Le candidat égyptien à la présidentielle ciblé par le logiciel espion Predator

Citizen Lab a déclaré qu’il était « hautement convaincu » que le gouvernement égyptien était responsable de l’échec de la tentative de piratage. Les attentats visaient le journaliste et ancien député Ahmed Al-Tantawi. Rapporté pour la première fois par Mada Masr, un organisme de presse égyptien indépendant. Tantawi a vécu brièvement au Liban mais est retourné en Égypte en mai.

Les exploits Zero Day sont particulièrement dangereux et précieux car ils exploitent des vulnérabilités qui n’ont pas encore été découvertes. Dans ce cas, El-Tantawi n’avait pas besoin de cliquer sur quoi que ce soit pour être infecté.

« Une chaîne complète d’exploits zero-day comme celle-ci, capable d’installer des logiciels espions sur les derniers et meilleurs iPhones – il n’y en a pas beaucoup qui sont découverts, juste quelques-uns chaque année », a déclaré Bill Marczak, chercheur principal à Laboratoire citoyen. « Ces choses sont très coûteuses à développer. Si vous regardez les courtiers qui achètent, vendent et publient des listes de prix en ligne, cela va coûter plusieurs millions de dollars.

En juillet, l’administration Biden a mis sur liste noire Cytrox, qui fabrique le Predator, et Intellexa, l’alliance commerciale à laquelle Cytrox appartient, en les ajoutant à la liste des entités du ministère du Commerce, qui leur impose de strictes restrictions en matière de licences et de commerce. Le département a déclaré qu’ils commercialisaient « des exploits Internet utilisés pour accéder aux systèmes d’information, menaçant ainsi la vie privée et la sécurité des individus et des organisations du monde entier ».

Une fois installé sur un téléphone, il peut voler des mots de passe, enregistrer des frappes au clavier, extraire des données de diverses applications, copier des messages de discussion et enregistrer des appels, y compris ceux passés dans des applications cryptées, a déclaré Marczak.

Comme d’autres fournisseurs de logiciels espions sophistiqués, Cytrox affirme vendre uniquement aux agences gouvernementales. Étant donné que l’Égypte est un client connu de Predator et que l’une des tentatives d’infection a été effectuée à l’aide d’un appareil physiquement situé en Égypte, Citizen Lab a déclaré avoir « une grande confiance » dans le fait que le gouvernement égyptien était responsable de l’attaque.

Tantawi, l’ancien chef du parti de gauche Karama, critique ouvertement le gouvernement égyptien. En mars, il est devenu le premier homme politique à annoncer son intention de défier Sissi à l’élection présidentielle.

Al-Tantawi a déclaré au Washington Post qu’il avait commencé à s’inquiéter de la sécurité de son téléphone à la mi-septembre après avoir reçu des messages suspects contenant des liens, et qu’un ami lui avait conseillé de contacter Citizen Lab afin que son téléphone puisse être analysé.

Les représentants du gouvernement égyptien ont refusé de commenter ou n’ont pas immédiatement répondu aux demandes de commentaires.

Selon Citizen Lab, les tentatives d’infection du téléphone d’El-Tantawy impliquaient l’utilisation d’un produit appelé PacketLogic créé par Sandvin, une entreprise canadienne d’équipement de réseau. En 2017, Sandvine a été rachetée par Francisco Partners, une société de capital-investissement qui possédait également jusqu’en 2019 NSO Group, fabricant du logiciel espion Pegasus, que les gouvernements ont utilisé pour espionner les journalistes, les militants, les dissidents politiques et autres. Sandvine n’a pas répondu aux demandes de commentaires.

« Cette campagne est un nouvel exemple d’abus causés par la prolifération des fournisseurs de services de surveillance commerciale et leurs graves risques pour la sécurité en ligne des utilisateurs », a écrit le groupe d’analyse des menaces de Google dans un article de blog.

Selon les recherches de Citizen Lab, il y a eu plusieurs tentatives d’installation de Predator sur le téléphone d’El-Tantawy entre mai et septembre, après l’annonce de sa candidature. À partir du mois de mai, Al-Tantawi a reçu des SMS et des messages WhatsApp contenant des liens vers des pages Web piégées. Il n’a clairement pas cliqué dessus, selon les chercheurs.

En août et septembre, a déclaré Citizen Lab, Eltantawy a été soumis à un type d’attaque plus grave appelé injection réseau, qui ne l’obligeait pas à cliquer sur quoi que ce soit. Selon le groupe d’analyse des menaces de Google, l’attaque de « l’homme du milieu » s’est produite lorsqu’El-Tantawi a tenté de visiter une page Web commençant par le préfixe « http ». Ce faisant, l’attaquant l’a redirigé vers le site Web Intellexa, puis vers un serveur qui a exécuté l’exploit sur son téléphone.

Citizen Lab a déclaré avoir « une grande confiance » Que l’attaquant a utilisé PacketLogic de Sandvine pour rediriger le navigateur d’Eltantawy et que c’était la première fois qu’il voyait un exploit zero-day livré de cette manière. Selon leur analyse, le piratage a échoué parce qu’El-Tantawy a activé le « Mode verrouillage » d’Apple, un paramètre de sécurité introduit en 2022 qui réduit les fonctionnalités du téléphone mais bloque de nombreuses méthodes d’attaque.

Google a déclaré qu’un exploit différent aurait pu être transmis aux personnes utilisant un appareil Android. La vulnérabilité Android a été découverte et signalée par quelqu’un d’autre, et Google a mis à disposition un correctif le 5 septembre.

le Attaque de Tantawi Il aurait fallu que PacketLogic soit installé sur le réseau de Vodafone Egypt, le fournisseur de télécommunications d’El Tantawy. Bien que Citizen Lab n’ait pas affirmé que Vodafone était complice de l’attaque, Marczak a déclaré que le moyen « le plus simple » d’installer PacketLogic sur le réseau Vodafone serait de coopérer avec Vodafone.

« L’Égypte n’est pas connue pour être le gouvernement le plus démocratique », a-t-il déclaré. « Vous pouvez imaginer que le gouvernement sera capable de faire pression sur les entreprises pour qu’elles coopèrent. »

Vodafone Egypt n’a pas répondu aux demandes de commentaires.

Au cours de ses recherches, Citizen Lab a également découvert qu’un ancien téléphone appartenant à El-Tantawi avait été infecté avec succès par le virus Predator en novembre 2021 via un message texte contenant un lien.

Al-Tantawi a refusé de blâmer le gouvernement égyptien pour l’attaque, mais a déclaré qu’il pensait avoir été pris pour cible en raison de ses activités politiques et a émis l’hypothèse que la tentative de piratage visait à trouver du matériel susceptible de le « discréditer ».

« Il n’y a tout simplement rien qui puisse m’embarrasser, même après deux ans de violations », a-t-il déclaré.

Al-Tantawi a déclaré que le pire était que le gouvernement égyptien avait arrêté de nombreuses personnes proches de lui. Au moins 35 volontaires de la campagne de Tantawi ont été arrêtés à travers le pays depuis août. Selon l’Initiative égyptienne pour les droits personnels. Parmi eux se trouvaient deux des oncles de Tantawi. Des dizaines de ses proches ont été arrêtés Entre avril et mai. Le ministère égyptien de l’Intérieur a Il a nié avoir arrêté qui que ce soit Pour sa participation à la campagne électorale présidentielle.

Les experts en technologie du Citizen Lab examinent l’attaque d’Al-Tantawi Ils ont pu provoquer une récidive L’infection s’est produite sur un appareil de test après ce que Marczak a appelé un « jeu géant du chat et de la souris » qui consistait à tromper le site Web piégé, qui aurait pu être conçu pour cibler une seule victime particulière, en lui faisant croire qu’il devait réaliser l’exploit. encore. Ils ont comparé le malware à un échantillon précédent de Predator et ont trouvé suffisamment de chevauchement pour indiquer une correspondance. pomme Service Citizen Lab et le groupe d’analyse des menaces de Google font l’objet d’un correctif d’urgence publié jeudi.

En 2021, Laboratoire citoyen signalé Deux exilés égyptiens, dont le politicien de l’opposition Ayman Nour, ont été infectés par le logiciel espion Pegasus via un exploit en un clic.

Plus tôt en septembre, Citizen Lab Découvrez le logiciel espion Pegasus L’appareil d’un employé a été infecté dans une organisation de la société civile ayant des bureaux internationaux à Washington, D.C., ce qui a incité Apple à mettre en œuvre une mise à jour de sécurité. Les recherches du laboratoire ont poussé de nombreux correctifs récents d’Apple en dehors de leur fréquence de mise à jour habituelle.