Rusai kaltinami programinės įrangos nukreiptos prieš Mac sukūrimu

Rusijos kriminalinės erdvės šnipai siejami su JAV prezidento rinkimų įsilaužimais, dabar nusitaikė į Mac kompiuterių naudotojus.

Kibernetinės erdvės saugumo ekspertai aptiko naują „macOS“ skirtą kenkėją, kuris labai tikėtina yra vienas iš Rusijos kibernetiniu špionažu užsiimančios grupuotės, taip pat kaltinamos įsilaužimais pernai JAV Nacionalinio demokratų komiteto serverius, arsenalo ginklų.

Ši kibernetinio šnipinėjimo programišių grupė jau gerą dešimtmetį žinoma skirtingais vardais, tokiais kaip: „Fancy Bear“, „Pawn Storm“ir „APT28“. Nežiūrint, kad dažnai tai įvardinamą kaip grupės, greičiausiai, tai yra vienas žmogus, tikėtina programuotojas. Jam priskiriamas ir „Trojos arklio“ pavadinto „Sofacy“ ar „X-Agent“ sukūrimas.

„X-Agent“ variantai skirti „Windows“, „Linux“, „Android“ ir „iOS“ jau yra aptikti anksčiau, tačiau „Bitdefender“ tyrėjų manymu jie aptiko pirmą „macOS“ skirtą šio kenkėjo versiją. Nėra gerai žinoma, kaip šis Trojos arklys platinamas, nes ekspertai gavo tik kenkėjo pavyzdį ir neturėjo galimybės patyrinėti visos atakos grandinės. Labai galimas dalykas, kad šis kenkėjas išnaudoja „macOS“ kenkėjų atsiuntėją žinomą „Komplex“ pavadinimu, kuris buvo aptiktas pernai rugsėjį.

„Komplex“ užkrečia „Mac“ kompiuterius išnaudodamas žinomą „MacKeeper“[1] pažeidžiamumą — teigia „Palo Alto Networks“ ekspertai tyrinėję šį kenkėją. „X-Agent“ užkrėstame kompiuteryje programišiai nuotoliniu būdu gali paleisti specialias komandas, kai kompiuterio naudotojas apsilanko tam tikrose svetainėse.

„Palo Alto Networks“ ekspertai pastebėjo panašumų tarp „Komplex“ ir „Carberp“ Trojos arklio, kurį naudojo APT28. Komandų ir kontrolės centrų domenų vardai naudojami šių kenkėjų koduose taip pat siejami su ART28 veikla. „X-Agent“ naudoja labai panašius domenus, skiriasi tik jų TLD[2]. Patyrinėjus „Komplex“ ir „X-Agent“ kodus galima aptikti ir daugiau panašumų, todėl jie siejami su tuo pačiu autoriumi.

„X-Agent“ turi galimybę atsisiųsti papildomus modulius. Šią galimybę „Bitdefender“ ekspertai dar tyrinėja. Kol kas, iš žinomų šio kenkėjo galimybių yra gebėjimas: patikrinti sistemos programinės ir aparatinės įrangos konfigūraciją, surinkti veikiančių procesų sąrašą, paleisti papildomas aplikacijas ir komandas, gauti ekrano vaizdus ir surinkti naršyklėse išsaugotus interneto svetainių slaptažodžius. Vienas iš kenkėjo modulių yra skirtas ieškoti „iPhone“ atsarginių duomenų kopijų ir jas persiųsti į kenkėjo komandinius centrus. Atsarginėse „iPhone“ kopijose gali būti išsaugoti asmeniniai duomenys, kuriuos vėliau galima panaudoti piktam.

APT28 yra laikoma viena labiausiai patyrusių, sudėtingų ir sumanių kibernetinio špionažo grupių pasaulyje. Ji dažnai išnaudoja 0-day[3] saugumo spragas. Ši grupuotė (net jei tai ir vienas žmogus) kaltinama eilę metų vykdanti įsilaužimus visame pasaulyje ir jos pasirinkti taikiniai dažnai atspindi Rusijos geopolitinius interesus. Kibernetinio saugumo ekspertai visame pasaulyje sutaria, kad APT28 yra glaudžiai susijusi su Rusijos žvalgybos tarnyba (GRU[4]).