Depuis un an, les chercheurs en sécurité tentent de percer le secret de FruitFly, un mystérieux logiciel d’espionnage qui infectent des ordinateurs Mac. En janvier 2017, la société MalwareBytes est la première à analyser ce malware trouvé sur des ordinateurs d’instituts de recherche biomédicales. Le code est assez bizarre. Il est à la fois sophistiqué et démodé, certaines fonctions et librairies remontant en effet aux années 90, ce qui l’empêche pas de fonctionner parfaitement.
En août 2017, le chercheur en sécurité Patrick Wardle pousse l’analyse un peu plus loin. Il a installé un exemplaire sur une machine de test et créé un faux serveur de commande et contrôle, ce qui lui a permis de tester et d’observer le comportement du malware. Il découvre une cinquantaine de fonctions : capture d’écran, copie de fichiers, manipulation du clavier et de la souris, exécution de commandes Shell, etc. Plus étonnant : l’une des fonctions permet au pirate de l’alerter lorsque sa victime utilise son PC, ce qui est plutôt inhabituel pour un logiciel espionnage soi-disant industriel. Généralement, dans ce genre d’opération, le pirate ne veut pas prendre le risque d’être découvert par la personne ciblée.
Il a piraté des Mac et des PC
Depuis avant-hier, le mystère de FruitFly a été levé. Le département de la justice américaine a annoncé l’inculpation de Phillip R. Durachinsky, un homme de 28 ans résidant dans l’Ohio. Il serait l’auteur de ce malware et l’aurait utilisé pendant plus de 13 ans (!) pour accéder à des milliers d’ordinateurs appartenant à des particuliers, des entreprises, des écoles, un poste de police ou des agences gouvernementales. Le malware – dont il aurait également créé une version Windows – lui aurait permis de voler un vaste éventail de données. Il aurait mis la main sur des analyses médicales, des mots de passe, des relevés bancaires ou des avis fiscaux. Il se serait aussi intéressé à des informations plus intimes comme les recherches effectuées sur Internet, les photos et les communications.
was epic collab'ing w/ @FBI on OSX/FruitFly investigation. 💯 kudos & credit to them for tracking down & arrest of author: https://t.co/sIT6uPM7bu So f**k'd up malware used for "13 yrs in order to watch & listen to unknowing [🍎] victims as well as produce child pornography" 😢🤬
— patrick wardle (@patrickwardle) January 10, 2018
Là où l’histoire devient franchement nauséabonde, c’est que l’homme aurait scruté le moment où ses victimes tapaient des mots liés à la pornographie et les aurait alors espionnées au travers du microphone ou de la caméra, ce qui explique la fonction d’alerte trouvée par Patrick Wardle. Selon le département de la justice, il aurait récolté et stocké ainsi « des millions d’images ». Celles-ci lui auraient servi à créer et diffuser des images pédopornographiques.
L’homme était à la fois prudent et ingénieux. Toutes ces données captées n’étaient pas sauvegardées chez lui mais… sur les ordinateurs des victimes. Comme le précise l’acte d’accusation publié par Forbes (p.5-6), « l’accusé a créé des containers de stockage sur certains ordinateurs infectés par FruitFly pour sauvegarder et traiter les images et les fichiers obtenus auprès d’autres victimes FruitFly ».
On ne sait pas précisément qui sont toutes ces victimes, mais selon Patrick Wardle – qui en a détecté plusieurs centaines – elles se situent à 90 % sur le territoire américain.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.