Le défi: Un logiciel espion de Candiru a été utilisé pour usurper l'identité de sites d'organisations de défense bien connues afin de cibler les activistes et les défenseurs des droits de l'homme. Citizen Lab, un institut de recherche de l'Université de Toronto, a utilisé les données deCensys pour comprendre les sites usurpés, et a transmis les détails au Microsoft Threat Intelligence Center (MSTIC) pour trouver des exploits.
Ce que Citizen Lab a réalisé avec l'aide de Censys
1.) Citizen Lab a cartographié l'infrastructure C2 de Candiru
Citizen Lab a identifié un certificat pour candirusecurity.com, ce qui lui a permis d'identifier les adresses IP historiquement associées à Candiru, et finalement de développer une empreinte digitale pour trouver les sites web que Candiru tentait d'usurper.
2.) Le Microsoft Threat Intelligence Center (MSTIC) a identifié deux vulnérabilités d'escalade de privilèges
Citizen Lab a partagé une signature qui a permis à Microsoft d'identifier deux vulnérabilités d'escalade de privilèges non divulguées auparavant et exploitées par le logiciel malveillant Candiru : CVE-2021-31979 et CVE-2021- 33771, ainsi que d'identifier plus de 100 autres défenseurs des droits de l'homme, journalistes, activistes et politiciens qui ont été ciblés par le logiciel espion Candiru.
Citizen Lab lance une enquête sur le Candiru
Citizen Lab se concentre sur la recherche, la politique et le plaidoyer à l'intersection des droits de l'homme et des technologies de l'information. Un aspect unique de sa mission consiste à enquêter sur les pratiques techniques utilisées pour cibler les activistes et les journalistes. Bill Marczak, chercheur principal au Citizen Lab, ainsi que d'autres chercheurs, ont découvert et démêlé de nombreuses attaques utilisant Censys, y compris le tout premier jailbreak à distance zero-day de l'iPhone vu à l'état sauvage. Plus récemment, Citizen Lab a enquêté sur Candiru. Avec d'autres chercheurs de Citizen Lab, Bill a décidé de mener une enquête formelle et a publié un rapport détaillé sur les pratiques de l'entreprise qui a été repris par le New York Times et d'autres organismes de presse.
Qu'est-ce que le Candiru ?
Candiru est un acteur offensif du secteur privé connu pour vendre des logiciels malveillants aux gouvernements. Son principal produit est un logiciel espion qui peut être installé par le biais d'un certain nombre de vecteurs d'infection sur l'appareil Apple, Windows ou Android d'une cible. Candiru affirme que ses produits sont "intraçables", ce qui rend particulièrement difficile la recherche de domaines, de certificats et d'autres infrastructures C&C associés à ses logiciels. Ces dernières années, le logiciel espion Candiru a attiré l'attention internationale en raison de son utilisation active pour cibler les défenseurs des droits de l'homme, les journalistes et les activistes politiques.
L'objectif de Citizen Lab en matière de chasse aux menaces
Citizen Lab a utilisé le Censys Universal Internet DataSet qui détaille les hôtes et les services IPv4, ainsi que le Censys' certificate dataset, pour cartographier l'infrastructure de commande et de contrôle (C&C) de Candiru et pour comprendre les sites web que le logiciel espion de Candiru a été utilisé pour cibler. Cela leur a permis de découvrir que le Candiru ciblait activement des membres de la société civile, des universités et des médias.
"Nous étions curieux de cartographier l'infrastructure de commande et de contrôle - IP, domaines, certificats - dans le but ultime de comprendre l'empreinte mondiale de Candiru". - Bill Marczak, chercheur principal, Citizen Lab
Comment Censys Data and Search a été utilisé pour comprendre l'impact du Candiru
Quels sont les certificats associés au nom de domaine candirusecurity[.]com ?
Citizen Lab a trouvé sur Censys Search un certificat auto-signé associé à Candiru. L'équipe savait qu'il fallait rechercher un domaine spécifique : "candirusecurity[.]com" parce qu'ils avaient trouvé un dépôt d'enregistrement de société de 2015 associé à Candiru. L'enregistrement comprenait un courriel avec le même domaine : "amitn@candirusecurity[.]com". La découverte de ce certificat était importante car elle a permis à l'équipe de pivoter et de découvrir d'autres infrastructures d'attaquants à l'aide de l'ensemble de données historiques Censys IPv4.
Quels sont les IP qui ont délivré le certificat et qu'est-ce que cela indique sur les cibles, leurs zones géographiques et les méthodes de Candiru ?
Citizen Lab a interrogé l'ensemble de données IPv4 du site Censys pour localiser les adresses IP qui servaient le certificat et qui étaient potentiellement affiliées au Candiru. L'équipe a itéré entre les hôtes IPv4 et les certificats, pour finalement faire apparaître les certificats de plus de 750 sites web dont l'infrastructure du logiciel espion Candiru usurpait l'identité. Il s'agissait notamment de sites appartenant à des organisations de défense bien connues comme amnestyreports[.]com et à des organisations militantes comme blacklivesmatters[.]info. D'autres sites moins connus étaient spécifiques à un pays et liés à l'Arabie saoudite, à la Russie et à l'Arménie. Ils donnaient des indications sur les lieux où les cibles pouvaient être localisées et sur les méthodes actuellement utilisées pour les piéger.
Citizen Lab a également pu trouver une adresse IP via Censys qui appartenait à une victime du logiciel espion. Bill Marczak, de Citizen Lab, a déclaré : "Les données deCensys ont joué un rôle essentiel dans l'enquête, car elles nous ont permis de retrouver la victime et de récupérer l'échantillon de logiciel espion."
Grâce à ces recherches, Citizen Lab a pu transmettre à Microsoft des échantillons qui ont permis au Microsoft Threat Intelligence Center (MSTIC) de pivoter à partir de ces IoC et de trouver les exploits : CVE-2021-31979 et CVE2021-33771, ainsi que 100 victimes de logiciels espions dans de nombreux pays.
Pourquoi Citizen Lab a-t-il choisi Censys?
"Censys structure les données Internet de manière à ce qu'elles soient faciles à comprendre et à interroger. Sans les requêtes par expressions régulières et la possibilité d'interroger des champs spécifiques, nous n'aurions pas pu développer ou rechercher d'autres hôtes correspondant à notre signature." - Bill Marczak, chercheur principal, Citizen Lab
- BigQuery, recherche et accès aux données brutes
Censys permet d'accéder à des centaines de téraoctets de données historiques de balayage de l'internet par le biais d'une interface de recherche en ligne, d'une API de consultation à grande vitesse, d'ensembles de données Google BigQuery et de téléchargements de données brutes.
- Données évolutives et différenciées sur les hôtes et les certificats
Censys offre la plus large couverture des hôtes et des certificats IPv4. Censys propose un ensemble de données de 9,5 milliards de certificats X.509 analysés et validés par le navigateur, ainsi que des enregistrements détaillés sur les hôtes IPv4 et leur configuration de service remontant à plus de six ans.
Censys fournit les données les plus récentes en analysant en permanence les 3 500 premiers ports sur l'ensemble de l'espace d'adressage IPv4 et en analysant quotidiennement les 138 premiers ports.
Consultez l'étude de cas complète pour voir comment Citizen Lab a cartographié l'infrastructure de commandement et de contrôle de Candiru.
Voir l'étude de cas