Des visiteurs de sites Web bien connus de mouvements de défense de la démocratie et des droits des travailleurs à Hong Kong auraient été infectés par des logiciels malveillants sur leurs Mac et iPhones pendant plusieurs semaines. Un exploit de type « zero-day » dans le noyau XNU a été utilisé. Ceci a été signalé par le groupe d’analyse des menaces (TAG) de Google.
Sommaire
Apple a réagi lentement
La brèche a été comblée entre-temps, Apple avait publié le 23 septembre une mise à jour spéciale pour macOS Catalina ainsi que les anciennes versions d’iOS, spécialement pour le bug XNU. Toutefois, les bogues auraient été exploités depuis au moins août 2021, selon le document de Google dans le blog TAG – si ce n’est plus longtemps.
Les détails concernant le logiciel malveillant pour iOS ne sont que partiellement disponibles à ce jour, selon Google. Il n’a pas été possible d’identifier la chaîne d’infection complète, précise le rapport. Apparemment, un bug plus ancien et déjà corrigé de Safari a été utilisé pour exécuter du code (CVE-2019-8506). Sous macOS, cependant, TAG a pu découvrir comment l’attaque fonctionne. On ne sait pas qui est derrière tout cela, mais on soupçonne un acteur étatique.
Accès complet au système
La souche du malware macOS est appelée « MACMA » ou « OSX.CDDS ». Il obtient un accès complet à la racine des systèmes affectés et utilise une combinaison d’un bogue WebKit – qui a été corrigé en janvier 2021 (CVE-2021-1789) – et la vulnérabilité XNU. Le logiciel espion découvert sur les appareils est doté d’une porte dérobée qui offre de nombreuses possibilités aux attaquants. Selon Google, il s’agit notamment de prendre les empreintes digitales de l’appareil, de réaliser des captures d’écran, de télécharger (et d’envoyer) des fichiers, d’exécuter des commandes de terminal, d’activer un mouchard audio (microphone activé) et d’enregistrer les touches.
Selon Google, le logiciel malveillant a été distribué par l’intermédiaire de « sites Web d’un média d’information » à Hong Kong ainsi que d’un « groupe politique pro-démocratique de premier plan » qui défend également les droits des travailleurs. TAG n’a pas dit exactement lesquelles. Il est intéressant de noter que la vulnérabilité et l’exploit XNU auraient été présentés lors de deux conférences sur la sécurité en avril et juillet 2021 – par l’équipe chinoise de jailbreak Pangu Lab. Il semble également être similaire à un problème XNU antérieur que Google Project Zero avait découvert (CVE-2020-27932) et pour lequel un exploit iOS existait. La raison pour laquelle Apple n’a pas répondu aux présentations d’avril et de juillet n’est pas claire.