Ključni izsledki
- Raziskovalci so opazili še nikoli videno vohunsko programsko opremo macOS v naravi.
- Ni najnaprednejša zlonamerna programska oprema in se pri doseganju svojih ciljev zanaša na slabo varnostno higieno ljudi.
-
Kljub temu so celoviti varnostni mehanizmi, kot je Applov prihajajoči način Lockdown, nujni, trdijo strokovnjaki za varnost.
Raziskovalci na področju varnosti so opazili novo vohunsko programsko opremo macOS, ki izkorišča že popravljene ranljivosti, da se izogne zaščitam, vgrajenim v macOS. Njegovo odkritje poudarja pomen spremljanja posodobitev operacijskega sistema.
Poimenovana CloudMensis, prej neznana vohunska programska oprema, ki so jo opazili raziskovalci pri ESET-u, uporablja izključno javne storitve za shranjevanje v oblaku, kot so pCloud, Dropbox in druge, za komunikacijo z napadalci in za izločanje datotek. Skrb vzbujajoče je, da izkorišča množico ranljivosti, da zaobide vgrajeno zaščito macOS in ukrade vaše datoteke.
"Njegove zmogljivosti jasno kažejo, da je namen njegovih operaterjev zbrati informacije iz računalnikov žrtev z izločanjem dokumentov, pritiskov na tipke in posnetkov zaslona," je zapisal ESET-ov raziskovalec Marc-Etienne M. Léveillé. "Uporaba ranljivosti za izogibanje ublažitvam macOS kaže, da operaterji zlonamerne programske opreme aktivno poskušajo povečati uspeh svojih vohunskih operacij."
Trajna vohunska programska oprema
Raziskovalci ESET-a so novo zlonamerno programsko opremo prvič opazili aprila 2022 in ugotovili, da bi lahko napadla starejše računalnike Intel in novejše Apple na osnovi silicija.
Morda je najbolj osupljiv vidik vohunske programske opreme ta, da se CloudMensis po namestitvi na žrtvin Mac ne izogiba izkoriščanju nepopravljenih Applovih ranljivosti z namenom, da zaobide sistem macOS Transparency Consent and Control (TCC).
TCC je zasnovan tako, da pozove uporabnika, da odobri aplikaciji dovoljenje za zajemanje zaslona ali spremljanje dogodkov na tipkovnici. Aplikacijam prepreči dostop do občutljivih uporabniških podatkov, tako da uporabnikom macOS omogoči konfiguracijo nastavitev zasebnosti za aplikacije, nameščene v njihovih sistemih in napravah, povezanih z njihovimi računalniki Mac, vključno z mikrofoni in kamerami.
Pravila so shranjena v zbirki podatkov, zaščiteni z zaščito sistemske celovitosti (SIP), ki zagotavlja, da lahko samo demon TCC spreminja zbirko podatkov.
Raziskovalci na podlagi svoje analize navajajo, da CloudMensis uporablja nekaj tehnik, da zaobide TCC in se izogne kakršnim koli pozivom za dovoljenje, s čimer pridobi neoviran dostop do občutljivih področij računalnika, kot so zaslon, izmenljivi pomnilnik in tipkovnica.
Na računalnikih z onemogočenim SIP si bo vohunska programska oprema preprosto podelila dovoljenja za dostop do občutljivih naprav z dodajanjem novih pravil v bazo podatkov TCC. Vendar bo CloudMensis na računalnikih, v katerih je aktiven SIP, izkoristil znane ranljivosti, da bi prevaral TCC, da naloži bazo podatkov, v katero lahko piše vohunska programska oprema.
Zaščitite se
"Ko kupimo izdelek Mac, običajno domnevamo, da je popolnoma varen pred zlonamerno programsko opremo in kibernetskimi grožnjami, vendar to ni vedno tako," je za Lifewire v izmenjavi e-pošte povedal George Gerchow, glavni varnostni uradnik pri Sumo Logic..
Gerchow je pojasnil, da je situacija v teh dneh še bolj zaskrbljujoča, saj veliko ljudi dela od doma ali v hibridnem okolju z osebnimi računalniki. "To združuje osebne podatke s podatki podjetja, kar ustvarja skupino ranljivih in zaželenih podatkov za hekerje," je opozoril Gerchow.
Medtem ko raziskovalci predlagajo uporabo posodobljenega računalnika Mac, da vsaj preprečijo, da bi vohunska programska oprema obšla TCC, Gerchow verjame, da je bližina osebnih naprav in podatkov podjetja potrebna za uporabo celovite programske opreme za nadzor in zaščito.
"Zaščito končne točke, ki jo pogosto uporabljajo podjetja, lahko posamezno namestijo [ljudje] za spremljanje in zaščito vstopnih točk v omrežjih ali sistemih v oblaku pred prefinjeno zlonamerno programsko opremo in razvijajočimi se grožnjami ničelnega dne," je predlagal Gerchow. "Z beleženjem podatkov lahko uporabniki odkrijejo nov, potencialno neznan promet in izvedljive datoteke v svojem omrežju."
Morda se sliši pretirano, vendar tudi raziskovalci niso naklonjeni uporabi obsežnih zaščit za zaščito ljudi pred vohunsko programsko opremo, ki se nanašajo na način zaklepanja, ki naj bi ga Apple uvedel v sistemih iOS, iPadOS in macOS. Namenjeno je temu, da bi ljudem omogočili enostavno onemogočanje funkcij, ki jih napadalci pogosto izkoriščajo za vohunjenje za ljudmi.
»Čeprav ni najnaprednejša zlonamerna programska oprema, je CloudMensis morda eden od razlogov, zakaj bi nekateri uporabniki želeli omogočiti to dodatno obrambo [novi način zaklepanja],« so opozorili raziskovalci. "Onemogočanje vstopnih točk na račun manj tekoče uporabniške izkušnje se sliši kot razumen način za zmanjšanje površine napada."