Tweet
Les utilisateurs du logiciel espion réclamaient aux FAI ou fournisseurs de téléphonie mobile de leurs cibles qu'ils bloquent la connectivité de leurs terminaux, afin de les inciter à installer le spyware. Ce dernier usurpait leur identité graphique et celles de Facebook, WhatsApp, Instagram ou Samsung.
Mi-juin, les chercheurs du Lookout Threat Lab révélaient qu'Hermit était utilisé par le gouvernement du Kazakhstan depuis au moins avril 2022, soit quatre mois après une violente répression de manifestations.
Ils estimaient qu'Hermit avait été développé par le vendeur italien de logiciels espions RCS Lab S.p.A, associé à une autre entreprise italienne, Tykelab Srl. Leurs deux noms figurent en effet dans un certificat SSL associé au logiciel espion, et des offres d'emploi du second renvoient aux capacités vantées par le premier.
Lookout précisait que les autorités italiennes s'en étaient déjà servi à l'occasion d'une opération anti-corruption en 2019, et qu'elle avait été la cible d'allégations d'abus potentiels en matière de données personnelles et privées. Hermit avait également été identifié au nord-est de la Syrie, majoritairement peuplée de Kurdes opposés au régime de Damas, et en guerre contre la Turquie.
RCS Lab, qui « opère depuis 1993 », explique qu'il « fournit aux forces de l'ordre du monde entier des solutions technologiques de pointe et un support technique dans le domaine de l'interception légale depuis plus de vingt ans » :
« Société indépendante dont le siège est en Italie et des filiales en France et en Espagne, RCS est le premier fournisseur européen de services complets d'interception légale, avec plus de 10 000 cibles interceptées traitées quotidiennement rien qu'en Europe. »
RCS n'en précise pas moins que les outils qu'elle développe et commercialise « comprennent des systèmes de surveillance GSM off the air, des outils d'analyse des réseaux sociaux et des systèmes d'intrusion active (chevaux de Troie) qui permettent d'obtenir des renseignements complets sur les utilisateurs cibles, même pour les communications cryptées comme Skype, PGP et la messagerie web sécurisée ».
RCS, qui ne commercialise ses logiciels qu'aux seuls gouvernements, services de renseignements et forces de l'ordre, était aussi un revendeur de Hacking Team, l'un des pionniers de ce secteur d'activité, et l'un des rares concurrents directs de l'israélien NSO et de l'allemand FinFisher (qui a fait faillite en mars, « victime » des ONG de défense des libertés).
Des e-mails révélés par WikiLeaks en 2015 montraient que RCS Lab et Hacking Team étaient en contact avec les services de renseignement et forces armées du Pakistan, du Chili, de la Mongolie, du Bangladesh, du Vietnam, de Myanmar et du Turkménistan.
Pour leurrer ses victimes, Hermit se fait passer pour des opérateurs de télécommunication ou de téléphonie mobile, dont il usurpe l'identité graphique et le nom. Lookout précise qu'avant toute infection, Hermit effectue une série de vérifications pour s'assurer qu'il n'est pas analysé :
« Il recherche notamment la présence d'un émulateur et des signes indiquant que l'application elle-même a été modifiée pour faciliter l'analyse. »
nextinpact.com
Mi-juin, les chercheurs du Lookout Threat Lab révélaient qu'Hermit était utilisé par le gouvernement du Kazakhstan depuis au moins avril 2022, soit quatre mois après une violente répression de manifestations.
Ils estimaient qu'Hermit avait été développé par le vendeur italien de logiciels espions RCS Lab S.p.A, associé à une autre entreprise italienne, Tykelab Srl. Leurs deux noms figurent en effet dans un certificat SSL associé au logiciel espion, et des offres d'emploi du second renvoient aux capacités vantées par le premier.
Lookout précisait que les autorités italiennes s'en étaient déjà servi à l'occasion d'une opération anti-corruption en 2019, et qu'elle avait été la cible d'allégations d'abus potentiels en matière de données personnelles et privées. Hermit avait également été identifié au nord-est de la Syrie, majoritairement peuplée de Kurdes opposés au régime de Damas, et en guerre contre la Turquie.
RCS Lab, qui « opère depuis 1993 », explique qu'il « fournit aux forces de l'ordre du monde entier des solutions technologiques de pointe et un support technique dans le domaine de l'interception légale depuis plus de vingt ans » :
« Société indépendante dont le siège est en Italie et des filiales en France et en Espagne, RCS est le premier fournisseur européen de services complets d'interception légale, avec plus de 10 000 cibles interceptées traitées quotidiennement rien qu'en Europe. »
RCS n'en précise pas moins que les outils qu'elle développe et commercialise « comprennent des systèmes de surveillance GSM off the air, des outils d'analyse des réseaux sociaux et des systèmes d'intrusion active (chevaux de Troie) qui permettent d'obtenir des renseignements complets sur les utilisateurs cibles, même pour les communications cryptées comme Skype, PGP et la messagerie web sécurisée ».
RCS, qui ne commercialise ses logiciels qu'aux seuls gouvernements, services de renseignements et forces de l'ordre, était aussi un revendeur de Hacking Team, l'un des pionniers de ce secteur d'activité, et l'un des rares concurrents directs de l'israélien NSO et de l'allemand FinFisher (qui a fait faillite en mars, « victime » des ONG de défense des libertés).
Des e-mails révélés par WikiLeaks en 2015 montraient que RCS Lab et Hacking Team étaient en contact avec les services de renseignement et forces armées du Pakistan, du Chili, de la Mongolie, du Bangladesh, du Vietnam, de Myanmar et du Turkménistan.
Pour leurrer ses victimes, Hermit se fait passer pour des opérateurs de télécommunication ou de téléphonie mobile, dont il usurpe l'identité graphique et le nom. Lookout précise qu'avant toute infection, Hermit effectue une série de vérifications pour s'assurer qu'il n'est pas analysé :
« Il recherche notamment la présence d'un émulateur et des signes indiquant que l'application elle-même a été modifiée pour faciliter l'analyse. »
nextinpact.com
Commentaire