Naujai aptiktas senas Mac kenkėjas veikia ir Linux sistemoje

Naujai aptikta „Mac“ kompiuteriuose veikiančių kenkėjų šeima skirta sekti pasirinktus tinklus ir gali būti jog ji nepatikta egzistavo apie porą metų.

Kenkėjas, kurį paskutinis „macOS“ atnaujinimas aptinka kaip „Fruitfly“ turi kodą, kurio pagalba ji galimas ekrano bei vaizdų iš kompiuteryje esančio interneto kameros fiksavimas, informacijos apie kiekvieną įrenginį esantį tame pačiame tinkle kaip ir užkrėstas kompiuteris rinkimas. Nežiūrint to, kad šį kenkėją yra nepaprastai lengva aptikti – šis kenkėjas aptiktas tik šį mėnesį, tačiau gyvuoti jis galėjo nuo pat 2014 metais pasirodžiusios „OS X Yosemite“ laikų. Vis dar nėra aišku, kokiu būdu šis kenkėjas patenka į kompiuterius.

„Pirmasis šį kenkėją aptiko vienas IT administratorius pastebėjęs keistą veiklą tinkle, kai iš vieno Mac kompiuterio buvo siunčiami duomenys“, – rašo „Malwarebytes“ Mac pasiūlymų direktorius Thomas Reed. „Tai tapo šio kenkėjo, kuris nebuvo panašus į iki šiol maytytus, aptikimo priežastimi ir panašu jog jis (kenkėjas) egzistavo nepastebėtas jau kurį laiką ir buvo nusitaikęs į biomedicinos tyrimų centrus.“

Senoviniai artefaktai

Šis kenkėjas turi kodą parašyta stiliuje, kuris buvo madingas dar iki atsirandant pirmajai „OS X“ versijai 2001 metais. Kenkėjas naudoja atvirą kodą, žinomas kaip libjpg skirtas atidaryti ar kurti JPEG paveikslėlius. Šis kodas paskutinį kartą atnaujintas buvo 1998 metais. Gali būti, kad „Fruitfly“ buvo sukurtas šiek tiek vėliau ir todėl inkorporavo senovinius šio atviro kodo elementus. Kitas įrodymas, kad kenkėjas gyvavo netrukdomas bent jau du metus yra jo kode esantis komentaras, kuris rodo jog jis buvo modifikuotas po „Yosemite“ pasirodymo ir pritaikytas veikti „OS X Yosemite“.

Priežastis dėl, kurios šis kenkėjas galėjo būti neaptiktas, greičiausiai yra ta, kad jis naudojamas labai siauroje ir specifinėje aplinkoje. Matyt tai ir tapo jo neatsiskleidimo priežastimi. Per pastaruosius kelis metus buvo galima išgirsti įvairiausių istorijų apie Kinijos ir Rusijos programišius nusitaikiusius pavogti JAV ir Europos mokslinių tyrimų rezultatus. Tiesa, nėra kokių nors ženklų „Fruitfly“ galinčių susieti su kuria nors konkrečia grupuote. Tačiau faktas, kad šis kenkėjas buvo aptiktas biomedicinos tyrimų centre leidžia manyti, jog jis yra vienas iš mokslininkų darbų šnipinėjimui skirtų įrankių.

Kitas įdomus atradimas yra tas, kad išskyrus „Mac’ams“ suformatuotą „Mach oject“ failą, visa „Fruitfly“ biblioteka puikiausiai veikia „Linux“ operacinėse sistemose. Reed sakė, kad „Linux variantas ir Linux aplinkoje veikiantis šis kenkėjas dar nėra aptiktas, tačiau nebūtų keista sužinoti, kad jis egzistuoja“. Jis taip pat minėjo, kad „aptiko ir Windows sistemai sukurtą šį kenkėją, kuris jungiasi prie to paties kontrolės centro serverio kaip ir skirtas Mac kompiuteriams.“

Nežiūrint šio kenkėjo funkcionalumo, lyginant jį su kai kuriais dabar „rinkoje“ esančiais kompiuteriniais virusais, jis yra ganėtinai primityvus. Jo kontrolės centras yra paprasčiausias IP adresas 99.153.29.240, o dinaminis DNS adresas eidk.hopto.org. Jo nešvariems darbeliams atlikti, net po to kai „Mac“ perkrautas, naudojami metodai – paslėptas failas ir paleidimo agentas – taip pat pasenę, nes tokius metodus naudojančius kenkėjus yra paprasta aptikti ir pašalinti.

Žmonės naudojantys „Mac“ (o gal ir „Linux“) operacinių sistemų pagrindu veikiančius kompiuterius tyrimų centruose turėtų patikrinti savo kompiuterių sistemas ar jose nėra šio užkrato. Jei trūksta žinių kaip tai padaryti – kreipkitės į savo sistemų administratorius ir IT specialistus.

Be „Apple“ sistemų automatinio atnaujinimo, jei naudojate „Malwarebytes“ – ji taip pat aptinka šį kenkėją kaip „OSX.Backdoor.Quimitchip“.