(Paris) La société de cybersécurité slovaque Eset a révélé mardi une campagne de cyberattaques ciblées au Moyen-Orient liée à Candiru, la très discrète entreprise israélienne spécialisée dans la cyberintrusion. Le 4 novembre, Candiru a été inscrite sur la liste noire des États-Unis, au même titre que la firme israélienne NSO, responsable du logiciel espion Pegasus.
« Nous pensons que c’est un client de Candiru qui a effectué ces attaques », avec les outils fournis par cette dernière, a expliqué à l’AFP Matthieu Faou, le limier d’Eset qui a mené l’enquête.
Eset ne nomme pas explicitement ce client, mais pointe du doigt l’Arabie saoudite.
La société de cybersécurité relève en effet que les serveurs utilisés par l’attaquant ont des noms de domaines du même type que ceux utilisés dans une autre campagne attribuée à l’Arabie saoudite par Citizen Lab, un laboratoire spécialisé de l’Université de Toronto.
Technique du « point d’eau »
La campagne mise en lumière par Eset est une attaque du type « point d’eau » (« watering hole »), et a été observée entre juillet 2020 et août 2021.
Elle consiste à compromettre les victimes en piégeant avec un code malveillant des sites internet parfaitement légitimes que ces personnes sont susceptibles de fréquenter.
Dans ce cas précis, les sites piégés étaient des sites de médias ou de fournisseurs d’accès à internet, des sites gouvernementaux ou d’entreprises d’aéronautique militaire, qui présentent un lien avec le Yémen et le conflit dans ce pays, selon Eset.
Un média britannique, Middle East Eye, la société italienne Piaggio Aerospace, des sites officiels des États iranien, syrien et yéménite, et des sites du Hezbollah pro-iranien ont ainsi été touchés.
Campagne extrêmement ciblée
L’attaquant a aussi créé une fausse version du site du salon médical Medica à Dusseldorf, en Allemagne, selon Eset.
Selon M. Faou, il ne s’agissait pas d’une campagne de masse, mais d’une campagne extrêmement ciblée, visant un nombre de personnes vraisemblablement « très très faible ».
Le 4 novembre, le département du Commerce américain a placé sur liste noire Candiru et trois autres sociétés spécialisées dans la vente d’outils d’attaque informatique : l’israélienne NSO, éditrice du notoire logiciel espion Pegasus, la société russe Positive Technologies, et la singapourienne Computer Security Initiative Consultancy (Coseic).
Cette liste noire restreint les échanges commerciaux avec les sociétés désignées.