La technologie vendue par la société israélienne de logiciels espions Candiru semble avoir été utilisée pour une campagne de cyberattaques ciblant des sites Web très médiatisés du Moyen-Orient, a déclaré mardi une analyse de la société de cybersécurité Eset.
« Nous pensons que c’est un client de Candiru qui a mené ces attaques », a déclaré à l’AFP l’enquêteur d’Eset, Matthieu Faou.
Eset n’a pas nommé le client, mais a souligné une enquête menée par des chercheurs de l’Université de Toronto qui suggérait en juin que l’Arabie saoudite aurait pu utiliser des techniques similaires.
Basé à Tel-Aviv, Candiru vend des logiciels espions sophistiqués aux gouvernements. Il a été mis sur liste noire par le gouvernement américain au début du mois.
L’offensive révélée par Eset a utilisé ce que l’on appelle des attaques de type « point d’eau », qui ajoutent un code malveillant aux sites Web légitimes que l’utilisateur ciblé est susceptible de visiter.
Une fois que la personne visite le site, le code peut alors être utilisé pour infecter son ordinateur – potentiellement pour l’espionner ou lui infliger des dommages d’une autre manière.
Les sites Web ciblés dans cette campagne comprenaient le site d’information britannique Middle East Eye ainsi que des médias yéménites comme Almasirah liés aux rebelles houthis combattant les Saoudiens, a déclaré Eset. Une autre victime était thesaudireality.com, qui, selon Eset, était probablement un média dissident en Arabie saoudite.
Les fournisseurs de services Internet au Yémen et en Syrie ont également été ciblés, ainsi que le ministère iranien des Affaires étrangères, le ministère syrien de l’électricité et les ministères de l’Intérieur et des Finances du Yémen.
Parmi les autres cibles figuraient des sites gérés par le groupe militant pro-iranien Hezbollah, la société italienne Piaggio Aerospace et Denel, un conglomérat sud-africain de technologie aérospatiale et militaire appartenant à l’État.
« Les attaquants ont également créé un site Web imitant un salon médical en Allemagne », a noté Eset dans un communiqué de presse, ajoutant que les intrusions ont été enregistrées entre juillet 2020 et août de cette année.
Candiru a gagné des comparaisons avec NSO Group, une autre société israélienne qui a été engloutie dans le scandale cette année suite à des accusations selon lesquelles les gouvernements auraient utilisé sa technologie Pegasus pour espionner des militants des droits, des politiciens, des journalistes et des dirigeants d’entreprise.
Le gouvernement américain a mis NSO sur liste noire au début du mois, limitant les exportations des entreprises américaines.
Faou a déclaré que la campagne Candiru ne semblait pas viser la collecte massive de données, ciblant spécifiquement un « très, très petit » nombre de personnes.