pomme-mac

Image : Chris Ratcliffe/Bloomberg via Getty Images

Capture D'Écran 2021-02-24 À 3

Piratage. Désinformation. Surveillance. CYBER est le podcast de Motherboard et un reportage sur les dessous sombres d’Internet.

Des chercheurs de Google ont surpris des pirates ciblant des utilisateurs à Hong Kong en exploitant des vulnérabilités inconnues à l’époque dans le système d’exploitation Mac d’Apple. Selon les chercheurs, les attaques portent la marque des pirates informatiques soutenus par le gouvernement.

Jeudi, le groupe d’analyse des menaces de Google (TAG), l’équipe d’élite de chasseurs de pirates informatiques de l’entreprise, publié un rapport détaillant la campagne de piratage. Les chercheurs ne sont pas allés jusqu’à pointer du doigt un groupe ou un pays de piratage spécifique, mais ils ont dit qu’il s’agissait « d’un groupe bien doté en ressources, probablement soutenu par l’État ».

Publicité

« Nous n’avons pas suffisamment de preuves techniques pour fournir une attribution et nous ne spéculons pas sur l’attribution », a déclaré le directeur de TAG Shane Huntley à Motherboard dans un e-mail. « Cependant, la nature de l’activité et du ciblage est compatible avec un acteur soutenu par le gouvernement. »

Erye Hernandez, le chercheur de Google qui a trouvé la campagne de piratage et a écrit le rapport, a écrit que TAG a découvert la campagne à la fin du mois d’août de cette année. Les pirates avaient mis en place un attaque de point d’eau, ce qui signifie qu’ils ont caché des logiciels malveillants dans les sites Web légitimes d’un « organe de presse et d’un important groupe syndical et politique pro-démocratie » à Hong Kong. Les utilisateurs qui ont visité ces sites Web seraient piratés avec une vulnérabilité inconnue, en d’autres termes, un jour zéro– et un autre exploit qui a profité d’une vulnérabilité précédemment corrigée pour MacOS qui a été utilisée pour installer une porte dérobée sur leurs ordinateurs, selon Hernandez.

Apple a corrigé le zero-day utilisé dans la campagne dans une mise à jour publiée le 23 septembre, selon le rapport.

Apple n’a pas immédiatement répondu à une demande de commentaire.

Les chercheurs de Google ont pu déclencher les exploits et les étudier en visitant les sites Web compromis par les pirates. Les sites ont servi à la fois les chaînes d’exploitation iOS et MacOS, mais les chercheurs n’ont pu récupérer que celle de MacOS. L’exploit zero-day était similaire à une autre vulnérabilité dans la nature analysée par un autre chercheur de Google dans le passé, selon le rapport.

En outre, l’exploit zero-day utilisé dans cette campagne de piratage est « identique » à un exploit précédemment découvert par le groupe de recherche en cybersécurité Pangu Lab, a déclaré Huntley. Les chercheurs du Pangu Lab a présenté l’exploit lors d’une conférence sur la sécurité en Chine en avril de cette année, quelques mois avant que des pirates ne l’utilisent contre les utilisateurs de Hong Kong.

« Il a été présenté comme un exploit ciblant Big Sur, mais nous avons découvert que cela fonctionnait également sur Catalina », selon Huntley. (Google a classé cela comme un jour zéro car il n’avait pas été corrigé dans Catalina, une version de MacOS qui était prise en charge à l’époque.)

Pangu Lab a répondu à une demande de commentaire envoyée sur Twitter.

Avez-vous plus d’informations sur cette attaque ? Suivez-vous les groupes de piratage gouvernementaux et les APT ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, Wickr/Telegram/Wire @lorenzofb, ou par e-mail lorenzofb@vice.com

Patrick Wardle, un chercheur spécialisé dans les produits Apple, a passé en revue les recherches de Google pour Motherboard et a analysé le malware en le téléchargeant à partir de Virus Total, un référentiel de malware appartenant à Google.

Wardle, qui développe une suite d’outils de sécurité gratuits et open source pour Mac, a déclaré qu’il n’était pas surprenant de voir des groupes de piratage avancés utiliser les zero-days de Mac. Ce qui est intéressant, a déclaré Wardle, c’est que dans ce cas, les pirates ont combiné une vulnérabilité connue auparavant – également connue sous le nom de jour N – avec une vulnérabilité inconnue qu’ils ont obtenue lors d’une conférence.

« L’utilisation à la fois des jours N et de ce qui semblait être un jour zéro présenté publiquement met en évidence le fait que les attaquants n’auront peut-être pas à utiliser leurs propres jours zéro pour infecter avec succès des cibles distantes », a déclaré Wardle à Motherboard lors d’un chat en ligne.

Wardle a découvert que le logiciel contenait des chaînes de code en chinois, telles que 安装成功 (installation réussie), et que le serveur de commande et de contrôle auquel il se connectait était situé à Hong Kong.

Capture d'écran 2021-11-11 à 12.12.18 PM.png

La chaîne en chinois contenue dans le malware analysé par Wardle. (Photo : Patrick Wardle)

« Sur la base de divers facteurs tels que l’approche de ciblage et les victimes (« visiteurs des sites Web de Hong Kong pour un média et un groupe syndical et politique pro-démocratie de premier plan »), les méthodologies d’exploitation, les métadonnées du serveur C&C, ainsi que les indicateurs extraits de l’implant (comme les cordes chinoises), il n’y a que des réponses plausibles à qui est derrière cela : la Chine, ou quelqu’un qui veut ressembler beaucoup aux Chinois », a déclaré Wardle. « Bien que les deux soient bien sûr possibles, le premier est beaucoup plus probable. »

Il y a déjà eu un cas où des pirates du gouvernement ont réutilisé des exploits présentés lors d’une conférence sur la sécurité en Chine.

En 2017, des pirates informatiques travaillant pour le renseignement chinois ont utilisé un exploit présenté lors d’une compétition de piratage bien connue pour cibler les Ouïghours, la minorité musulmane réprimée en Chine, Examen de la technologie du MIT révélé plus tôt cette année.

Ce dernier rapport de TAG montre qu’une fois de plus, les entreprises de technologie et de cybersécurité attrapent un nombre sans précédent de zero-days dans la nature. Apple, Microsoft et plusieurs autres corrigent des bogues qui seraient exploités à l’état sauvage à un rythme plus élevé que les années précédentes. Selon un décompte récent, il y a eu 80 zero-days capturés dans la nature cette année. L’année dernière, pour mettre ce chiffre en contexte, il n’y avait que 25 zero-days exploités par des pirates avant que les entreprises aient la possibilité de corriger les bogues, selon Google, qui suit l’utilisation des zero-days.

Ce n’est pas forcément une mauvaise nouvelle.

« Alors pourquoi voyons-nous plus [zero-days] en 2021 ? » Wardle a déjà dit à Motherboard. « Je me risquerais à supposer qu’il existe soit une amélioration des capacités d’analyse et de détection de l’utilisation de ces zero-days, soit simplement que leur utilisation devient vraiment plus prolifique. »

Abonnez-vous à notre podcast sur la cybersécurité, CYBER. S’abonner à notre nouvelle chaîne Twitch.

Rate this post
Publicité
Article précédentAchetez le plongeon: les baleines Bitcoin ont accumulé plus de 2,36 milliards de dollars en BTC après la baisse des prix
Article suivantSamsung Galaxy A03 annoncé avec un appareil photo 48MP et une batterie de 5 000 mAh
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici