9:00
20/5/2013

O ciekawym przypadku nowego złośliwego oprogramowania na systemy Apple Mac OS X poinformował Jacob Appelbaum — trojana odkryto na komputerze jednego z uczestników warsztatów poświęconych tematyce “jak zabezpieczyć się przed inwigilacją rządu”.

Trojan podpisany cyfrowo

Konferencja Oslo Freedom Forum jest dedykowana aktywistom, którzy walczą z systemem o prawa do budowania otwartego i wolnego społeczeństwa. W ramach konferencji, na warsztacie prowadzonym przez Jacoba Appelbauma (wielokrotnie nękanego przez różne służby) znaleźli się aktywiści z wielu krajów, którzy chcieli się dowiedzieć jak wykryć i walczyć z inwigilacją. Pech chciał, że jeden z uczestników — mieszkaniec Republiki Angoli — bardzo szybko zorientował się, że dla niego jest już za późno na działania prewencyjne… na jego Macintoshu znajdowała się bowiem podejrzana aplikacja-backdoor:

Mac OS X trojan

Mac OS X trojan – startuje dzięki umieszczeniu w Login items

Co ciekawe, aplikacja była podpisana poprawnym Apple Developer ID (zapewne po to, aby utrudnić zablokowanie aplikacji przez mechanizmy bezpieczeństwa, a dokładnie Gatekeepera, wprowadzone do Mac OS X przez od wersji Mountain Lion):

Mac Trojan Developer ID

Mac Trojan Developer ID (fot. F-Secure)

Nie oznacza to co prawda, że winny jest Pan Kumar (ktoś mógł wykraść jego klucze).

Spear phishing wektorem ataku

Po króteiej analizie, okazało się, że trojan przywędrował poprze e-mail, siedzi w katalogu domowym użytkownika (podkatalog o nazwie: MacApp), do którego to zapisuje zrzuty ekranu, które następnie przesyła do jednego z serwerów C&C (hostowanych w Amsterdamie i we Francji).

Klucze developera użyte do podpisu trojana zostały już unieważnione przez Apple. Podobny los spotkał domeny — zostały zsinkholowane; zapewne niebawem dowiemy się, ile osób jest zainfekowanych tą odmianą trojana. Appelbaum na razie nie chce publikować e-maili, od których wszystko się zaczęło, twierdząc, że może to narazić aktywistę na śmiertelne zagrożenie.

Czy mój Mac jest zainfekowany?

Na chwilę obecną, 15/47 antywirusów wykrywa tego trojana. Eksperci z F-Secure uważają, że jest to zmodyfikowana wersja starego trojana na Mac OS X, zwanego HackBack

Wszystkim posiadaczom komputerów z systemem Mac OS X, nawet jeśli nie są afrykańskimi aktywistami, radzimy zajrzeć do ustawień konta na zakładkę “Login items” i zweryfikować, co automatycznie startuje wraz z systemem.

Przeczytaj także:

28 komentarzy

Dodaj komentarz
  1. Super OSX dziurawy jak sito – dlaczego nas to nie dziwi ?

    • “dziurawy jak sito”… rzeczywiście.

    • a jezeli pan aktywista samodzielnie odpalil zalacznik z maila to oczywiscie jest to wina OSX?

    • Nikt Ci przecież nie broni używać supernowoczesnego Windows 8 :)

  2. No widzicie, Panowie Niebezpiecznikowi … wy sprawe przedstawiacie rzetelnie i uczciwie. Nie to, co inne “portale”.

    Na innych portalach mozna sie dowiedziec, ze wina za cala sprawe mozna obarczyc owego nieszczesnego podpisujacego [cyfrowym kluczem]. Zenujacy brak wyobrazni i wiedzy z zakresu IT.

  3. Lekki offtop: Czy ktos moze mi wytlumaczyc dlaczego
    poproszono o zdanie ludzi z F-Secure, skoro ich antywirus nie
    potrafi znalezc zadnego wirusa i mimo pelnych skanow pokazuje, ze
    dysk jest “czysty”? A moze cos sie zmienilo w tej kwestii
    :)

  4. Jaki antywirus w takim razie jest godny polecenia pod mac os?

    • Zdrowy rozsądek. Nie otwieraj załączników w mailach od podejrzanych nieznajomych, nie ściągaj pieron-wi-czego z podejrzanych stron.

  5. Proszę, jak się nagle znaleźli obrońcy dziurawego OS X-a… A co z uparcie powtarzaną mantrą “na maka nie ma wirusów”?

    • Bo na Maca przez niewyobrażalnie długi czas takowych nie było… należy również dodać, że maksymalnie 10-15 wirusów to w porównaniu do Windowsa luksus.

    • Wirus a malware czy trojan to niejako odmienne gatunki…

  6. a gdzie purysci jezykowi (zsinkholowane)? najlepszy antywir to rozsadek. albo sandbox (dla paranoikow). jak mowia …glupich nie sieja…
    .

    • Zastanawiam sie kiedy ludzie przestana powtarzac te pol-prawde o rozsadku bedacym najlepszym antywirusem? Moga tak mowic wylacznie ci, ktorzy nie wiedza jak wyglada proces ataku, infekcji, etc. Infekcje “oczywiste”, ktorych mozna uniknac poprzez “rozwazne surfowanie” to maly procent wszystkich infekcji i atakow. Istnieja tez znacznie bardziej subtelne i niezauwazalne formy atakow, o ktorych dowiadujemy sie czesto po miesiacach lub latach.

      Nie jestem ani zwolennikiem, ani przeciwnikiem antywirusow. Po prostu nie lubie pseudoelitaryzmu i czczej gadki ze stanowiska “jestĘ elite i nic mnie nie zlapie”. Arogancja to tez czesc ludzkiej glupoty.

  7. AVE…

    Mnie zastanawia inna rzecz: co ci wszyscy aktywiści robią, że aż tak się boją? I dlaczego wobec tego ufają komputerom?

    • Pytasz serio? Nawet w Polsce (bedacej, na mapie swiata, krajem stosunkowo cywilizowanym) mozna narazic sie wladzy walczac o liberalizacje chorego prawa (dot. narkotykow, wolnosci wymiany informacji, przejrzystosci podejmowania decyzji urzedowych, przetargow…), a co dopiero w republikach bananowych, w ktorych wladze niepodzielnie dzierzy ekipa lokalnych watazkow.
      Kazdy kto chce zmienic status quo w obecnie panujacym systemie politycznym i staje sie grozny dla establishmentu powinien zaczac ogladac sie za siebie…

    • (Sorry za post pod postem)
      A komputerom nie ufaja, ale nie maja wyboru-jakos komunikowac sie miedzy soba musza, a powrot do golebi pocztowych bylby raczej malo efektywny (i wcale nie bardziej bezpieczny).

      Komputery jednak dalej sa bezpieczniejsze od telefonow, a przynajmniej daja wiecej mozliwosci bezpiecznej komunikacji.

  8. A Linux wciąż nietknięty…

    • na linuxa rowniez mamy malmware, rootkity itp..

    • Może i tak, ale trojanów i wirusów nie ma. Co do rootkitów, to wystarczy zrobić sobie hashe “zdrowych” ważnych programów systemowych jak init, login, ps, itd. i napisać skrypt który by generował logi obecnych wersji i jak coś nie halo to do loga zapisywał.

      Jedynym problemem są ew. aktualizacje, ale 1) te procesy są rzadko aktualizowane o ile nie ma jakiś błędów, 2) jak wiesz że aktualizacja jest zaufana, albo sam naprawiłeś błąd i rekompilowałeś, to wystarczy że wygenerujesz nowy hash do porównywania i zaktualizujesz swój skrypt.

  9. W linuxie też dziury się zdarzają…

  10. Fajno

  11. Mała literówka. ;) Chyba “krótkiej”. Jest napisane “Po króteiej analizie”.

  12. To tylko sugestia, nie chcę się tak bardzo wtrącać.
    Wyrażenie “walka z systemem” jest bardzo niejasne i ostatnio puste.
    Każdy walczy z systemem, ale dla każdego system to co innego. Dres
    walczy z systemem przez pomalowanie przystanku markerem, a
    alkoholowy cień punka przez niepłacenie części podatków (tj. brak
    pracy i zbieranie do wina). Kiedyś walka z systemem coś oznaczała.
    Teraz to zostało zdewaluowane.

    • hehe ,np. dla mnie “systemem” z którym być może warto powalczyć jest samo D.N.A. Moim zdaniem D.N.A. to źródło wszelkich problemów na świecie. Zmusza jednostki świadomości do walki o byt. Często jednostki świadomości będące w desperacji są zmuszone do nieczystych zagrań wobec pozostałych jednostek świadomości. Tak powstają wirusy, trojany, szpiegostwo, oszustwa, wykorzystywanie, przekręty, procenty, spekulacje, monopole, sekrety, patenty, czołgi i inne bronie etc. Gdyby wszystkie jednostki świadomości wyzwoliły się spod okupacji D.N.A. (czytaj dna) to być może zapanowałaby całkowita, bezkompromisowa wolność i niezależność każdej jednostki świadomości czyli stan o który wszyscy walczą między sobą. Nikt nie miałby nic do stracenia i nikt nie miałby nic do zyskania czyimś kosztem… Cóż może to wszystko to tylko taka gra, rozrywka Absolutu, ale z drugiej strony zakończenie takiej gry i totalne wyzwolenie byłoby boskim zwieńczeniem dzieła i wywołało by nieziemską satysfakcję. Może w ostateczności właśnie o coś takiego chodzi…

  13. Autorzy mogliby podszkolić się we władaniu językiem polskim, a jeżeli ich to przerasta, oddawać teksty do korekty. Poziom językowy (również błędy) są tutaj już chyba czymś normalnym.

    • Kolejny grammar fasict.

    • Zajrzyj na wp.pl, jak już po raz n-ty przeczytasz o “zdemolowaniu rywali” wróć tutaj.

  14. A czy jak ja, w ramach wolności, zdecyduję się być
    zamknięty, to mnie otworzą?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.