Avis de menace : les spywares sur mobile continuent d’évoluer

Introduction

Jamf Threat Labs s'intéresse aux logiciels espions sophistiqués et notamment aux indicateurs précédemment attribués à Pegasus de NSO Group. Ces spywares sont en effet utilisés pour cibler les iPhone de personnes à haut risque. Sur une période de six mois, Jamf Threat Labs a inspecté plusieurs appareils mobiles appartenant à différentes personnes et organisations. Plusieurs d'entre eux présentaient des indicateurs de compromission (IOC) uniques et contenaient les preuves de campagnes de spyware actives.

Cet avis met en évidence l'utilisation active de logiciels espions dans différentes régions du monde. Ces recherches peuvent contribuer à la surveillance constante de ces exploits, et Jamf Threat Labs tient à les partager avec la communauté de la sécurité.

Pour protéger les organisations et les personnes qui ont été ciblées, nous avons anonymisé certains détails, mais cela ne change rien aux résultats de l'analyse qui, eux, sont intacts.

Ce que nous savons

• Des logiciels espions ciblés ont été identifiés dans des attaques menées dans le monde entier.
  • Au cours des six derniers mois, des utilisateurs de plusieurs régions ont été touchés par des spywares.
  • Dans chaque cas, les personnes visées présentaient un risque élevé d'attaque ciblée.
  • Chaque scénario d'attaque a donné lieu à des indicateurs de compromission uniques.
  • La diversité du matériel et des logiciels compromis confirment que de nouveaux exploits surgissent sans cesse au fil de la publication des correctifs de sécurité, et la population d'appareils vulnérables augmente sans cesse.
• Apple surveille activement les appareils pour détecter toute compromission.
  • Dans le cadre de sa collaboration avec Jamf Threat Labs, Apple a informé l'un des utilisateurs compromis et a confirmé une activité inhabituelle sur l'appareil.notified
  • Tous les utilisateurs concernés par le logiciel espion n'ont pas été contactés par Apple, signe qu'il est extrêmement difficile de maintenir une liste exhaustive des IOC et d'extraire les données utiles à distance.
• Les personnes et les organisations à haut risque ne mènent pas systématiquement d'enquête approfondie suite à la découverte d'indicateurs de menaces ou de problèmes.
  • Certaines organisations le font pour confirmer les attaques.
  • D'autres décident d'effacer l'appareil aux premiers signes d'IOC, sans procéder à une analyse complète.
  • Ce manque de méthode est un frein à des recherches approfondies sur les attaques émergentes.

Vérifier une infection par spyware mobile

Le premier appareil que nous allons examiner est l'iPhone 12 Pro Max d'un militant des droits de l'homme basé au Moyen-Orient. L'appareil était utilisé comme outil de communication quotidien. Nous l'appellerons par la suite l'iPhone du Moyen-Orient.

Un IOC connu

L'analyse de Jamf Threat Labs a révélé des traces du processus « libtouchregd ». Selon Amnesty International, ce nom de processus est un IOC associé au logiciel espion Pegasus.

Certes, on ne peut jamais exclure la possibilité qu'un autre acteur malveillant réutilise délibérément le même nom de processus pour brouiller les pistes. Mais cette hypothèse reste peu probable dans le cas de l'iPhone du Moyen-Orient, pour les raisons suivantes :

• Un autre malfaiteur n'a aucun intérêt à donner à son processus un nom connu, car cela pourrait faciliter la découverte de son attaque et donc la destruction de la chaîne d'exploitation.
• Jamf Threat Labs a déterminé que l'attaque contre l'iPhone du Moyen-Orient s'est produite trois mois avant la publication des IOC par Amnesty International.before Cela réduit considérablement la probabilité qu'un tiers imite le processus décrit dans le rapport d'Amnesty.

Par conséquent, notre analyse suggère fortement que l'acteur décrit par le blog d'Amnesty International est bien à l'origine de l'attaque contre l'iPhone du Moyen-Orient.

Indicateur d'exploitation possible via l'analyse du journal de panne

L'iPhone du Moyen-Orient a également révélé d'autres indicateurs de compromission suite à l'analyse du fichier com.apple.CrashReporter.plist.

Le fichier com.apple.CrashReporter.plist est localisé dans un dossier root sur iOS (/private/var/root/Library/Preferences/). Ce PLIST sert de fichier de configuration pour ReportCrash, un démon système.

Dans des conditions normales, les applications ne sont pas autorisées à accéder à ce fichier ou à le modifier. L'altération de ce fichier pourrait entraver la transmission des rapports de panne à Apple. De plus, ce fichier existe rarement pour un utilisateur normal.

Dans les rares cas où ce fichier existe pour des raisons légitimes, il conserve les signalements de panne urgentSubmission et présente un contenu similaire à l'exemple suivant. Dans notre exemple, 5 entrées ont été classées comme urgentSubmission, la dernière datant du jeudi 9 mars 2023 (19 425 jours depuis le 1er janvier 1970).

Le démon système ReportCrash classe l'entrée comme urgentSubmission. Sur les versions bêta d'iOS, toutes les entrées de journal de panne sont considérées comme urgentSubmission. Autrement, ReportCrash réserve son usage au signalement d'événements rares et critiques (voir ci-dessous).

D'après une analyse du démon ReportCrash sur iOS 16.2, seules les entrées qui répondent à un ensemble strict de critères sont classées comme urgentSubmission. Voici ces critères :

• Types de rapports spéciaux, notamment probGuard et quarantaine.
• Comportement non défini détecté par UBSan, un outil utilisé par LLVM pour détecter les problèmes au moment de l'exécution.
• Code d'erreur d'instantané spécifique, car le mécanisme d'instantané est utilisé pour maintenir l'intégrité du système de fichiers.
• Diverses alertes de débordement de la bibliothèque libsystem_c.

En fin de compte, Jamf Threat Labs considère l'existence de ces rapports urgentSubmission comme un indicateur d'exploitation qui exige une analyse de l'appareil.

Notification officielle

Fin 2022, l'utilisateur de l'iPhone du Moyen-Orient a reçu une notification de menace de la part d'Apple. L'entreprise l'informait d'une attaque potentielle et lui recommandait de mettre à jour son appareil vers iOS 16.2. Après la mise à jour, l'utilisateur a échangé avec des chercheurs en sécurité pour mieux comprendre la chronologie de l'attaque et son mode d'action.

Après enquête, l'iPhone du Moyen-Orient s'est avéré être un trésor pour notre analyse. Il contenait en effet tout un ensemble d'indicateurs de compromission manifestement associés à Pegasus. Ces conclusions ont permis à Jamf Threat Labs d'établir un profil plus solide en s'appuyant sur appareil dont la compromission était prouvée.

Analyse d'un spyware ciblant les anciens iPhone

Le deuxième appareil que nous allons présenter est l'iPhone d'un journaliste qui travaille en Europe pour une agence de presse mondiale. Nous l'appellerons par la suite l'iPhone européen. Précisons que cet appareil était un iPhone 6s, un modèle qui n'est plus compatible avec la dernière version d'iOS.

Découverte d'un nouvel IOC grâce à l'analyse du système de fichiers

À l'instar de l'iPhone du Moyen-Orient, l'iPhone d'Europe présentait des signes de pannes critiques du système, comme l'indique l'existence d'un fichier com.apple.CrashReporter.plist dont nous avons parlé plus haut.

Plus suspect encore, l'iPhone européen abritait des fichiers stockés dans un emplacement atypique du système de fichiers de l'iPhone, habituellement très strict. En outre, l'un de ces fichiers (au moins) se faisait clairement passer pour un binaire intégré : /private/var/containers/appconduitd_helper. Sur la base de ce chemin et de ce nom de fichier, nous avons de bonnes raisons de penser qu'il peut s'agir d'un nouvel indicateur, qui permettrait de déterminer si un appareil a été ciblé par cet acteur malveillant. Nous avons également informé Apple de l'existence de ce nouvel indicateur potentiel.

Nous avons déjà observé des activités similaires sur d'autres appareils ciblés. Pour autant, nous ne pouvons pas déterminer de manière concluante que l'iPhone européen a été compromis par un acteur spécifique. Sur la base d'infections antérieures présentant des similitudes frappantes, nous estimons que l'iPhone européen a été ciblé à l'aide d'un outil commercial.

iPhone 6s et appareils non pris en charge

Le fait que des appareils plus anciens comme l'iPhone 6s soit encore la cible d'attaques nous rappelle une chose : les acteurs malveillants cherchent à exploiter la moindre vulnérabilité de l'infrastructure d'une organisation et à l'attaquer par tous les angles possibles.

Il arrive parfois à Apple de publier des mises à jour de versions antérieures d'iOS pour fournir des correctifs de sécurité critiques aux appareils plus anciens. Sortie le 10 avril 2023, iOS 15.7.5 est la version d'iOS la plus récente pour l'iPhone 6 au moment de la publication de ce blog. Mais il faut garder en tête que toutes les vulnérabilités ne sont pas résolues sur les versions antérieures d'iOS, et que les nouveaux correctifs ne peuvent pas toujours leur être adaptés. Ils arrivent d'ailleurs souvent avec du retard. En effet, iOS 15.7.5 contenait des correctifs de sécurité qu'Apple avait publiés trois jours plus tôt dans iOS 16.4.1. Les acteurs malveillants peuvent ainsi continuer à exploiter certaines vulnérabilités. Pour eux, c'est autant de temps gagné pour obtenir des informations et, à terme, un accès à distance aux appareils ciblés.

D'une manière générale, nous recommandons vivement de remplacer les appareils obsolètes par des modèles plus récents d'iPhone ou d'iPad bénéficiant des versions les plus récentes du système d'exploitation.

Actions recommandées

Les logiciels espions modernes sont très sophistiqués. Comme le montre l'évolution constante des spywares commerciaux, ils exploitent toujours les vulnérabilités « zero-day » des appareils anciens et nouveaux pour cibler efficacement n'importe quel utilisateur.

Mener une attaque à l'aide de spywares commerciaux a un coût élevé. Pour autant, toute personne ou organisation qui utilise des appareils mobiles pour accéder à des données sensibles a intérêt à mettre en place un système de défenses à plusieurs niveaux pour se protéger contre les attaques.

Jamf Threat Labs émet plusieurs recommandations à l'intention des organisations :

• Assurez-vous que tous les appareils sont équipés du système d'exploitation le plus récent et de tous les correctifs de sécurité disponibles.
• Tenez à jour toutes les applications, qu'elles soient professionnelles ou personnelles ; souvent négligées par les équipes de sécurité, les vulnérabilités des applications mobiles sont faciles à exploiter.
• Utilisez un logiciel de sécurité pour surveiller les activités suspectes et surveillez ses signalements comme tous les autres tableaux de bord de surveillance des terminaux. Les appareils mobiles doivent être traités avec la même attention et la même urgence que les ordinateurs de bureau, les ordinateurs portables et les serveurs.
• Surveillez les communications pour détecter les téléchargements suspects, les indicateurs de commande et de contrôle et l'exfiltration de données. Utilisez des règles automatisées pour bloquer les activités suspectes connues avant qu'elles ne causent d'autres dommages.
• Sensibilisez les utilisateurs à haut risque aux symptômes des logiciels espions – problèmes de performance, pannes à répétition, etc. Encouragez-les à contacter leur équipe de sécurité s'ils observent l'un de ces problèmes afin de maximiser l'extraction des IOC de leur appareil.
• Encouragez les utilisateurs à haut risque à utiliser le mode Lockdown, conçu pour protéger les appareils contre des formes extrêmement rares et très sophistiquées de cyberattaques.
• Mettez en œuvre un processus de surveillance qui inclut l'analyse de la télémétrie mobile et tenez-vous informé des IOC liés aux spywares mobiles.