Backdoor SabPub - kolejny szkodnik atakuje komputery Mac

W przeciwieństwie do trojana Flashfake/Flashback, który pomógł stworzyć botnet liczący obecnie ponad 700 000 komputerów Mac (więcej na ten temat), nowy szkodnik - znany jako Backdoor.OSX.SabPub.a - jest prawdziwym przykładem tego, w jaki sposób podatny na ataki komputer firmy Apple może zostać całkowicie przejęty przez cyberprzestępców.

Nowy backdoor został zidentyfikowany na wolności na początku kwietnia 2012 r. Podobnie jak Flashfake, wykorzystywał pewne luki w Javie. Liczba użytkowników zainfekowanych tym szkodliwym programem jest stosunkowo niewielka, co również sugeruje, że backdoor ten  był wykorzystywany w atakach ukierunkowanych. Po aktywacji w zainfekowanym systemie szkodnik łączył się ze zdalną stroną internetową w celu uzyskania poleceń. Serwer kontroli znajdował się w USA i wykorzystywał darmową dynamiczną usługę DNS w celu kierowania poleceń do zainfekowanych komputerów.

Wydarzenia, które nastąpiły, potwierdziły początkową teorię, zgodnie z którą SabPub stanowił element ukierunkowanego ataku. Eksperci z Kaspersky Lab umieścili w internecie własną maszynę zainfekowaną tym backdoorem i 15 kwietnia wykryli nietypową aktywność. Osoby atakujące przejęły kontrolę nad zainfekowanym systemem i rozpoczęły jego analizę. Wysłały polecenia w celu obejrzenia zawartości foldera root i domowego, a nawet pobrały niektóre z dokumentów przechowywanych w systemie. Analiza ta została najprawdopodobniej przeprowadzona ręcznie, nie przy użyciu zautomatyzowanego systemu, co wyklucza szeroko rozpowszechnione szkodliwe oprogramowanie tworzone na skalę masową. To potwierdza, że backdoor ten jest przykładem wykorzystania złożonego, aktywnego przez długi czas zagrożenia atakującego konkretnych użytkowników.

Podczas analizy backdoora ujawnione zostały kolejne szczegóły dotyczące ataku ukierunkowanego. Analitycy z Kaspersky Lab znaleźli sześć dokumentów Microsoft Word, z których wszystkie zawierały szkodliwy program wykorzystujący w luki w zabezpieczeniach. Dwa z dokumentów odpowiedzialne są za zainstalowanie szkodliwej funkcji SabPuba. Próba otworzenia pozostałych czterech dokumentów w podatnym na ataki systemie prowadzi do infekcji innym szkodnikiem przeznaczonym dla Maków. Jeden z dokumentów związanych z SabPubem zawierał bezpośrednie odwołania do społeczności tybetańskiej. Jednocześnie, wyraźny związek między backdoorem a innym ukierunkowanym atakiem na maszyny działające pod kontrolą systemu Windows, znanym jako LuckyCat, wskazuje na różnorodną i rozległą działalność przestępczą wywodzącą się z tego samego źródła.

„Backdoor SabPub po raz kolejny pokazuje, że żadne środowisko oprogramowania nie jest odporne na ataki. Stosunkowo niewielka liczba szkodliwych programów dla Mac OS X nie jest równoznaczna z bezpieczeństwem. Niedawne incydenty, takie jak Flashfake i SabPub, pokazują, że dane osobiste niezabezpieczonych użytkowników Maków również są zagrożone, ponieważ cyberprzestępcy zdają sobie sprawę z rosnącego udziału rynkowego takich maszyn albo są angażowani do przeprowadzenia ataków ukierunkowanych na konkretnych użytkowników komputerów firmy Apple” - stwierdził Alexander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab.