В сотрудничестве с исследователями AlienVault Labs мы проанализировали серию целевых атак, которые были предприняты в последние несколько месяцев и нацелены на уйгуров –пользователей Mac OS X. Результаты исследования AlienVault Labs доступны здесь. Наш анализ представлен в данном блог посте.

Ранее мы писали о целевых атаках, направленных на тибетских активистов, в которых использовалось вредоносное ПО для Mac OS X. Кроме того, в июле прошлого года мы рассказывали об атаках с использованием зловредов под Mac OS X, направленных против уйгурских активистов. Во время этих последних атак с помощью социальной инженерии ничего не подозревающих пользователей заражали зловредом Backdoor.OSX.MaControl.b.

За последние месяцы мы зафиксировали серию целевых атак, направленных на уйгурских активистов, в первую очередь на Всемирный уйгурский конгресс.

В этих атаках использовалось несколько имён файлов, включая следующие:

Хотя некоторые из этих атак имели место в 2012 году, мы заметили значительное увеличение количества атак в январе-феврале 2013 г., что указывает на выросшую активность хакеров в этот период.

Все эти атаки используют эксплойты к уязвимостиCVE-2009-0563 в Microsoft Office. Данный эксплойт легко распознать благодаря обозначенному в свойствах автору следующего документа – это широко известный «captain», о котором мы уже писали:

Вчера вечером на нескольких российских форумах появились сообщения об эксплойте, позволяющем злоумышленникам взламывать аккаунты Skype. Об эксплойте, который сейчас активно циркулирует в «дикой среде», написали несколько российских блогеров.

Ранее в этом году на хакерском форуме были опубликованы хеш-суммы около 6,5 млн паролей к учётным записям LinkedIn. Хеш-суммы представляли собой простые SHA1-дайджесты пользовательских паролей в том виде, в каком они хранятся в базе данных LinkedIn.

Хакеры тут же стали пробовать взломать эти пароли; более половины всех паролей оказались взломаны практически сразу.

Существует две основных причины, по которым пароли оказались так быстро взломаны:

• * использование самой функции SHA1
• * использование быстрых графических процессоров.

Рассмотрим обе причины.

Функция SHA1 была в первую очередь разработана как замена более слабого криптографического алгоритма MD5. На графической карте AMD / ATI 7970 “hashcat” (см. https://hashcat.net/oclhashcat-plus/) считает чуть более двух миллиардов SHA1-хешей в секунду. Это означает, что за очень короткое время можно протестировать множество комбинаций.

Для решения этой проблемы существуют современные, более безопасные алгоритмы, такие как функция sha512crypt, использованная в Ubuntu и последних версиях Fedora Core Linux. При использовании этой функции на той же графической карте можно взломать вместо 2 млрд. хешей лишь чуть более 12000 sha512crypt-комбинаций в секунду. Например, перебор миллиарда sha512crypt-комбинаций займёт около 24 часов; при этом перебор того же количества SHA1-комбинаций займёт менее секунды.

Недавно мы писали о том, что Далай-лама часто пользуется компьютерами Mac. Но хотя Его Святейшество использует компьютеры Apple, пока еще не все его сторонники перешли на Маки.

Вы спросите, какое это имеет значение? Дело в том, что 6 июля Его Святейшеству исполняется 77 лет. Круглое число, в каком-то смысле. Неудивительно, что уже вовсю идут атаки, эксплуатирующие тему дня рождения Далай-ламы.

Третьего июля мы обнаружили новую APT-кампанию, озаглавленную «Dalai Lama’s birthday on July 6 to be low-key affair» (день рождения Далай-ламы 6 июля пройдет тихо):

Несколько дней назад мы зарегистрировали новую APT-кампанию, в которой был применен новый вариант бэкдора для MacOS X, нацеленный на уйгурских активистов.

Однако прежде чем перейти к подробностям, предложу вам небольшую викторину:

Далай-лама заходит в магазин Apple Store. Зачем?

Возможный ответ: «Чтобы купить новый компьютер MacBook Pro с дисплеем Retina!» (кстати говоря, я бы тоже купил такой с большим удовольствием, но чем я буду оправдывать дыру в семейном бюджете?).

Шутки шутками, а Далай-лама — известный пользователь компьютеров Mac. Вот фото, на котором он использует Mac во время сеанса конференц-связи:

Глубоко в одном из конфигурационных блоков Stuxnet заложена 8-байтовая переменная, которая содержит некое число, и если это число прочитать как дату, оно указывает на 24 июня 2012 года. А в действительности это день, когда подпрограммы распространения Stuxnet посредством LNK-файлов прекратили работу и перестали заражать USB-носители.

В конце прошлой недели мы обнаружили признаки связи между троянцем-бэкдором для Mac OS X и APT-атакой, известной под названием LuckyCat. IP-адрес командного сервера (C&C), с которым соединяется данный бот (199.192.152.*), использовался также в 2011 году некоторыми вредоносными программами для Windows, из чего мы сделали вывод, что за всеми этими атаками стоит одна и та же группа киберпреступников.

В течение двух дней мы вели мониторинг «фальшивой» зараженной системы — это обычная наша практика, когда дело касается ботов, используемых в APT-атаках. Нетрудно вообразить наше удивление, когда на выходных киберпреступники, управляющие APT-атакой, взяли под свой контроль нашу «зараженную» машину и принялись ее исследовать.

В пятницу, 13 апреля был закрыт порт 80 на командном сервере по адресу rt*****.onedumb.com, размещенном на виртуальном выделенном сервере (VPS), находящемся в г. Фремонт (Калифорния) в США. В субботу порт был открыт, и бот вышел на связь с командным сервером. В течение всего дня трафик формировали только handshake- и служебные пакеты.

Утром воскресенья 15 апреля характер трафика, генерируемого C&C, поменялся. Злоумышленники перехватили соединение и принялись за анализ нашего фальшивого компьютера-жертвы. Они вывели список файлов корневой и домашней папок и даже украли некоторые из размещенных нами на компьютере в качестве приманки документов!

На прошлой неделе Apple выпустил два срочных обновления для Mac OS X, предназначенных для:

1. Удаления зловреда Flashback, о котором мы уже писали.
2. Автоматического отключения Java-плагина для браузера и фреймворка Java Web Start, что по сути означает отключение поддержки Java-апплетов в браузерах.

Необходимость второго шага связана с высокой степенью опасности уязвимости CVE-2012-0507, эксплуатируя которую Flashback смог заразить почти 700 000 пользователей через drive-by загрузки вредоносных программ.

Собственно, решение выпустить эти обновления было правильным. Мы может подтвердить, что в настоящее время через Java-эксплойты в дикой среде распространяется еще один зловред для Mac – Backdoor.OSX.SabPub.a.

Эта новая угроза представляет собой бэкдор для OS X, судя по всему, специально созданный для использования в целевых атаках. После активации в зараженной системе он соединяется с удалённым веб-сайтом для получения инструкций по классической схеме бот – командный сервер (C&C). Бэкдор содержит функционал для снятия скриншотов текущей сессии пользователя и выполнения команд на зараженном компьютере.

Сегодня по всему миру насчитывается более 100 миллионов пользователей Mac OS X. В последние годы их количество быстро росло, и мы ожидаем продолжения этого роста. До недавнего времени вредоносное ПО для Mac OS X оставалось достаточно узкой категорией. В эту категорию входили, в частности, троянские программы, такие как версия DNSChanger для Mac OS X. Позже к ним присоединились атаки фальшивых антивирусов/scareware, пик которых пришелся на 2011 год. В сентябре 2011 года появились первые версии троянца Flashback, созданного для Mac OS X, однако они не получили большого распространения до марта 2012 года. По данным, собранным «Лабораторией Касперского», в начале апреля насчитывалось почти 700 000 зараженных троянцем компьютеров — хотя возможно, что на самом деле их было еще больше. Уровень безопасности системы Mac OS X может быть очень высоким, однако для того чтобы не стать жертвой атак, которые становятся все более многочисленными, имеет смысл принять определенные меры.

Мультсериалы, такие как «Симпсоны», весьма популярны — число их фанатов по всему миру составляет сотни тысяч. Однако не все из них можно свободно скачать из Сети, как «Южный парк». Тем не менее, многие пользователи ищут возможность скачать любимые мультсериалы из интернета. Как это часто бывает, подобная популярность привлекает онлайн-мошенников. Вот еще одно мошенничество, которое мы недавно заметили на популярном веб-сайте Dailymotion:

Если вы пробуете просмотреть пиратский ролик, на экране появляется сообщение о том, что контент удален из-за несоблюдения авторского права, но к счастью для вас, ролик все же можно посмотреть, пройдя по ссылке, указанной в поле «описание».

Подобные ссылки всегда сокращаются (или маскируются) при помощи специальных сервисов, таких как bit.ly; кликнув по ссылке, вы попадаете на следующую страницу:

Страница со «специальными предложениями»: вам предлагается заработать,
пройдя опрос, или бесплатно поиграть

Искомый видеоролик снова нельзя просмотреть сразу; чтобы он стал доступен, требуется выбрать одно из «специальных предложений», пройдя по соответствующей ссылке. Кликнув по любой из предлагаемых ссылок, вы попадаете на такую страницу:

Окно, предлагающее установить программу IWON

Программа IWON, которую вам предлагается установить (название файла может быть, например, IWONSetup2.3.76.6.ZLman000.exe) на поверку оказывается приложением типа Adware, аналогичным печально известной MyWebSearch, и детектируется большинством антивирусов (хотя и не всеми). Антивирусом Касперского она детектируется как not-a-virus:WebToolbar.Win32.MyWebSearch.fr.

Хотя это приложение и не является вредоносным в строгом смысле этого слова, с ним все же лучше не связываться. Даже установив его, вы все равно не увидите Симпсонов на своем экране. Кроме того, как недавно показал мой коллега Роэль, онлайн-реклама может скрытно заражать ваш компьютер, даже если она демонстрируется хорошо известными программами.

Безопасной вам работы в интернете!