PMI_092022 PMI_092022 PMI_092022

Najprv špionážny malvér, potom nebezpečná zraniteľnosť. Ťažké leto pre používateľov Apple

Bezpečnosť
3

Leto je za nami, a keby som chcel byť nasilu cynický, poviem, že lepšie je byť ožiarený slnkom ako záporožskou jadrovou elektrárňou. Jedna vec je jednoznačne horšia ako druhá. Na leto 2022 budeme spomínať ako na najteplejšie a najsuchšie a takisto na leto pokračujúcej ruskej vojny na Ukrajine. Verme, že jeseň nám prinesie konečne lepšie správy. No v tomto stĺpčeku sa bavíme o kybernetickej bezpečnosti, takže neprekvapím, keď vás dobré správy v najbližších riadkoch čakať nebudú. Ale zato budú zaujímavé.

Naši výskumníci totiž v lete odhalili doteraz neznámy backdoor CloudMensis, ktorý sleduje používateľov napadnutých počítačov Mac. Pomenovali sme ho CloudMensis, lebo zneužíva cloudové úložiská na komunikáciu s útočníkmi a používa názvy mesiacov na označovanie adresárov. Tento Mac OS malvér využíva výhradne verejné cloudové úložiská od troch rôznych poskytovateľov – pCloud, Yandex Disk a Dropbox – ako svoj kanál na spojenie s riadiacim serverom.  Dokáže vydávať 39 príkazov. Medzi ne patrí extrakcia dokumentov, zaznamenávanie stlačení klávesnice, prehliadanie e-mailových správ, príloh aj súborov na externých úložiskách a, samozrejme, dokáže vyhotovovať aj snímky obrazovky.

Metadáta z použitých cloudových úložísk ukazujú, že útočníci zasiahli prvý Mac už 4. februára tohto roka. A keďže má vcelku obmedzenú distribúciu (rozšírenie), naznačuje nám to, že ide o cielenú kybernetickú operáciu. Podľa našej analýzy využívajú útočníci CloudMensis na špecifické ciele, ktoré sú pre nich zaujímavé. 

Využívanie objavených zraniteľností na obídenie bezpečnostných systémov operačného systému Mac OS nasvedčuje tomu, že útočníci sa aktívne snažia maximalizovať úspešnosť špionážnej kampane. Počas analýzy výskumníci spoločnosti ESET nenašli žiadne doposiaľ neznáme (zero-day) zraniteľnosti, ktoré by útočníci zneužili. Používateľom preto odporúčame uistiť sa, že majú najnovšiu verziu operačného systému. Aktualizácia by mala prinajmenšom zabrániť obídeniu bezpečnostných mechanizmov. Spoločnosť Apple potvrdila prítomnosť spajvéru zacieleného na používateľov jej produktov a predstavila nový Lockdown Mode pre iOS, iPadOS a Mac OS, ktorý zakazuje funkcie často zneužívané na spustenie kódu a nasadenie malvéru. 

Keby toho nebolo dosť, Apple len nedávno informoval o zraniteľnosti nie iba v Macoch, ale aj iPhonoch a iPadoch, ktorá útočníkovi potenciálne umožňuje získať kontrolu nad zariadením. Stať sa obeťou tejto zraniteľnosti a nakaziť sa malvérom bolo potenciálne možné iba obyčajným prezeraním webových stránok. Hrozba, pri ktorej stačí iba otvorenie webovej stránky na zariadení ako iPhone, je veľmi zriedkavá, a teda pre útočníkov aj zaujímavá. Apple nepovedal, koľko obetí bolo, iba to, že má o nejakých správy. Ak sa podarilo používateľa dostať na takúto stránku, mohol útočník na zariadení spustiť akýkoľvek kód, informovala britská televízia Sky News.

Na to, aby mohol malvér pracovať, používal jadro operačného systému iOS. Tak mohol útočník získať aj úplnú kontrolu nad postihnutým zariadením. Teraz, keď je táto zraniteľnosť celému svetu verejne známa, hackeri určite reverzujú bezpečnostnú aktualizáciu, aby ju zneužili na nezaplátaných zariadeniach. Opäť preto chceme zdôrazniť: Určite si nainštalujte najnovšie verzie operačných systémov, konkrétne iOS, iPadOS a Mac OS,  a robte to pravidelne.

A hoci my sa napríklad aj tu našimi objavmi radi pochválime, výskumník, ktorý Apple informoval o tejto zraniteľnosti, chcel zostať v anonymite. Na to môže byť mnoho dôvodov. No médiá sa išli pretrhnúť v scenároch, prečo asi to tak bolo. Možno pracoval pre firmu alebo vládnu organizáciu, ktorá sa stala obeťou. Nie sú na to síce žiadne dôkazy, ale mohli by byť, povedali by určite niektorí konšpirátori. V každom prípade však môžem aspoň potvrdiť, že my sme to neboli.

No a keď sme pri vláde a začínal som aj ruskou agresiou na Ukrajine, nedá mi nespomenúť výskum Industroyer2, o ktorom som pred pár mesiacmi na tomto mieste písal. Naši výskumníci o ňom totiž prezentovali na Black Hat USA, jednej z najprestížnejších konferencií o kybernetickej bezpečnosti na svete. A nie sami. Pripojil sa k nim zástupca riaditeľa ukrajinskej Služby pre špeciálnu komunikáciu a kybernetickú ochranu, pod ktorú spadá aj CERT-UA (tím reakcie na núdzové kybernetické situácie), Victor Zhora. Účastníci tak mali možnosť počuť viac detailov, akým kybernetickým útokom Ukrajinci čelia a čo robia, aby ich vedeli zvládať.

Industroyer2, ktorý mohol vypnúť elektrickú energiu až pre dva milióny ľudí na Ukrajine, sa podarilo zastaviť predovšetkým vďaka kybernetickým obrancom Ukrajiny. A aj vďaka našej analýze a výskumu. Pri tejto príležitosti sme za náš lab sľúbili, že podporovať kybernetickú ochranu Ukrajiny v spolupráci s ukrajinským CERTom budeme aj v budúcnosti.

Každý pomáha, ako vie, ako môže, ako dokáže. A musíme si pomáhať navzájom. Príležitostí je dosť. Čitateľom ako každý mesiac želám príjemné a hlavne bezpečné surfovanie online svetom.

Branislav Ondrášik, ESET

Všetky autorove články

3 komentáre

Tak ono niekto vyvinul malwér, ktorý napáda Arch Linux aj Windows10 rovnakým spôsobom: reakcia na: Najprv špionážny malvér, potom nebezpečná zraniteľnosť. Ťažké leto pre používateľov Apple

19.9.2022 14:09
Niečo preberá kontrolu nad mojími strojmi a spomaľuje wifi. Na help linke telekomu mi povedali, že oni garantujú len rýchlosť na kábli RJ45 a na wifi kašľú. Len ja mám práve doma 4 počítače, ktoré už nemajú LAN konektor a pripájajú sa len pomocou wifi. Niečo mi vždy usekne rýchlosť na sieti, akoby mi to robilo napriek. Idem 27kB/s a to som rád, že to ešte nepadne na 1200B/s. Mali by ste oskenovať routery telekom, či nie sú napadnuté malwérom, keďže ich majú títo odborníci na starosť. Alebo, či nie je v derivátoch Arch Linuxu malwér, lebo Windows10 sa niekedy pekne rozbehne rýchlosť, len ten Linux seká dole. Či to zamestnanci telekomu na proxáči robia na priek a znižujú rýchlosti naschvál??? Sa len divím, že 7 rokov, čo mám telekom mi to išlo 1300kB/s na všetkých počítačoch doma a teraz pád na 27kB/s??? A to mi ešte chcel telekom predať nový router za 70€, že asi je ten starý pokazený. Tak vravím díky, ja mám TPLink wa850re s RJ45 dierou za 16€ a spravím to tak, že keď tvrdia, že je wifi na starom routri zte-2rrt6g pokazená, tak vypnem zte wifi a rj45 káblom prepojím switch z routra do tplink wa850re a na novom routri tplink zapnem wifi. Po riti, ak to nepôjde!!!
Reagovať

RE: A to viete, že sa našli vo Windows zraniteľnosti také hrozné, že museli zaplátať až windows7? reakcia na: Tak ono niekto vyvinul malwér, ktorý napáda Arch Linux aj Windows10 rovnakým spôsobom:

19.9.2022 15:09
veď sedmičky ze ms zo strachu zaplátal, že také diery v nich boli
Reagovať

RE: Btw, mám zakúpený aj eset internet security na jednom windows počítači na 2 roky za 50€ a aj tento stroj strašne seká reakcia na: Tak ono niekto vyvinul malwér, ktorý napáda Arch Linux aj Windows10 rovnakým spôsobom:

19.9.2022 14:09
Mám aj eset antivír zakúpený, ale aj tento windows10 strašne seká internet. Točí koliesko a nejde načítať stránku. To teraz iste fičí nejaký malwér, čo znižuje naschvál rýchlosti wifi. Alebo, čo to prenáša cez sieť???
Reagovať

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať