longue et impressionnante. Bien entendu, quand il use the camera ou le micro de l’iPhone, le malware court-circuite les alertes habituelles qui demandent à l’utilisateur de donner son aval à une application. Pour cela, il corrompt notamment le binaire du demon TCC (pour Transparency, Consent, and Control), charge de surveiller l’utilisation du micro et de la camera, et d’afficher la notification d’alerte en conséquence.
De meme, KingsPawn va circonvenir different outils de verification de l’intégrité des fichiers exécutés, tout en s’échappant également au bac à sable dans lequel il tourne.
Le Citizen Lab and Microsoft scanné Internet à la recherche de servers QuaDream et ont été capable de localiser des systèmes opérationnels dans different pays : la Bulgaria, la République tchèque, la Hongrie, le Ghana, Israël, le Mexique, la Roumanie, Singapore, les emirates arabes unis et enfin l’Ouzbékistan. Mais d’autres pays, comme le Maroc ou l’Arabie saoudite, seraient également clients de QuaDream. Toutefois, en règle générale, precise Microsoft, DEV-0196 a recours à des registraires de domaines et des hébergements dans le cloud peu coûteux et qui acceptent les payments en cryptomonnaie.
Le Citizen Lab a identifié des domaines fortement liés à des pays où se trouvent des victims du spyware. Même si Microsoft précise bien que la présence d’une cible dans un pays ne signifie pas pour autant que le pays hôte est à l’origine de l’attaque.
Et after?
Microsoft et le Citizen Lab laissez-fairement entender que le travail d’enquete n’est pas fini et que la chasse au spyware de QuaDream est plus ouverte que jamais. D’ailleurs, le Citizen Lab parle d’un “Ectoplasmic fact” (“Ectoplasm Factor”, en anglais), une sorte de trace laissée par Reign, qui permettrait de le repérer. Les analystes en cybersécurité canadiens se sont toutefois bien gardés d’en dire davantage, car la partie n’est pas finie.
To us ces experts recommend toutefois aux utilisateurs qui pourraient être visés (et on peut étendre ces conseils à tout le monde) de suivre les “Precepts for cyber hygiene from the base”. A savoir, notamment, toujours garder son appareil à jour, surtout quand les mises à jour intègrent des correctifs de sécurité, et, bien évidemment, éviter de cliquer sur des liens provenant de sources non identifiées, inattendues ou suspectes.
Les deux rapports listent également des indicateurs de compromission, qu’il s’agisse de fichiers presents sur l’appareil et ajoutés par le malwareou de noms de domaine associés à l’exécution et la présence de DEV-0196.
Par ailleurs, Microsoft recommends aux persons qui se sentent potentialement visées par ce genre d’attaques d’activer le mode Isolement, d’iOS. Pour memoire, il a été introduced in July dernier et est destiné à réduire au maximum la surface d’attaque offerte aux logiciels espions sur iOS, iPadOS et macOS. Mais il n’est pas sûr que cela ait été suffisant pour se prémunir contre Reign, aka KingsPawn.
Nous avons contacté Apple pour know the position du géant California vis-à-vis de ces révélations, qui lui ont été soumises en amont, à en croire le rapport du Citizen Lab. Nous mettrons à jour cet article dès que nous aurons reçu une réponse. Il est toutefois fort probable que le géant de Cupertino ne reste pas sans reagir. In November 2021, in WhatsApp, Apple attaches NSO Group, which is now placed on a black list of stats-Unis. Le géant américain indiquait également l’ouverture d’un fonds de dix millions de dollars pour couvrir les éventuels frais et dommages liés à une action en justice contre la société israélienne. C’était à l’époque autant une question d’image que de responsabilité du géant américain vis-à-vis de tous ses utilisateurs. Sur ce point, l’arrivée de Reign a un curieux goût de déjà-vu.
The CitizenLab
