Созданное государством вредоносное ПО для Mac было похищено бывшим хакером NSA

Созданное государством вредоносное ПО для Mac было похищено бывшим хакером NSA

Исследователь безопасности и бывший хакер АНБ Патрик Уордл продемонстрировал способ изменения созданного государством вредоносного ПО для Mac, чтобы он запускал собственный код вместо полезных данных с правительственных серверов.

Сложность вредоносного ПО делает его привлекательным для других злоумышленников, в том числе других правительств …

ArsTechnica сообщает, что Уордл сделал аргумент во время презентации конференции.

«В трехбуквенных агентствах есть невероятно хорошо финансируемые, хорошо обеспеченные, очень мотивированные хакерские группы, которые создают удивительное вредоносное ПО, которое полнофункционально и также полностью протестировано», — сказал Уордл во время выступления под названием «Многоцелевое вредоносное ПО: темная сторона переработки». «.

«Идея такова: почему бы не позволить этим группам в этих агентствах создавать вредоносные программы, а если вы хакер, просто переназначьте их для своей собственной миссии?» он сказал.

Сложное вредоносное ПО способно преодолеть защиту, встроенную в macOS.

Wardle смог внести другие изменения в свои фрагменты кода, чтобы они могли обойти средства защиты от вредоносных программ, встроенные в macOS. Например, поскольку сканер вредоносных программ Xprotect основан на сигнатурах файлов, изменение одного байта повторно используемого кода является достаточным, чтобы полностью избежать обнаружения. И когда выданные Apple сертификаты подписи были отозваны, легко подписать программное обеспечение и подписать его новым сертификатом. А для удаления предупреждений, отображаемых, когда пользователи пытаются выполнить код или установить приложения, загруженные из Интернета, легко удалить программные флаги, которые отображают эти предупреждения.

Способ работы вредоносных программ этого типа состоит в том, чтобы загружать захваченные данные на серверы, принадлежащие правительству, которое их создало, и загружать дополнительные вредоносные программы с этих серверов. Уордлу удалось взломать используемое шифрование и вместо этого указать вредоносное ПО на его собственный сервер.

Loading...

В результате перепрофилирования вредоносное ПО сообщало командным серверам, принадлежащим Wardle, а не серверам, указанным разработчиками. Оттуда Уордл полностью контролировал переработанное вредоносное ПО. Этот подвиг позволил ему использовать хорошо разработанные и полнофункциональные приложения для установки своих вредоносных полезных данных, получения снимков экрана и другой конфиденциальной информации с скомпрометированных компьютеров Mac и выполнения других вредоносных действий, записанных в вредоносное ПО.

Он сказал, что в дополнение к риску других хакеров сделать это, есть две причины, по которым другие правительства могут иногда захватывать вредоносные программы другого правительства вместо использования их собственных.

Это может позволить злоумышленникам, особенно группам, спонсируемым государством, заразить среды высокого риска, такие как уже зараженные и находящиеся под наблюдением других участников вредоносного программного обеспечения. На этом посту многие хакерские группы наций-государств будут отказываться от развертывания своих вредоносных программ, чтобы сохранить конфиденциальность тактик, техник и процедур.

В этих случаях подходящей альтернативой может быть использование чужого вредоносного ПО.
В случае, если заражение вредоносным ПО обнаружено и подвергнуто криминалистическому анализу, есть большая вероятность, что исследователи ошибочно отнесут атаку к оригинальным хакерам, а не к стороне, которая повторно использовала вредоносное ПО.

Это, по его словам, уже происходит. Например, есть свидетельства того, что вредоносное ПО, разработанное АНБ, использовалось Китаем, Северной Кореей и Российской Федерацией. Что следует иметь в виду, когда правительство США просит Apple создать скомпрометированную версию iOS для использования правоохранительными органами США.

Вы можете посмотреть презентацию Wardle ниже, посмотреть слайды здесь и получить хорошее описание того, как Wardle осуществил захват, в полном отчете ArsTechnica.

Следует отметить, что Wardle описывает созданное государством вредоносное ПО для Mac, которое стало возможным благодаря практически неограниченным ресурсам; большинство вредоносных программ для Mac — больше неприятностей, чем угроз.

Соцсети