Le groupe d’analyse des menaces de Google LLC a révélé jeudi que des pirates avaient utilisé une faille zero-day dans le système d’exploitation macOS d’Apple Inc. pour lancer des cyberattaques.

« Fin août 2021, le TAG a découvert des attaques de points d’eau ciblant les visiteurs des sites Web de Hong Kong pour un média et un groupe syndical et politique pro-démocratie de premier plan », a écrit le chercheur de Google Erye Hernandez dans un article. article de blog. « Le point d’eau a servi une vulnérabilité d’escalade de privilèges XNU (CVE-2021-30869) non corrigée dans macOS Catalina, ce qui a conduit à l’installation d’une porte dérobée non signalée auparavant. »

Une faille zero-day est une vulnérabilité logicielle inconnue de la communauté de la cybersécurité et pour laquelle il n’existe pas de correctif facilement disponible. Celui découvert par Google a été utilisé pour lancer des attaques dites « watering hole », ou cyberattaques ciblant les utilisateurs via des sites Web malveillants. Les cyberattaques ont été menées dans le cadre d’une campagne de piratage ciblant non seulement les appareils macOS, mais également les combinés iOS via un ensemble distinct de vulnérabilités différentes de la faille macOS zero-day.

« Sur la base de nos conclusions, nous pensons que cet acteur de la menace est un groupe bien doté, probablement soutenu par l’État, avec accès à sa propre équipe d’ingénierie logicielle en fonction de la qualité du code de la charge utile », a écrit Hernandez.

La version de macOS contenant la faille, macOS Catalina, lancée en 2019. La version suivante du système d’exploitation d’Apple, la version macOS Big Sur qui a fait ses débuts en 2020, ne semble pas affectée par la vulnérabilité basée sur les tests de Google », a écrit Hernandez. Les tests ont indiqué que « Apple a ajouté des protections génériques dans Big Sur, ce qui a rendu cet exploit inutile ».

Selon Google, les cyberattaques ont utilisé la faille macOS zero-day de concert avec une autre vulnérabilité affectant WebKit, le moteur de navigateur Web qui alimente le navigateur Safari d’Apple et d’autres applications populaires. Après avoir contourné les défenses de cybersécurité de macOS, le malware a installé une porte dérobée. La porte dérobée comprend des fonctionnalités qui peuvent être utilisées par les pirates pour créer une « empreinte digitale » unique d’un appareil infecté à des fins malveillantes, prendre des captures d’écran, enregistrer les frappes au clavier, enregistrer du son, télécharger et télécharger des fichiers et exécuter des commandes de terminal pour modifier les paramètres du logiciel.

La campagne de piratage des points d’eau découverte par Google ciblait non seulement les machines macOS, mais également les appareils iOS. Le groupe d’analyse des menaces de Google « n’a pas été en mesure d’analyser la chaîne d’exploitation iOS complète », Wired signalé, ce qui signifie que seules des informations partielles ont été découvertes sur le fonctionnement de la version de la cyberattaque ciblant les appareils iOS. Mais le géant de la recherche a découvert la vulnérabilité clé utilisée pour lancer la cyberattaque : Google a déterminé que la vulnérabilité se trouve dans le navigateur Safari d’Apple.

Google a signalé sa découverte à Apple avant la publication du billet de blog dans lequel les cyberattaques étaient détaillées. Apple a publié un correctif pour macOS Catalina afin de corriger la faille zero-day le 23 septembre. La deuxième vulnérabilité utilisée dans les cyberattaques macOS, qui a affecté le moteur de navigateur WebKit, a été corrigée avant la découverte de Google.

Photo: Unsplash