Rusai kaltinami programinės įrangos nukreiptos prieš Mac sukūrimu

Rusijos kriminalinės erdvės šnipai siejami su JAV prezidento rinkimų įsilaužimais, dabar nusitaikė į Mac kompiuterių naudotojus.

Kibernetinės erdvės saugumo ekspertai aptiko naują „macOS“ skirtą kenkėją, kuris labai tikėtina yra vienas iš Rusijos kibernetiniu špionažu užsiimančios grupuotės, taip pat kaltinamos įsilaužimais pernai JAV Nacionalinio demokratų komiteto serverius, arsenalo ginklų.

Ši kibernetinio šnipinėjimo programišių grupė jau gerą dešimtmetį žinoma skirtingais vardais, tokiais kaip: „Fancy Bear“, „Pawn Storm“ir „APT28“. Nežiūrint, kad dažnai tai įvardinamą kaip grupės, greičiausiai, tai yra vienas žmogus, tikėtina programuotojas. Jam priskiriamas ir „Trojos arklio“ pavadinto „Sofacy“ ar „X-Agent“ sukūrimas.

„X-Agent“ variantai skirti „Windows“, „Linux“, „Android“ ir „iOS“ jau yra aptikti anksčiau, tačiau „Bitdefender“ tyrėjų manymu jie aptiko pirmą „macOS“ skirtą šio kenkėjo versiją. Nėra gerai žinoma, kaip šis Trojos arklys platinamas, nes ekspertai gavo tik kenkėjo pavyzdį ir neturėjo galimybės patyrinėti visos atakos grandinės. Labai galimas dalykas, kad šis kenkėjas išnaudoja „macOS“ kenkėjų atsiuntėją žinomą „Komplex“ pavadinimu, kuris buvo aptiktas pernai rugsėjį.

„Komplex“ užkrečia „Mac“ kompiuterius išnaudodamas žinomą „MacKeeper“[1] pažeidžiamumą — teigia „Palo Alto Networks“ ekspertai tyrinėję šį kenkėją. „X-Agent“ užkrėstame kompiuteryje programišiai nuotoliniu būdu gali paleisti specialias komandas, kai kompiuterio naudotojas apsilanko tam tikrose svetainėse.

„Palo Alto Networks“ ekspertai pastebėjo panašumų tarp „Komplex“ ir „Carberp“ Trojos arklio, kurį naudojo APT28. Komandų ir kontrolės centrų domenų vardai naudojami šių kenkėjų koduose taip pat siejami su ART28 veikla. „X-Agent“ naudoja labai panašius domenus, skiriasi tik jų TLD[2]. Patyrinėjus „Komplex“ ir „X-Agent“ kodus galima aptikti ir daugiau panašumų, todėl jie siejami su tuo pačiu autoriumi.

„X-Agent“ turi galimybę atsisiųsti papildomus modulius. Šią galimybę „Bitdefender“ ekspertai dar tyrinėja. Kol kas, iš žinomų šio kenkėjo galimybių yra gebėjimas: patikrinti sistemos programinės ir aparatinės įrangos konfigūraciją, surinkti veikiančių procesų sąrašą, paleisti papildomas aplikacijas ir komandas, gauti ekrano vaizdus ir surinkti naršyklėse išsaugotus interneto svetainių slaptažodžius. Vienas iš kenkėjo modulių yra skirtas ieškoti „iPhone“ atsarginių duomenų kopijų ir jas persiųsti į kenkėjo komandinius centrus. Atsarginėse „iPhone“ kopijose gali būti išsaugoti asmeniniai duomenys, kuriuos vėliau galima panaudoti piktam.

APT28 yra laikoma viena labiausiai patyrusių, sudėtingų ir sumanių kibernetinio špionažo grupių pasaulyje. Ji dažnai išnaudoja 0-day[3] saugumo spragas. Ši grupuotė (net jei tai ir vienas žmogus) kaltinama eilę metų vykdanti įsilaužimus visame pasaulyje ir jos pasirinkti taikiniai dažnai atspindi Rusijos geopolitinius interesus. Kibernetinio saugumo ekspertai visame pasaulyje sutaria, kad APT28 yra glaudžiai susijusi su Rusijos žvalgybos tarnyba (GRU[4]).


  1. MacKeeper kūrėjai deklaruoja, kad jų programinė sukurta aplikacija skirta apsaugoti „Mac“ kompiuterius nuo virusų, tačiau jų agresyvi ir neetiška „MacKeeper“ platinimo taktika užtarnavo kompanijai prastą vardą, o ir šiaip ši „antivirusu“ vadinama programinė įranga labiau panaši į virusą ir yra puiki terpė kenkėjams plisti. Jos diegimo kompiuteriuose reikėtų vengti.  ↩

  2. TLD (angl. Top-level domain) pvz.: .com, .org. .lt ir t.t.  ↩

  3. 0-day arba zero-day vadinamos programinės įrangos saugumo spragos nežinomos ne tik viešai, bet ir tos programinės įrangos, kuriose jos aptiktos kūrėjams.  ↩

  4. GRU (rus. Главное разведывательное управление) - Vyriausioji žvalgybos valdyba, dabartinis oficialus pavadinimas – Rusijos Federacijos Ginkluotųjų Pajėgų Generalinio štabo Vyriausioji žvalgybos valdyba.  ↩

Apie Ramūnas Blavaščiūnas

Fotografijos, geros technikos ir kavos mylėtojas

Komentarų: 8 | Ačiū, kad rašote lietuviškai

  1. "nukreiptos prie Mac" > prieš Mac

  2. Truputis OT. Ar yra koks budas uzblokuoti Unknown Caller and No Caller ID ? Neblokuojant kitu neitrauktu numeriu.

Parašykite komentarą

Į viršų