תוכנת ריגול של macOS לא ידועה בעבר צצה במסע פרסום ממוקד במיוחד, שמוציא מסמכים, הקשות, צילומי מסך ועוד ממכונות אפל. מעניין לציין שהיא משתמשת אך ורק בשירותי אחסון ענן ציבוריים עבור מטענים לדיור ולתקשורת פיקוד ושליטה (C2) - בחירה עיצובית יוצאת דופן שמקשה על מעקב וניתוח האיום.
שכונה CloudMensis על ידי החוקרים ב-ESET שגילו אותה, הדלת האחורית פותחה ב-Objective-C. הניתוח של ESET של התוכנה הזדונית שפורסמה השבוע מראה כי לאחר פשרה ראשונית, תוקפי הסייבר שמאחורי הקמפיין זוכים לביצוע קוד והסלמה של הרשאות באמצעות פרצות ידועות. לאחר מכן, הם מתקינים רכיב מטעין שלב ראשון המאחזר את עומס תוכנות הריגול בפועל מספק אחסון בענן. בדגימה שהחברה ניתחה, נעשה שימוש ב-pCloud לאחסון ואספקת השלב השני, אך התוכנה הזדונית תומכת גם ב-Dropbox וב-Yandex כמאגרי ענן.
לאחר מכן, רכיב הריגול מתחיל לאסוף שלל נתונים רגישים מה-Mac שנפגע, כולל קבצים, קבצים מצורפים לדוא"ל, הודעות, הקלטות שמע והקשות. בסך הכל, חוקרים אמרו שהוא תומך ב-39 פקודות שונות, כולל הנחיה להוריד תוכנות זדוניות נוספות.
כל הנתונים שהושגו בצורה לא נכונה מוצפנים באמצעות מפתח ציבורי שנמצא בסוכן הריגול; והוא דורש מפתח פרטי, בבעלות מפעילי CloudMensis, לפענוח שלו, לפי ESET.
תוכנות ריגול בענן
ההיבט הבולט ביותר של הקמפיין, מלבד העובדה שתוכנת ריגול מק היא ממצא נדיר, הוא השימוש הבלעדי שלה באחסון בענן, לפי הניתוח.
"העבריינים של CloudMensis יוצרים חשבונות בספקי אחסון בענן כגון Dropbox או pCloud", מסביר מארק-אטיין M.Léveillé, חוקר תוכנות זדוניות בכיר ב-ESET, ל-Dark Reading. "תוכנת הריגול של CloudMensis מכילה אסימוני אימות המאפשרים להם להעלות ולהוריד קבצים מהחשבונות האלה. כאשר המפעילים רוצים לשלוח פקודה לאחד הבוטים שלו, הם מעלים קובץ לאחסון הענן. סוכן הריגול של CloudMensis יביא את הקובץ הזה, יפענח אותו ויפעיל את הפקודה. תוצאת הפקודה מוצפנת ומועלת לאחסון הענן כדי שהמפעילים יוכלו להוריד ולפענח".
טכניקה זו פירושה שאין שם תחום או כתובת IP בדגימות תוכנות זדוניות, הוא מוסיף: "היעדר אינדיקטור כזה מקשה על מעקב אחר תשתית וחסימת CloudMensis ברמת הרשת."
למרות גישה בולטת, היא שימשה בעבר בעולם המחשבים האישיים על ידי קבוצות כמו ההקמה (המכונה גם ענן אטלס) ו APT37 (המכונה ריפר או קבוצה 123). עם זאת, "אני חושב שזו הפעם הראשונה שאנחנו רואים את זה בתוכנות זדוניות של Mac", מציין M.Léveillé.
ייחוס, ויקטימולוגיה נשארים בגדר תעלומה
עד כה, הדברים מעוננים בכל הנוגע למקור האיום. דבר אחד שברור הוא שכוונתם של העבריינים היא ריגול וגניבת קניין רוחני - אולי רמז לסוג האיום, שכן ריגול הוא באופן מסורתי תחום של איומים מתמשכים (APTs) מתקדמים.
עם זאת, החפצים ש-ESET הצליחה לחשוף מהתקיפות לא הראו שום קשר לפעולות ידועות.
"לא יכולנו לייחס את הקמפיין הזה לקבוצה מוכרת, לא מהדמיון או התשתית של הקוד", אומר M.Léveillé.
רמז נוסף: גם הקמפיין ממוקד - בדרך כלל סימן ההיכר של שחקנים מתוחכמים יותר.
"מטא נתונים מחשבונות אחסון בענן ששימשו את CloudMensis חשפו שהדגימות שניתחנו פעלו על 51 מחשבי מקינטוש בין ה-4 בפברואר ל-22 באפריל", אומר M.Léveillé. למרבה הצער, "אין לנו מידע על המיקום הגיאוגרפי או האנכי של הקורבנות מכיוון שקבצים נמחקים מאחסון הענן."
עם זאת, בניגוד להיבטי ה-APT של הקמפיין, רמת התחכום של התוכנה הזדונית עצמה לא כל כך מרשימה, ציינה ESET.
"האיכות הכללית של הקוד והיעדר ערפול מראים שהכותבים לא מכירים היטב את הפיתוח של Mac ואינם כל כך מתקדמים", על פי הדו"ח.
M.Léveillé מאפיין את CloudMensis כאיום בינוני-מתקדם, וציין שבניגוד ל תוכנת הריגול האדירה של קבוצת NSO Pegasus, CloudMensis לא בונה ניצול של יום אפס בקוד שלה.
"לא ראינו את CloudMensis משתמש בפגיעויות שלא נחשפו כדי לעקוף את מחסומי האבטחה של אפל", אומר M.Léveillé. "עם זאת, גילינו ש-CloudMensis השתמש בפגיעויות ידועות (הידועות גם כיום אחד או n-יום) במחשבי מקינטוש שאינם מריצים את הגרסה העדכנית ביותר של macOS [כדי לעקוף את הגבלות האבטחה]. אנחנו לא יודעים כיצד תוכנת הריגול CloudMensis מותקנת במחשבי ה-Mac של הקורבנות, אז אולי הם כן משתמשים בפרצות שלא נחשפו לשם כך, אבל אנחנו יכולים רק לשער. זה מציב את CloudMensis איפשהו באמצע בסולם התחכום, יותר מהממוצע, אבל גם לא הכי מתוחכם".
כיצד להגן על העסק שלך מפני CloudMensis ותוכנות ריגול
כדי להימנע מלהיות קורבן לאיום CloudMensis, השימוש בפגיעויות כדי לעקוף את הפחתת macOS פירושו שהפעלת מחשבי Mac עדכניים היא קו ההגנה הראשון לעסקים, לפי ESET. למרות שווקטור הפשרה הראשוני אינו ידוע במקרה זה, יישום כל שאר היסודות כמו סיסמאות חזקות והדרכה למודעות דיוג היא גם הגנה טובה.
החוקרים המליצו גם להפעיל מצב הנעילה החדש של אפל תכונה.
"אפל הכירה לאחרונה בנוכחות של תוכנות ריגול המכוונות למשתמשים של מוצריה והיא צופה בתצוגה מקדימה של מצב נעילה ב-iOS, iPadOS ו-macOS, אשר משבית תכונות המנוצלות לעתים קרובות כדי להשיג ביצוע קוד ולפרוס תוכנות זדוניות", לפי הניתוח. "השבתת נקודות כניסה, על חשבון חווית משתמש פחות זורמת, נשמעת כמו דרך סבירה לצמצם את משטח ההתקפה."
מעל לכל, M.Léveillé מזהיר עסקים מפני תחושת ביטחון כוזבת כשמדובר במחשבי Mac. בעוד תוכנות זדוניות הממקדות למחשבי מקינטוש הייתה פחות נפוצה מאשר איומי Windows או לינוקס, שעכשיו משתנה.
"עסקים המשתמשים במחשבי Mac בצי שלהם צריכים להגן עליהם באותה דרך שהם היו מגנים על מחשבים המריצים Windows או כל מערכות הפעלה אחרות", הוא מזהיר. "עם הגדלת מכירות ה-Mac משנה לשנה, המשתמשים שלהם הפכו ליעד מעניין עבור פושעים בעלי מוטיבציה כלכלית. לקבוצות איומים בחסות המדינה יש גם את המשאבים להסתגל ליעדים שלהם ולפתח את התוכנה הזדונית הדרושה להם כדי למלא את המשימות שלהם, ללא קשר למערכת ההפעלה".
