Selon les chercheurs, les services de renseignement libanais ont peut-ĂŞtre transformĂ© les smartphones de milliers de personnes ciblĂ©es en machines de cyber-espionnage dans l’un des premiers exemples connus de piratage informatique Ă grande Ă©chelle de tĂ©lĂ©phones plutĂ´t que d’ordinateurs.
La direction générale de la sécurité générale du Liban (GDGS) a mené plus de 10 campagnes depuis au moins 2012 visant principalement les utilisateurs de téléphones Android dans au moins 21 pays, selon un rapport de la société de sécurité mobile Lookout et du groupe de défense des droits numériques Electronic Frontier Foundation.
Les cyber-attaques, qui ont pris le contrĂ´le des smartphones Android, ont permis aux pirates de les transformer en dispositifs de surveillance des victimes et de leur voler toutes les donnĂ©es non dĂ©tectĂ©es, ont indiquĂ© jeudi les chercheurs. Aucune preuve n’a Ă©tĂ© trouvĂ©e que les utilisateurs de tĂ©lĂ©phone d’Apple ont Ă©tĂ© visĂ©s, mais cette information reflète la popularitĂ© d’Android au Moyen-Orient.
Les auteurs du rapport, surnommĂ©s « Dark Caracal » d’après un chat sauvage originaire du Moyen-Orient ont utilisĂ© des attaques de phishing et d’autres moyens pour attirer les victimes dans le tĂ©lĂ©chargement de fausses versions d’applications de messagerie cryptĂ©es.
Michael Flossman, le principal chercheur du groupe en matière de sĂ©curitĂ©, a dĂ©clarĂ© Ă Reuters qu’EFF et Lookout avaient profitĂ© de l’incapacitĂ© du groupe de cyber-espionnage au Liban Ă sĂ©curiser leurs propres serveurs de commande et de contrĂ´le, crĂ©ant ainsi une ouverture pour les relier au GDGS.
Dark Caracal a concentré ses attaques sur les responsables gouverne-mentaux, les cibles militaires, les services publics, les institutions financières, les entreprises manufacturières et les entrepreneurs de la défense, selon le rapport.
Les chercheurs ont trouvĂ© des preuves techniques reliant les serveurs utilisĂ©s pour contrĂ´ler les attaques Ă un bureau GDGS Ă Beyrouth en localisant les rĂ©seaux Wi-Fi et l’adresse de protocole Internet dans ou Ă proximitĂ© du bâtiment. Ils ne peuvent pas dire avec certitude si la preuve montre que GDGS est responsable, ou est le travail d’un employĂ© voyou.
Le malware, une fois installé, pourrait faire des choses comme prendre des photos à distance avec la caméra avant ou arrière et activer silencieusement le microphone du téléphone pour enregistrer les conservations, selon les chercheurs.
RĂ©pondant Ă une question de Reuters sur les allĂ©gations formulĂ©es dans le rapport, le gĂ©nĂ©ral de division Abbas Ibrahim, directeur gĂ©nĂ©ral de GDGS, a dĂ©clarĂ© qu’il voulait voir le rapport avant de commenter son contenu. Il a ajoutĂ© : « La sĂ©curitĂ© gĂ©nĂ©rale n’a pas ce type de capacitĂ©s. Nous souhaitons avoir ces capacitĂ©s. »
Lookout a rĂ©vĂ©lĂ© avoir dĂ©couvert des outils d’espionnage et une mine massive de centaines de gigaoctets de donnĂ©es volĂ©es sur les tĂ©lĂ©phones de milliers de victimes, notamment des SMS, des contacts, des conversations cryptĂ©es, des documents audio et des photos.
Les cibles se trouvaient principalement au Liban et dans la région environnante, y compris en Syrie et en Arabie Saoudite, mais pas en Iran ou en Israël, deux cibles fréquentes des cyber-espions du gouvernement. Les victimes ont également vécu dans cinq pays européens : la Russie, les Etats-Unis, la Chine, le Vietnam et la Corée du Sud, ont indiqué des chercheurs.
Les chercheurs ont notifiĂ© Google, le dĂ©veloppeur du système d’exploitation Android, fin 2017. Google a travaillĂ© en Ă©troite collaboration avec les chercheurs pour identifier les applications associĂ©es Ă cette attaque, dont aucune n’Ă©tait disponible sur le Google Play Store pour les utilisateurs de tĂ©lĂ©phones Android, selon un porte-parole de l’entreprise.
Google Play Protect, le système de sécurité unifié de la société Internet qui fonctionne sur de nombreux smartphones Android, a été mis à jour pour protéger les utilisateurs contre ces applications malveillantes et il est en train de les retirer de tous les téléphones concernés, a précisé le porte-parole.
Les attaquants ont empruntĂ© du code pour crĂ©er leur propre logiciel malveillant Ă partir de sites de dĂ©veloppeurs, tout en s’appuyant sur l’ingĂ©nierie sociale pour inciter les gens Ă cliquer sur les liens qui les ont envoyĂ©s vers un site appelĂ© SecureAndroid, un faux app store Android.
LĂ , les utilisateurs ont Ă©tĂ© encouragĂ©s Ă tĂ©lĂ©charger des versions fausses mais fonctionnelles des applications de messagerie cryptĂ©es et des outils de confidentialitĂ© tels que WhatsApp, Viber et Signal, que Flossman a promis aux victimes de sĂ©curiser les logiciels « mieux que l’original ».
Lookout a trouvĂ© des liens entre les attentats liĂ©s au Liban et ceux liĂ©s au gouvernement kazakh en Asie centrale en 2016 dans un rapport intitulĂ© «Operation Manual» par le FEP et d’autres experts. Les deux groupes de recherche ont acceptĂ© de faire Ă©quipe et croient maintenant que le groupe kazakh Ă©tait un client des hackers basĂ©s au Liban.





