Les chercheurs en sécurité de Google Threat Analysis Group (TAG) viennent de révéler l’utilisation d’une faille zero-day dans macOS dans le cadre d’une campagne d’espionnage en août 2021. Les victimes ont été infectées au travers de sites web hongkongais, à savoir celui d’un média et d’un syndicat et groupe politique pro-démocratie. Vu la qualité des codes malveillants trouvés, ce groupe de pirates était doté de beaucoup de ressources et disposait d’une équipe de développement dédiée. Ce qui fait dire à Google que les attaquants étaient « probablement d’origine étatique ». Compte tenu du contexte géopolitique, les regards se tournent évidemment vers la Chine.
A découvrir aussi en vidéo :
L’infection initiale s’appuyait sur une faille qui était déjà patchée depuis le 5 janvier (CVE-2021-1789) et qui permettait aux attaquants d’exécuter un fichier binaire dans Safari. Cet exécutable était capable de s’extraire du bac à sable de Safari et d’obtenir les privilèges root. Pour cela, il s’appuyait sur une faille zero-day (CVE-2021-30869) dans XNU, le noyau de macOS. La suite est assez classique : téléchargement d’un second code malveillant depuis un serveur de commande et contrôle et installation d’une backdoor. Celle-ci permettait, entre autres, de réaliser une empreinte mathématique du terminal, des captures des images d’écran, d’exfiltrer des fichiers, d’exécuter des commandes de terminal et d’enregistrer les conversations grâce au micro ou les frappes de clavier. Bref, un logiciel espion très complet.
Toutefois, cette attaque ne fonctionnait que sur la version macOS Catalina, pas sur Big Sur, où l’exécutable malveillant ne provoquait qu’un crash logiciel. Alerté par Google, Apple a diffusé un correctif pour macOS Catalina le 23 septembre 2021. « Nous apprécions la rapidité de la réponse d’Apple », a souligné Google. Ce n’est pas la première fois que les chercheurs de Google révèlent des attaques de cyberespionnage probablement orchestrées par le gouvernement chinois. En 2019, ils avaient documenté le piratage d’iPhone via — là encore — des sites web piratés. À cette époque, les personnes ciblées n’étaient pas des Hongkongais, mais des Ouïghours.
Source : Google
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.