Depuis au moins Fin août, des pirates informatiques sophistiqués ont utilisé des failles dans macOS et iOS pour installer des logiciels malveillants sur des appareils Apple qui ont visité des médias basés à Hong Kong et des sites Web pro-démocratie. Les soi-disant attaques de points d’eau jettent un large filet, plaçant sans discernement une porte dérobée sur n’importe quel iPhone ou Mac assez malheureux pour visiter l’une des pages concernées.
Apple a corrigé les différents bugs qui ont permis à la campagne de se dérouler. Mais un rapport publié jeudi par le groupe d’analyse des menaces de Google montre à quel point les pirates étaient agressifs et à quel point leur portée s’étendait. C’est encore un autre cas de vulnérabilités non divulguées auparavant, ou zero-days, exploitées à l’état sauvage par des attaquants. Plutôt qu’une attaque ciblée qui se concentre sur des cibles de grande valeur comme les journalistes et les dissidents, cependant, le groupe présumé soutenu par l’État a pris de l’ampleur.
Les récentes attaques se sont spécifiquement concentrées sur la compromission des sites Web de Hong Kong « pour un média et un groupe syndical et politique pro-démocratie de premier plan », selon le rapport du TAG. On ne sait pas comment les pirates ont compromis ces sites pour commencer. Mais une fois installés sur les appareils victimes, les logiciels malveillants qu’ils distribuaient s’exécutaient en arrière-plan et pouvaient télécharger des fichiers ou exfiltrer des données, effectuer des captures d’écran et des enregistrements de frappe, lancer un enregistrement audio et exécuter d’autres commandes. Il a également fait une « empreinte digitale » du dispositif d’identification de chaque victime.
Les attaques iOS et macOS avaient des approches différentes, mais les deux ont enchaîné plusieurs vulnérabilités afin que les attaquants puissent prendre le contrôle des appareils victimes pour installer leurs logiciels malveillants. TAG n’a pas été en mesure d’analyser la chaîne d’exploitation iOS complète, mais a identifié la vulnérabilité clé de Safari utilisée par les pirates pour lancer l’attaque. La version macOS impliquait l’exploitation d’une vulnérabilité WebKit et d’un bogue du noyau. Tous ont été corrigés par Apple tout au long de 2021, et l’exploit macOS utilisé dans l’attaque avait déjà été présenté lors des conférences d’avril et de juillet par Pangu Lab.
Les chercheurs soulignent que le logiciel malveillant envoyé aux cibles via l’attaque du point d’eau a été soigneusement conçu et “semble être le produit d’une ingénierie logicielle poussée”. Il avait une conception modulaire, peut-être pour que différents composants puissent se déployer à différents moments dans une attaque en plusieurs étapes.
Les pirates informatiques soutenus par l’État chinois sont connus pour utiliser un nombre extravagant de vulnérabilités zero-day dans les attaques de points d’eau, y compris des campagnes visant à cibler les Ouïghours. En 2019, le Project Zero de Google a mis au jour une campagne de ce type qui durait depuis plus de deux ans et a été l’un des premiers exemples publics d’iOS Zero Days utilisé dans des attaques contre une large population plutôt que contre des cibles individuelles spécifiques. La technique a également été utilisée par d’autres acteurs. Shane Huntley, directeur de Google TAG, a déclaré que l’équipe ne spéculait pas sur l’attribution et n’avait pas suffisamment de preuves techniques dans ce cas pour attribuer spécifiquement les attaques. Il a seulement ajouté que “l’activité et le ciblage sont cohérents avec un acteur soutenu par le gouvernement”.
“Je pense qu’il est remarquable que nous assistions toujours à ces attaques et que le nombre de jours zéro trouvés dans la nature augmente”, a déclaré Huntley. « Augmenter notre détection des exploits zero-day est une bonne chose – cela nous permet de corriger ces vulnérabilités et de protéger les utilisateurs, et nous donne une image plus complète de l’exploitation qui se produit réellement afin que nous puissions prendre des décisions plus éclairées sur la façon de prévenir et combattez-le.
Les appareils Apple ont longtemps été réputés pour leur sécurité renforcée et moins de problèmes liés aux logiciels malveillants, mais cette perception a évolué au fur et à mesure que les attaquants ont découvert et exploité de plus en plus de vulnérabilités zero-day dans les iPhones et les Mac. Comme les attaques à grande échelle l’ont montré à maintes reprises, les attaquants ne s’attaquent pas seulement à des cibles spécifiques et de grande valeur, ils sont prêts à affronter les masses, quel que soit l’appareil qu’ils possèdent.
Plus de belles histoires WIRED
.
.png)
