Selon un rapport publié le 29 août par la division de cyber-sécurité de Google, des pirates, associés au service de renseignement extérieur russe (SVR), ont utilisé des outils similaire à ceux fabriqué par les firmes NSO et Intellexa pour exploiter des vulnérabilités de sécurité. Ces outils ont probablement été employés dans une opération sophistiquée visant les fonctionnaires du gouvernement de Mongolie.
Entre novembre 2023 et juillet 2024, les pirates sont parvenus à infiltrer les pages internet de deux sites gouvernementaux mongols avec un code malveillant. Ce code avait pour but de voler les mots de passe et les cookies des utilisateurs – pour recueillir notamment les identifiants de connexion aux e-mails officiels des employés du ministère des affaires étrangères de Mongolie. Les failles de sécurité exploitées par le code malveillant avaient déjà été corrigées par Apple et Google, mais restent exploitable à ceux qui n’ont pas mis à jour leurs téléphones.
Le service de renseignement russe est souvent mis en cause pour ses tentatives de piratages informatiques visant les ministères des affaires étrangères d’autres pays. Mais la campagne révélée par Google présente une caractéristique notable: le code utilisé est très similaire, voire parfois identique à celui utilisé précédemment dans des outils de piratages développés par deux sociétés privées, Intellexa et NSO Group. C’est ce qui a conduit les chercheurs de Google à écarter la possibilité d’une simple coïncidence.
Intellexa et NSO Group sont deux importants créateurs de logiciels d’espionnage dans le secteur privé. NSO Group, une entreprise israélienne, est notamment connue pour le développement de Pegasus, un logiciel d’espionnage puissant utilisé pour surveiller des centaines de personnes en France, y compris des membres du gouvernement français. Cela a été révélé par Forbidden Stories et Le Monde. De son côté, Intellexa, un consortium chypriote regroupant plusieurs entreprises de cybersurveillance, vend, entre autres, le logiciel espion appelé Predator.
Les deux sociétés ont toujours déclaré qu’elles ne commercialisaient pas leurs produits en Russie. NSO a réitéré auprès du site spécialisé Techcrunch que ses « technologies ne sont vendues qu’à des clients approuvés par les services de renseignement et d’enquête américains et israéliens ». Les outils développés par ces deux entreprises ont pu être dupliqués par les initiateurs de la campagne découverte par Google, après avoir été surveillés par les services de sécurité russes, ou avoir été acquis auprès d’une source qui aurait également vendu les mêmes outils à NSO ou Intellexa.
« Nous ignorons comment APT29 [le groupe de pirates associés au SVR] a pu obtenir ces vulnérabilités », a déclaré Google, « mais notre enquête démontre comment des outils conçus à l’origine par des entreprises privées de cybersurveillance peuvent facilement tomber entre les mains d’acteurs dangereux ».