Le chercheur en sécurité et ancien pirate informatique de la NSA, Patrick Wardle, a démontré un moyen de modifier les logiciels malveillants Mac créés par l’État pour exécuter son propre code au lieu des charges utiles des serveurs gouvernementaux.

La sophistication du malware rend sa réutilisation attrayante pour d’autres attaquants, y compris d’autres gouvernements…

ArsTechnica rapporte que Wardle a fait valoir cet argument lors d’une présentation à la conférence.

«Il existe des groupes de hackers incroyablement bien financés, dotés de ressources suffisantes et très motivés dans des agences à trois lettres qui créent des logiciels malveillants incroyables qui sont entièrement en vedette et également entièrement testés», a déclaré Wardle lors d’une conférence intitulée «Malware réorienté: un côté obscur du recyclage . “

“L’idée est: pourquoi ne pas laisser ces groupes dans ces agences créer des logiciels malveillants et si vous êtes un pirate informatique, réutilisez-le simplement pour votre propre mission?” il a dit.

Le malware sophistiqué est capable de déjouer les protections intégrées à macOS.

Wardle a pu apporter d’autres modifications à ses morceaux de code réutilisés afin de contourner les atténuations de logiciels malveillants intégrées à macOS. Par exemple, comme l’analyseur de logiciels malveillants Xprotect est basé sur des signatures de fichiers, la modification d’un seul octet de code réutilisé lui suffit pour échapper complètement à la détection. Et lorsque les certificats de signature émis par Apple ont été révoqués, il est trivial de annuler la signature du logiciel et de le signer avec un nouveau certificat. Et pour supprimer les avertissements affichés lorsque les utilisateurs tentent d’exécuter du code ou d’installer des applications téléchargées sur Internet, il est facile de supprimer les indicateurs de programmation qui font apparaître ces avertissements.

Le fonctionnement de ce type de logiciel malveillant consiste à télécharger les données capturées sur les serveurs appartenant au gouvernement qui les a créés et à télécharger des logiciels malveillants supplémentaires à partir de ces serveurs. Wardle a réussi à déchiffrer le cryptage utilisé et à pointer le malware vers son propre serveur.

La réaffectation a amené le logiciel malveillant à signaler aux serveurs de commande appartenant à Wardle plutôt qu’aux serveurs désignés par les développeurs. À partir de là, Wardle avait le contrôle total sur les logiciels malveillants recyclés. L’exploit lui a permis d’utiliser des applications bien développées et complètes pour installer ses propres charges utiles malveillantes, obtenir des captures d’écran et d’autres données sensibles à partir de Mac compromis, et effectuer d’autres actions néfastes écrites dans le logiciel malveillant.

Il a déclaré qu’en plus du risque que d’autres pirates informatiques le fassent, il y a deux raisons pour lesquelles d’autres gouvernements pourraient parfois détourner les logiciels malveillants d’un autre gouvernement au lieu d’utiliser les leurs.

Il peut permettre à des attaquants, en particulier ceux de groupes parrainés par l’État, d’infecter des environnements à haut risque, tels que ceux qui sont déjà infectés et sous l’œil d’autres acteurs de logiciels malveillants. Dans cette position, de nombreux groupes de piratage des États-nations renonceront à déployer leur logiciel malveillant, le joyau de la couronne, pour garder confidentielles les tactiques, techniques et procédures propriétaires.

La réutilisation du logiciel malveillant de quelqu’un d’autre peut être une alternative appropriée dans ces scénarios.

Dans le cas où l’infection par un logiciel malveillant est détectée et analysée légalement, il y a de fortes chances que les chercheurs attribuent l’attaque aux pirates informatiques d’origine et non à la partie qui a réorienté le logiciel malveillant.

C’est, dit-il, déjà en train de se produire. Par exemple, il existe des preuves que des logiciels malveillants développés par la NSA ont été utilisés par la Chine, la Corée du Nord et la Fédération de Russie. Quelque chose à garder à l’esprit lorsque le gouvernement américain demande à Apple de créer une version compromise d’iOS à l’usage des forces de l’ordre américaines.

Vous pouvez regarder la présentation de Wardle ci-dessous, voir les diapositives ici et obtenir une bonne description de la façon dont Wardle a réussi le détournement dans le rapport complet ArsTechnica.

Il convient de noter que Wardle décrit les logiciels malveillants Mac créés par l’État grâce à des ressources effectivement illimitées; la plupart des logiciels malveillants Mac sont plus nuisibles que menaçants.

