Posté le décembre 20, 2021 à 11:06
GOOGLE MET EN GARDE CONTRE LES TECHNIQUES DU NSO GROUP SIMILAIRES À CELLES DES ESPIONS D’ÉLITE DES ÉTATS-NATIONS
Le NSO Group est l’un des groupes de hackers les plus avancés au monde. Le NSO Group est un développeur israélien de logiciels espions qui a étonné le milieu de la cybersécurité mondiale en raison de son mode d’opération furtif.
Le groupe utilise des outils de piratage agressifs mais efficaces, ciblant à la fois les appareils Android et iOS. Pendant des années, les chercheurs en cybersécurité ont vu ce groupe développer sa base de produits qui a depuis été utilisée pour cibler des entreprises et des organismes gouvernementaux.
Utilisation abusive des logiciels espions de NSO Group
Les logiciels espions fabriqués par NSO Group ont été utilisés à mauvais escient dans le monde entier. Suite à cela, l’entreprise a dû faire face à des sanctions, et plusieurs procès très médiatisés ont été intentés contre elle. L’avenir du groupe est également incertain, compte tenu de l’ampleur des dommages que ses produits ont causés au fil du temps.
Une analyse récente du logiciel malveillant s’est concentrée sur l’exploit ForcedEntry iOS. Cet exploit a été utilisé cette année pour cibler un large éventail de personnes de renom, notamment des journalistes, des militants et des dissidents. Ces informations récentes s’accompagnent de la révélation d’un autre exploit qui représente un danger pour les entreprises et les gouvernements.
La fabrication de ce logiciel espion et sa distribution ont révélé la triste vérité selon laquelle des entreprises privées peuvent être utilisées pour fabriquer des outils de piratage. De plus, les produits avancés fabriqués par le NSO Group sont développés en utilisant un haut niveau d’expertise technique. Le logiciel présente également un haut niveau de sophistication que l’on ne trouve que dans certaines des institutions gouvernementales les plus élitistes.
L’analyse récente a été effectuée par le groupe Project Zero de Google chargé de la recherche de bugs. Le groupe a analysé ForcedEntry en utilisant un échantillon fourni par les chercheurs du Citizen Lab de l’Université de Toronto. Le groupe a publié ses recherches de manière exhaustive en 2021 et s’est concentré sur les attaques ciblées réalisées à l’aide de l’exploit.
Une autre analyse des anomalies poursuivies par ce groupe a été menée par des chercheurs d’Amnesty International. La recherche parlait de l’utilisation de l’outil de piratage des logiciels espions contre les appareils iOS pour attaquer certaines personnes.
Le logiciel malveillant du NSO Group parvient à contourner des restrictions
L’une des caractéristiques uniques de ce logiciel malveillant est qu’il ne nécessite aucun clic. Il mène une attaque sans nécessiter aucune interaction de la part de l’utilisateur. Ainsi, un utilisateur peut facilement déployer le logiciel malveillant sur ses appareils sans cliquer sur un lien ou accorder une autorisation quelconque.
Les recherches menées dans le cadre du Project Zero ont permis de découvrir que ForcedEntry a utilisé un large éventail de tactiques pour cibler la fonction iMessage des appareils Apple. Les tactiques utilisées par le logiciel espion ont permis de contourner les mesures de sécurité installées par Apple pour empêcher de telles attaques.
Ces dernières années, Apple a ajouté des couches de protection supplémentaires, mais cela n’a pas empêché le logiciel malveillant d’atteindre ces appareils. NSO Group a déjà développé un logiciel malveillant qui cherche à prendre le contrôle de ces appareils et à contourner les restrictions pour installer Pegasus. Pegasus est le logiciel malveillant phare de ce projet, et il a été attribué à une série d’attaques.
Après la détection du logiciel malveillant sur les appareils iOS, Apple a publié une série de correctifs pour protéger les appareils. Les correctifs ont été publiés en septembre et en octobre dans le but principal de limiter une attaque ForcedEntry sur les appareils Apple. Les correctifs ont été utilisés pour renforcer la sécurité d’iMessage et s’assurer qu’il est protégé contre d’autres attaques à l’avenir.
Les chercheurs de Project Zero indiquent que leur analyse montre que ForcedEntry reste l’un des principaux exploits du marché et qu’il s’agit de « l’un des exploits les plus sophistiqués sur le plan technique que nous ayons jamais vus. »
Les chercheurs affirment également que les tactiques utilisées par NSO Group montrent que l’entreprise a pris de l’avance en termes d’innovation et de raffinement. Le niveau d’exploitation est de nature similaire à celui utilisé par un petit groupe de hackers d’États-nations.
Ian Beer et Samuel Grob, deux des chercheurs de Project Zero, ont déclaré : « Nous n’avons jamais vu un exploit dans la nature développer une capacité équivalente à partir d’un point de départ aussi limité, aucune interaction possible avec le serveur de l’attaquant, aucun JavaScript ou moteur de script similaire chargé, etc. ».
Les deux hommes ont ajouté que les entreprises technologiques devaient tenir compte du fait que les hackers utilisaient des techniques avancées. Ils ont laissé entendre que des mesures de sécurité régulières devaient être mises en place. « Nombreux sont ceux, au sein de la communauté de la sécurité, qui considèrent que ce type d’exploitation – l’exécution de code à distance en une seule fois – est un problème résolu. Ils pensent que le poids des mesures d’atténuation fournies par les appareils mobiles est trop important pour qu’un exploit fiable à un seul coup puisse être construit. Cela prouve que non seulement c’est possible, mais que c’est utilisé dans la nature de manière fiable contre des personnes. »
