- Une attaque dite de « point d’eau » a compromis le site d’information d’une station de radio pro-démocratie Hongkongaise.
- Les agresseurs ont exploité une vulnérabilité du navigateur Safari pour installer le malware de cyberespionnage DazzleSpy sur les Mac© des visiteurs du site.
- Les cibles sont probablement des personnes politiquement actives en faveur de la démocratie à Hong Kong.
- La vulnérabilité aurait également pu être exploitée sur iOS, voire sur des appareils tels que l’iPhone XS et plus récents. Cette campagne présente en fait des similitudes avec une campagne de 2020 dans laquelle le malware iOS LightSpy était diffusée de la même manière.
- DazzleSpy est en mesure d’effectuer une grande variété d’actions de cyberespionnage.
- ESET Research en conclut que les moyens techniques du groupe à l’origine de cette opération sont très avancés.
- Le malware utilise l’heure normale de la Chine et contient un certain nombre de messages internes en chinois.
BRATISLAVA, MONTRÉAL — Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert que le site d’information de la station de radio pro-démocratie D100 de Hong Kong a récemment été compromis afin d’exploiter une vulnérabilité de Safari et d’installer un malware de cyberespionnage sur les Mac des visiteurs du site. L’attaque dite de « point d’eau » menée par les agresseurs montre que les cibles sont probablement des personnes actives sur le plan politique et favorables à la démocratie de Hong Kong. Le malware diffusé aux visiteurs du site est un malware pour macOS qu’ESET a nommé DazzleSpy. Jusqu’à lors inconnu, il est capable de collecter une grande variété d’informations sensibles et personnelles.
Le premier signalement d’une attaque de type « point d’eau » menant à l’exploitation d’une vulnérabilité du navigateur web Safari sur macOS a été publié par Google en novembre dernier. Les chercheurs d’ESET ont enquêté sur ces attaques en même temps que Google et ont découvert des détails supplémentaires sur les cibles et les malwares utilisés pour compromettre les victimes. ESET a confirmé que le correctif identifié par l’équipe de Google corrige la vulnérabilité Safari utilisée dans les attaques.
« Le code d’exploitation de la vulnérabilité utilisé pour exécuter le malware dans le navigateur est assez complexe, comportant plus de 1 000 lignes. Certains indices dans le code suggèrent que la vulnérabilité aurait également pu être exploitée sur iOS, même sur des appareils tels que l’iPhone XS et plus récents, » explique Marc-Étienne Léveillé, qui a enquêté sur l’attaque.
Cette campagne présente des similitudes avec celle de 2020, dans laquelle le malware LightSpy iOS a été diffusé de la même manière, en utilisant une injection d’iframe sur des sites web destinés aux citoyens de Hong Kong conduisant à une exploitation de WebKit.
DazzleSpy est en mesure d’effectuer une grande variété d’actions de cyberespionnage. Il peut recueillir des informations sur l’ordinateur compromis, rechercher les fichiers spécifiques, analyser les fichiers des dossiers « Bureau », « Téléchargements » et « Documents », exécuter les commandes shell, démarrer ou terminer une session d’écran à distance et écrire un fichier sur le disque.
Compte tenu de la complexité de l’exploitation utilisée, ESET Research en a conclu que le groupe à son origine de cette opération dispose de solides moyens techniques. Il est également intéressant de noter qu’un chiffrement de bout en bout est appliqué dans DazzleSpy entre le client et le serveur de command & control (C2).
Parmi les autres conclusions intéressantes sur ces pirates, on peut noter qu’une fois que le malware obtient la date et l’heure de l’ordinateur compromis, il les convertit dans le fuseau horaire Asie/Shanghai (c’est-à-dire l’heure standard de la Chine), avant de l’envoyer au serveur de commande et de contrôle. DazzleSpy contient par ailleurs un certain nombre de messages internes en chinois.
À propos d'ESET :
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.
Pour plus d’informations : https://www.eset.com/fr/
Blog : https://www.welivesecurity.com/fr/
