forces de police autour le monde a de plus en plus utilisé des outils de piratage pour identifier et suivre les manifestants, révéler les secrets des dissidents politiques et transformer les ordinateurs et les téléphones des militants en bugs d’écoute inéluctables. Maintenant, de nouveaux indices dans une affaire en Inde relient les forces de l’ordre à une campagne de piratage qui a utilisé ces outils pour aller encore plus loin : planter de faux fichiers incriminants sur les ordinateurs des cibles que la même police a ensuite utilisés comme motifs pour les arrêter et les emprisonner.
Il y a plus d’un an, des analystes médico-légaux ont révélé que des pirates non identifiés avaient fabriqué des preuves sur les ordinateurs d’au moins deux militants arrêtés à Pune, en Inde, en 2018, qui languissent tous deux en prison et, avec 13 autres, font face à des accusations de terrorisme. Des chercheurs de la société de sécurité SentinelOne et des organisations à but non lucratif Citizen Lab et Amnesty International ont depuis lié cette fabrication de preuves à une opération de piratage plus large qui a ciblé des centaines d’individus pendant près d’une décennie, utilisant des e-mails de phishing pour infecter des ordinateurs ciblés avec des logiciels espions, ainsi que des outils de piratage de smartphones vendus. par l’entrepreneur de piratage israélien NSO Group. Mais ce n’est que maintenant que les chercheurs de SentinelOne ont révélé des liens entre les pirates et une entité gouvernementale : nul autre que le même service de police indien de la ville de Pune qui a arrêté plusieurs militants sur la base de preuves fabriquées.
« Ces types ne s’en prennent pas aux terroristes. Ils s’en prennent aux défenseurs des droits humains et aux journalistes. Et ce n’est pas bien.
Employé d’un fournisseur de messagerie qui a partagé des preuves liant la police à la campagne de piratage de l’éléphant modifié
“Il existe un lien prouvable entre les individus qui ont arrêté ces personnes et les individus qui ont déposé les preuves”, déclare Juan Andres Guerrero-Saade, chercheur en sécurité chez SentinelOne qui, avec son collègue chercheur Tom Hegel, présentera ses conclusions au Black Hat security conférence en août. “C’est au-delà d’un compromis éthique. C’est au-delà de l’insensibilité. Nous essayons donc de fournir autant de données que possible dans l’espoir d’aider ces victimes. »
Les nouvelles découvertes de SentinelOne qui relient la police de la ville de Pune à la campagne de piratage de longue date, que la société a appelée Modified Elephant, se concentrent sur deux cibles particulières de la campagne : Rona Wilson et Varvara Rao. Les deux hommes sont des militants et des défenseurs des droits humains qui ont été emprisonnés en 2018 dans le cadre d’un groupe appelé Bhima Koregaon 16, du nom du village où la violence entre hindous et dalits – le groupe autrefois connu sous le nom d'”intouchables” – a éclaté plus tôt cette année-là. (L’un de ces 16 accusés, le prêtre jésuite de 84 ans Stan Swamy, est décédé en prison l’année dernière après avoir contracté le Covid-19. Rao, âgé de 81 ans et en mauvaise santé, a été libéré sous caution médicale, qui expire le prochain mois. Sur les 14 autres, un seul a été libéré sous caution.)
Au début de l’année dernière, Arsenal Consulting, une société de criminalistique numérique travaillant pour le compte des accusés, a analysé le contenu de l’ordinateur portable de Wilson, ainsi que celui d’un autre accusé, l’avocat des droits de l’homme Surendra Gadling. Les analystes d’Arsenal ont découvert que des preuves avaient clairement été fabriquées sur les deux machines. Dans le cas de Wilson, un logiciel malveillant connu sous le nom de NetWire avait ajouté 32 fichiers à un dossier du disque dur de l’ordinateur, y compris une lettre dans laquelle Wilson semblait conspirer avec un groupe maoïste interdit pour assassiner le Premier ministre indien Narendra Modi. La lettre a en fait été créée avec une version de Microsoft Word que Wilson n’avait jamais utilisée et qui n’avait même jamais été installée sur son ordinateur. Arsenal a également découvert que l’ordinateur de Wilson avait été piraté pour installer le malware NetWire après avoir ouvert une pièce jointe envoyée depuis le compte de messagerie de Varvara Rao, qui avait lui-même été compromis par les mêmes pirates. “C’est l’un des cas les plus graves impliquant la falsification de preuves qu’Arsenal ait jamais rencontré”, a écrit le président d’Arsenal, Mark Spencer, dans son rapport au tribunal indien.
En février, SentinelOne a publié un rapport détaillé sur Modified Elephant, analysant les logiciels malveillants et l’infrastructure des serveurs utilisés dans la campagne de piratage pour montrer que les deux cas de fabrication de preuves qu’Arsenal avait analysés faisaient partie d’un schéma beaucoup plus vaste : les pirates avaient ciblé des centaines d’activistes. , des journalistes, des universitaires et des avocats avec des e-mails de phishing et des logiciels malveillants depuis 2012. Mais dans ce rapport, SentinelOne s’est abstenu d’identifier tout individu ou organisation derrière les pirates de l’éléphant modifié, écrivant seulement que “l’activité s’aligne fortement sur les intérêts de l’État indien”. .”