Le TAG de Google identifie deux campagnes d’espionnage ciblé
![Image Un site du [gouvernement français] visé par des nationalistes turcs](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
![Image Le groupe pro-russe APT29 cible des [élus allemands du CDU]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-group-people-2024-885x690.jpg)
Deux sociétés privées d’espionnage ont profité de plusieurs faille zero-day pour installer des spywares sur des smartphones
Le Threat Analysis Group (TAG) de Google a alerté, le 29 mars 2023, sur l’utilisation de failles zero-day par des sociétés privées d’espionnage. La note de blog s’appuie sur l’analyse de deux campagnes ciblées de diffusion de logiciels espions.
En novembre 2022, le TAG a ainsi identifié des chaînes d’exploits affectant Android et iOS. Elles ont été transmises par SMS, via des liens cliquables, à des cibles en Italie, en Malaisie et au Kazakhstan. Les liens dirigeaient vers une page permettant l’installation de l’exploit, puis redirigeaient vers un site légitime populaire du pays cible.
Les attaquants exploitaient trois vulnérabilités pour iOS et trois pour Android, dont à chaque fois une zero-day et deux n-day. Elles permettaient d’installer un spyware sur les terminaux mobiles visés. Le TAG n’indique pas le nom de la société responsable de cette campagne.
La seconde campagne, identifiée en décembre 2022, utilise quant à elle des outils développés par la petite société d’espionnage espagnole Variston. La chaîne d’exploits était composée de plusieurs vulnérabilités, dont deux zero-day : elle visait la dernière version du navigateur mobile de Samsung.
La campagne a ciblé des smartphones situés aux Émirats arabes unis. Elle s’appuyait sur un lien envoyé par SMS, déclenchant, en cas de clic, l’installation d’un spyware. Selon le TAG, si Samsung avait appliqué tous les correctifs aux vulnérabilités connues au moment de l’attaque, les assaillants auraient alors eu besoin d’autres failles pour installer leur logiciel espion.
« L’acteur qui utilise la chaîne d’exploits pour cibler les utilisateurs des EAU peut être un client ou un partenaire de Variston, ou travailler en étroite collaboration avec le fournisseur de logiciels espions », indique le chercheur du TAG Clément Lecigne.
Ces deux campagnes montrent « à quel point les sociétés commerciales de surveillance disposent désormais de l’expertise technique pour développer et opérer des exploits historiquement utilisés uniquement par des gouvernements », précise Clément Lecigne. « Même les plus petits fournisseurs de surveillance ont accès à des failles zero-day », ajoute-t-il.
https://blog.google/threat-analysis-group/spyware-vendors-use-0-days-and-n-days-against-popular-platforms/