Les hackers russes d’APT28 ciblent les Mac et exfiltrent les sauvegardes iPhone

Der chercheurs ont mis la main sur une variante inconnue de XAgent, la porte dérobée que ces hackers ont déjà utilisé de nombreuses fois, notamment pour pirater le Parti démocrate américain.
Mac macOS Mac OS X

On aurait pu s’en douter, c’est désormais établi. Les agents d’APT28, ce groupe de hackers que les experts en sécurité associent au renseignement militaire russe, disposent également d’outils pour espionner les utilisateurs de Mac. Les chercheurs en sécurité de Bitdefender viennent en effet de mettre la main sur une variante macOS de XAgent, une porte dérobée qu’APT28 a utilisé pour pirater le Parti démocrate américain et que l’on n'avait observé, jusqu’à présent, que sur Windows, Linux, iOS et Android.

Un logiciel modulaire

Une fois installée, la version Mac de XAgent attend la disponibilité d’une connexion Internet pour contacter les serveurs de commande et contrôle. Pour passer inaperçus, ces derniers utilisent des URL qui imitent des domaines Apple. Comme les autres variantes, la version Mac est construite de façon modulaire. Ces modules permettent d’analyser la configuration matérielle et logicielle, récupérer la liste des processus, exécuter du code, prendre des copies d’écran, voler des mots de passe dans le navigateur, etc.

L’un des modules, en particulier, permet d’exfiltrer des sauvegardes d’iPhone qui seraient stockées sur l’ordinateur. Ce qui est évidemment très intéressant pour des espions, étant donné la quantité d’informations personnelles que nous stockons sur nos smartphones. A ce propos, petit rappel : iTunes permet de chiffrer les sauvegardes d’iPhone sans que cela ajoute une contrainte particulière. Ainsi, même si le Mac est compromis par un pirate, il ne pourra quand même pas accéder aux données de l’iPhone.     

Source : Bitdefender