Le FBI a résolu un mystère vieux de 15 ans entourant le malware Fruitfly Mac
Qui était utilisé pour espionner les victimes via leur webcam ou micro
Le FBI a finalement résolu le mystère entourant le malware Fruitfly Mac, un logiciel malveillant pour Mac qui a été utilisé pour espionner des gens pendant près de 15 ans. L’individu à l’origine de cette cyberattaque s’appelle Phillip Durachinsky, un résident de l’Ohio aux États-Unis âgé actuellement de 28 ans. Il a été arrêté en janvier 2017 et inculpé un an plus tard, en janvier 2018. Il aurait donc mis au point, à seulement 14 ans, un logiciel malveillant qui ciblait la plateforme Mac et restait indétectable par les programmes antivirus des ordinateurs de ses victimes.
D’après le FBI, Phillip Durachinsky a conçu Fruitfly Mac (connu aussi sous le nom de Quimitchin) en 2003. Il s’en serait servi jusqu’en 2017, l’année de son arrestation, pour infecter les machines de ses victimes et prendre le contrôle de leur ordinateur. Fruitfly Mac lui permettait d’accéder au contenu ou de dérober des fichiers, de voir ce que l’utilisateur tapait au clavier ou d’espionner ses victimes à travers leur webcam ou leur microphone.
Les éléments à charge contre Durachinsky montrent que le malware Fruitfly Mac a, pour la première fois été détecté début 2017, après que le FBI ait été contacté pour enquêter sur un incident survenu à la Case Western Reserve University. Les investigations de l’agence fédérale ont permis d’identifier le logiciel malveillant en cause et de remonter la piste jusqu’à Phillip Durachinsky.
La majeure partie des experts suggéraient que ce logiciel malveillant n'aurait pu être déployé que par le biais de courriels d'hameçonnage ciblés parce qu’il n'a infecté qu'un très petit nombre de victimes et est passé inaperçu pendant des années. Mais le FBI envoie généralement des « alertes flash » aux entreprises détaillant les « menaces » en cours et les moyens de les prévenir. Et dans une notification envoyée le 5 mars dernier évoquant le malware Fruitfly/Quimitchin, le FBI a révélé ce qui suit :
« Le vecteur d’attaque comprend l’analyse et l’identification des services orientés vers l’extérieur, y compris le Apple Filing Protocol (AFP, port 548), le RDP ou un autre VNC, SSH (port 22) et Back to My Mac (BTMM), qui seraient ciblés par des mots de passe faibles ou des mots de passe provenant de violations de données de tiers ».
En d’autres termes, l’adolescent Durachinsky a utilisé une technique connue sous le nom de balayage ou analyse de ports pour identifier les ordinateurs Mac qui étaient connectés à Internet ou au réseau et qui exposaient des ports d’accès distant avec des mots de passe faibles ou sans mot de passe.
Il se connectait ensuite à distance à ces ordinateurs via les ports de service ouverts et y installait puis y dissimulait Fruitfly à l’insu des utilisateurs. Il a utilisé cette technique pendant 14 ans jusqu’à cette détection « malencontreuse » à l’Université Case Western Reserve.
L’existence de Fruitfly a été divulguée sur la toile peu de temps après l’arrestation du pirate dans un rapport détaillant les capacités intrusives de Quimitchin qui à cette époque était considéré comme la souche de malware pour Mac la plus avancée. Quelques mois plus tard, en juillet 2017, un ancien analyste de la NSA, Patrick Wardle, a découvert une souche encore plus puissante que Fruitfly Mac et a fait part de sa trouvaille lors la conférence de sécurité Black Hat USA 2017.
Les éléments de preuves rassemblés contre Durachinsky ont révélé qu’il n’était pas particulièrement intéressé par le chantage, l’escroquerie ou l’enrichissement personnel dans ses activités criminelles, mais avait plutôt tendance à espionner ses victimes et à s’adonner au voyeurisme. Il avait collecté des millions d’images sur son ordinateur, dont celles de nombreux enfants mineurs.
Source : Scribd (dossier d’accusation), MalwareBytes
Et vous ?
Qu’en pensez-vous ?
Que proposeriez-vous pour éviter ou contrer une attaque basée sur un balayage de ports ?
Voir aussi
Une attaque DDoS memcached établit un nouveau record avec une amplitude de 1,7 Tbps, quelques jours seulement après l'attaque contre GitHub
Des chercheurs mettent en oeuvre une attaque efficace par usurpation de GPS et réussissent à tromper facilement les humains
Thermanator : nouvelle forme d'attaque cybercriminelle de vol de mot de passe, qui exploite l'énergie thermique résiduelle laissée sur les claviers
Cybersécurité : comment l'attaque contre Equifax en 2017 a-t-elle pu être possible ? Un état des lieux de la cybersécurité après cette attaque
Partager