• Veille
Publié le 30 juillet 2021

DevilsTongue, l'espionnage de masse plus sophistiqué que jamais

Introduction

Les armes "cyber" se développent de plus en plus dans l'optique d'espionner des personnes spécifiques (hommes politiques, journalistes, etc.). Un exemple de plus qui est apparu récemment est DevilsTongue. Ce nom désigne un programme-espion développé par un groupe israélien. Son but était de surveiller des personnalités politiques, journalistes, militants et ONG.

Le logiciel espion a ciblé plus de 100 personnes à travers le monde d'après des experts en sécurité de chez Citizen Lab et Microsoft.

C'est dans ce sens que Microsoft a annoncé avoir apporté les correctifs nécessaires pour corriger les failles de sécurité au sein de Windows exploitées par DevilsTongue. D’après la recherche commune entre Citizen Lab et Microsoft, ce groupe israélien serait en réalité une entreprise (Candiru, également connu sous le nom de sourgum) dont l'objectif est justement de vendre des logiciels d'espionnage potentiellement à des gouvernements ciblant tout équipement informatique (téléphones, ordinateurs, tablettes, etc.).

Clients et cibles

Les analyses des experts montrent que les clients principaux proviendraient des pays suivants : Émirats arabes unis, Singapour, Qatar et l'Arabie Saoudite.

Les principales cibles auraient été les Nations Unies, l'OMS, Amnesty International, les sites d'informations tels que France24, CNN, Euronews ou encore directement certains pays (Iran, Israël, Espagne, Royaume-Uni, Turquie et Singapour).

Fonctionnalités et fonctionnement général

Toujours d'après les chercheurs en sécurité, ils ont pu identifier les actions et les fonctionnalités du programme malveillant. Parmi celles-ci, nous pouvons citer notamment :

  • L’extraction d'informations depuis les applications Gmail, Yahoo, Facebook, Viber, Skype et Telegram
  • L’extraction d'identifiants de connexion et sessions présents dans les navigateurs web les plus utilisés
  • L’execution de commandes WMI
  • La lecture du registre système

Le logiciel d’espionnage a été développé en C/C++ et comporte des mécanismes complexes de persistance et de camouflage. À titre d'exemple, les principales fonctionnalités sont présentes dans des fichiers .dll chiffrés sur le disque dur de la victime. Celles-ci sont ensuite déchiffrées en mémoire volatile (RAM) uniquement. Pour la persistance, seul le processus bien connu de Windows svchost.exe est en mesure de les charger.

Figure 1 : Analayse du logiciel malveillant Devilstongue (reverse engineering)

La première étape de la chaîne de compromission est l'exploitation de vulnérabilités au sein des navigateurs web (deux 0-days sur Google Chrome et une sur Internet Explorer notamment) par l'envoi d'une URL (partagée par des services de messagerie classiques). Ensuite, des vulnérabilités inconnues jusqu'alors sont exploitées pour effectuer une élévation de privilèges (noyau Windows). Plus précisément, les opérateurs de DevilsTongue essayaient d'attirer les cibles sur des sites internet malveillants (il y aurait environ 750 noms de domaine destinés à disperser le logiciel malveillant) ayant l'apparence d'entités connues et réelles pouvant attirer les cibles (Black Lives Matter ou des chaînes de médias notamment). Une fois toutes ces étapes passées avec succès, les clients du logiciel espion étaient en mesure de prendre le contrôle de la machine (et devenir administrateur de celle-ci avec tous les droits associés) pour espionner les différentes activités des victimes.

Correction des vulnérabilités

Microsoft a corrigé les vulnérabilités utilisées par Candiru impactant le système Windows. Les vulnérabilités sont identifiées en tant que CVE-2021-31979 et CVE-2021-33771. Par la suite, trois autres vulnérabilités référencées comme CVE-2021-21166 (Chrome), CVE-2021-30551 (Chrome) et CVE-2021-33742 (Internet Explorer) ont également été exploitées par ce logiciel malveillant. Ces vulnérabilités sont essentiellement des vulnérabilités exploitant des erreurs d’implémentation de bas niveau (dépassements d'entier, race-conditions, voire échappement de la sandbox JavaScript).

Ce logiciel espion a été implémenté de façon à éviter la majorité des mesures de détection de Windows (grande furtivité). Au vu de sa complexité, il serait évalué à plusieurs millions de dollars.

Article rédigé par
EvaBssi Team