Les nouveaux jours zéro d’Apple : ciblage d’un ancien député égyptien ?

« Le ciblage a eu lieu après qu’Eltantawy a publiquement déclaré son intention de se présenter aux élections égyptiennes de 2024 », a déclaré le Citizen Lab, attribuant l’attaque avec une grande confiance au gouvernement égyptien en raison du fait qu’il est un client connu de l’outil d’espionnage commercial.

Selon une enquête conjointe menée par le laboratoire interdisciplinaire canadien et le Threat Analysis Group (TAG) de Google, l’outil de surveillance mercenaire aurait été diffusé via des liens envoyés par SMS et WhatsApp.

« En août et septembre 2023, la connexion mobile Vodafone Egypt d’Eltantawy a été sélectionnée de manière persistante pour être ciblée via une injection réseau ; lorsque Eltantawy visitait certains sites web n’utilisant pas HTTPS, un dispositif installé à la frontière du réseau de Vodafone Egypt le redirigeait automatiquement vers un site web malveillant pour infecter son téléphone avec le logiciel espion Predator de Cytrox », précisent les chercheurs de Citizen Lab.

La chaîne d’exploitation s’appuie sur un ensemble de trois vulnérabilités – CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993 – qui pourraient permettre à un acteur malveillant de contourner la validation des certificats, d’élever ses privilèges et d’exécuter du code à distance sur les appareils ciblés lors du traitement d’un contenu Web spécialement conçu.

Predator, fabriqué par une société appelée Cytrox, est analogue à Pegasus de NSO Group, permettant à ses clients de surveiller des cibles d’intérêt et de récolter des données sensibles à partir d’appareils compromis. Faisant partie d’un consortium de fournisseurs de logiciels espions appelé Intellexa Alliance, il a été placé sur la liste noire du gouvernement américain en juillet 2023 pour avoir « permis des campagnes de répression et d’autres violations des droits de l’homme ».

L’exploit, hébergé sur un domaine nommé sec-flare[.]com, aurait été réalisé après qu’Eltantawy ait été redirigé vers un site web nommé c.betly[.]me au moyen d’une attaque sophistiquée par injection de réseau utilisant la boîte intermédiaire PacketLogic de Sandvine située sur une liaison entre Telecom Egypt et Vodafone Egypt.

« Le corps du site Web de destination comprenait deux iframes, ID ‘if1’ qui contenait un contenu d’appât apparemment bénin (dans ce cas un lien vers un fichier APK ne contenant pas de logiciel espion) et ID ‘if2’ qui était un iframe invisible contenant un lien d’infection Predator hébergé sur sec-flare[.]com », a déclaré le Citizen Lab.

Maddie Stone, chercheuse chez Google TAG, a décrit ce cas comme une attaque de type « adversary-in-the-middle » (AitM) qui profite d’une visite sur un site web utilisant HTTP (par opposition à HTTPS) pour intercepter et forcer la victime à visiter un autre site exploité par l’acteur de la menace.

« Dans le cas de cette campagne, si la cible se rend sur un site ‘http’, les attaquants injectent du trafic pour la rediriger silencieusement vers le site Intellexa, c. betly [ . ] me », a expliqué M. Stone. Si l’utilisateur attendait l’utilisateur ciblé, le site redirigeait l’utilisateur ciblé vers le serveur d’exploitation, sec – flare [ . ] com . »

Eltantawy a reçu trois messages SMS en septembre 2021 , mai 2023 , septembre 2023 qui se sont fait passer pour des alertes de sécurité de WhatsApp exhortant Eltantawy à cliquer sur le lien mettre fin à une session de connexion suspecte provenant d’un prétendu appareil Windows .

Bien que ces liens ne correspondent pas à l’empreinte digitale du domaine susmentionné, l’enquête a révélé que le logiciel espion Predator a été installé sur l’appareil environ 2 minutes et 30 secondes après qu’Eltantawy ait lu le message envoyé en septembre 2021. Google TAG a déclaré avoir détecté une chaîne d’exploitation qui a utilisé une faille d’exécution de code à distance dans le navigateur Web Chrome (CVE-2023-4762) pour diffuser Predator sur les appareils Android en utilisant deux méthodes : l’injection AitM et via des liens ponctuels envoyés directement à la cible.

CVE-2023-4762, une vulnérabilité de type confusion dans le moteur V8, a été signalée anonymement le 16 août 2023 et corrigée par Google le 5 septembre 2023, bien que le géant de l’internet estime que Cytrox/Intellexa pourrait avoir utilisé cette vulnérabilité comme un zero-day.

Selon une brève description sur la base de données nationale des vulnérabilités (NVD) du NIST, CVE-2023-4762 concerne une « confusion de type dans V8 dans Google Chrome avant 116.0.5845.179 [qui] permet à un attaquant distant d’exécuter un code arbitraire par le biais d’une page HTML conçue à cet effet ».

Les dernières découvertes, outre qu’elles mettent en évidence l’utilisation abusive d’outils de surveillance pour cibler la société civile, soulignent les points faibles de l’écosystème des télécommunications qui pourraient être exploités pour intercepter le trafic réseau et injecter des logiciels malveillants dans les appareils des cibles.

Bien que de grands progrès aient été réalisés ces dernières années pour « crypter le web », les utilisateurs visitent encore occasionnellement des sites web sans HTTPS, et une seule visite de site web sans HTTPS peut entraîner l’infection par un logiciel espion », a déclaré le Citizen Lab.

Il est recommandé aux utilisateurs qui sont exposés à des menaces de logiciels espions en raison de « qui ils sont ou de ce qu’ils font » de maintenir leurs appareils à jour et d’activer le mode verrouillage sur les iPhones, les iPads et les Macs afin d’éviter de telles attaques.