Apple Mac лаптопите са рядко обект на дигитален шпионаж, но в последните години мистериозен хакерски екип, който се нарича „WindShift”, бе набелязал ключови чиновници, работещи в правителствените институции и други регионални и международни институции, навред из Близкия изток. За да осъществят атаката те използвали уязвимост, за която се е предполагало, че засяга всички Apple Mac модели.
Според Таха Карим (специалист в DarkMatter, компания по киберсигурност) целите на атаката са били разположени в т.нар. “Gulf Cooperation Council (GCC)”. Този район обхваща държави, като Саудитска Арабия, Кувейт, ОАЕ, Катар, Бахрейн и Оман.
На избраните жертви били изпратени мейли, съдържащи т.нар. „фишинг“ – линк водещ към сайт, контролиран от хакерите. Веднъж след като кликнат на линка атаката се активирала и изтегляла два вида malware – WindTale и WindTape. Според Карим хакерите са намерили начин на пробият всички естествени защити на системата macOS. След като пробили тези защити хакерите могли да извличат необходимите документи, както и да вземат скрийншоти от различни локации на компютрите. Атаката е започнала през 2016 година и е била разкрита едва тези дни. От DarkMatter отказват да пояснят какви части от инфраструктурата са били изложени на атаката.
А какво представлява Mac хакът?
От DarkMatter отбелязват, че при достъпване хакерската страница прави опит да инсталира .zip файл, който съдържа malware. Веднага след като изтеглянето започне, малуерът прави опит да пусне, това, което е познато като „custom URL-схема“, което не е сложна процедура. Всеки един developer може да създаде такава схема, така че определени части от дадено приложение да се активират когато даден линк е отворен. Например, представете си линк, който отваря приложение за карти, което отвежда потребителя до специфична локация и предлага пътища спрямо тяхното моментно местонахождение. Нещо сходно се случва и с жертвите на атаката на WindShift: първо потребителят посещава уебсайт, който инсталира неусетно даден .zip файл, в който е malware-ът. Safari браузърът на Apple автоматично ще разархивира файла, а MacOS автоматично ще регистрира избраната от malware-а URL схема. Същият сайт от който малуерът е бил изтеглен ще изпрати заявка чрез току-що регистрираната URL схема, за да активизира зловредния софтуер. Това на което разчитат хакерите е, че жертвите ще държат сайта отворен достатъчно, докато се активизира малуерът. Веднъж след като се активира той може незабелязано да започне да краде наличната информация и да прави снимки на различни директории.
Според Карим, това може да е проблем, който да е строго специфичен за Apple. Специалисти от Софтуерният университет уточняват, че същият метод не би проработил при Windows, тъй като Microsoft са добавили допълнителни защити, за да предотвратят такива атаки. Разбира се хакерите от WindShift се е наложило да преодолеят доста защитни бариери, за да заразят своите жертви. Понастоящем най-новите версии на Safari визуализират напомняме, при което потребителят се известява, че се е активирало изтегляне и той трябва да избере дали да го позволи или не. Освен тази защита, Apple имат и т.нар. Gatekeeper защита, която допълнително изисква одобрение от потребителя за да извърши изтегляне и инсталация на файлове от интернет.
Като цяло това са напълно достатъчни мерки, за да се сигнализира потребителя ако е попаднал в опасна зона, но според DarkMatter хакерите са успели да пробият най-напред самият браузър, за да го накарат да си мисли, че техният малуер е безвреден.
Има още един притеснителен аспект на WindShift атаката. Ако хакерите или техните жертви са копирали малуера, така че да се е споделил в дадена мрежа, всички потребители биха заразили своите Mac-ове с тази custom URL схема. От DarkMatter са сигнализирали Apple, като отговорът от там е бил, че проблемът е бил решен наскоро. “Все още обаче не сме наясно какви оздравителни мерки са предприети” – завършва Карим.
Автор: Георги Кацаров
