Comment Des Hackers Financés Par La Corée Du Nord Piratent macOS

Selon une étude publiée dimanche dernier, des hackers financés par la Corée du Nord auraient trouvé un nouveau moyen d’attaquer les ordinateurs Mac d’Apple.

Le gouvernement américain et de nombreuses entreprises de cybersécurité avancent que le collectif, qui se fait appeler Lazarus Group, serait parrainé par la Corée du Nord. Il aurait pour objectif de s’infiltrer dans des Mac par le biais de faux logiciels de cryptomonnaies développés par une société-écran.

Comment ça marche ? Selon Patrick Wardle, spécialiste en sécurité Mac et chercheur en sécurité principal chez Jamf, les hackers créent de toutes pièces une fausse entreprise, avec un site internet en toute apparence officiel. Dans ce cas précis, les Nord-Coréens auraient développé la société-écran JMT Trading.

Ils auraient par la suite créé une application open source de trading et l’auraient partagée sur la plateforme d’hébergement GitHub. Une fois l’application téléchargée, un logiciel malveillant caché dans le code source permet alors aux hackers d’avoir entièrement accès au Mac ciblé. Patrick Wardle l’explique bien : « La faculté d’exécuter des commandes à distance donne clairement à un attaquant à distance un contrôle total et extensible sur le système macOS infecté ».

Selon Patrick Wardle, les hackers peuvent alors passer à l’étape suivante, en contactant les administrateurs et les utilisateurs de plateformes d’échange de cryptomonnaies en leur demandant de tester et de noter leur nouvelle application. Avec un peu de chance, ils peuvent parvenir à atteindre un vendeur officiel de cryptomonnaies et peuvent alors commencer à infecter des cibles.

La Corée du Nord a essayé à plusieurs reprises de trouver un moyen de s’infiltrer dans les systèmes des cryptomonnaies, souvent avec succès. En août dernier, des sources indiquaient que le pays avait empoché jusqu’à 2 milliards de dollars en piratant des banques traditionnelles et des sociétés de cryptomonnaies. Une partie de cet argent pourrait bien aider le gouvernement à développer des armes de destruction massive.

Cette attaque récente sur macOS fait suite à un modus operandi similaire à une ancienne affaire constatée par l’entreprise de sécurité russe Kaspersky en août 2018. Là encore, une société-écran (Celas LLC) avait été créée pour cibler le secteur des cryptomonnaies.

Et Patrick Wardle de conclure : « Faut-il s’inquiéter des risques d’infection ? Probablement pas, à moins de travailler pour une plateforme d’échange de cryptomonnaies ».