Najprv špionážny malvér, potom nebezpečná zraniteľnosť. Ťažké leto pre používateľov Apple

Leto je za nami, a keby som chcel byť nasilu cynický, poviem, že lepšie je byť ožiarený slnkom ako záporožskou jadrovou elektrárňou. Jedna vec je jednoznačne horšia ako druhá. Na leto 2022 budeme spomínať ako na najteplejšie a najsuchšie a takisto na leto pokračujúcej ruskej vojny na Ukrajine. Verme, že jeseň nám prinesie konečne lepšie správy. No v tomto stĺpčeku sa bavíme o kybernetickej bezpečnosti, takže neprekvapím, keď vás dobré správy v najbližších riadkoch čakať nebudú. Ale zato budú zaujímavé.

Naši výskumníci totiž v lete odhalili doteraz neznámy backdoor CloudMensis, ktorý sleduje používateľov napadnutých počítačov Mac. Pomenovali sme ho CloudMensis, lebo zneužíva cloudové úložiská na komunikáciu s útočníkmi a používa názvy mesiacov na označovanie adresárov. Tento Mac OS malvér využíva výhradne verejné cloudové úložiská od troch rôznych poskytovateľov – pCloud, Yandex Disk a Dropbox – ako svoj kanál na spojenie s riadiacim serverom.  Dokáže vydávať 39 príkazov. Medzi ne patrí extrakcia dokumentov, zaznamenávanie stlačení klávesnice, prehliadanie e-mailových správ, príloh aj súborov na externých úložiskách a, samozrejme, dokáže vyhotovovať aj snímky obrazovky.

Metadáta z použitých cloudových úložísk ukazujú, že útočníci zasiahli prvý Mac už 4. februára tohto roka. A keďže má vcelku obmedzenú distribúciu (rozšírenie), naznačuje nám to, že ide o cielenú kybernetickú operáciu. Podľa našej analýzy využívajú útočníci CloudMensis na špecifické ciele, ktoré sú pre nich zaujímavé. 

Využívanie objavených zraniteľností na obídenie bezpečnostných systémov operačného systému Mac OS nasvedčuje tomu, že útočníci sa aktívne snažia maximalizovať úspešnosť špionážnej kampane. Počas analýzy výskumníci spoločnosti ESET nenašli žiadne doposiaľ neznáme (zero-day) zraniteľnosti, ktoré by útočníci zneužili. Používateľom preto odporúčame uistiť sa, že majú najnovšiu verziu operačného systému. Aktualizácia by mala prinajmenšom zabrániť obídeniu bezpečnostných mechanizmov. Spoločnosť Apple potvrdila prítomnosť spajvéru zacieleného na používateľov jej produktov a predstavila nový Lockdown Mode pre iOS, iPadOS a Mac OS, ktorý zakazuje funkcie často zneužívané na spustenie kódu a nasadenie malvéru. 

Keby toho nebolo dosť, Apple len nedávno informoval o zraniteľnosti nie iba v Macoch, ale aj iPhonoch a iPadoch, ktorá útočníkovi potenciálne umožňuje získať kontrolu nad zariadením. Stať sa obeťou tejto zraniteľnosti a nakaziť sa malvérom bolo potenciálne možné iba obyčajným prezeraním webových stránok. Hrozba, pri ktorej stačí iba otvorenie webovej stránky na zariadení ako iPhone, je veľmi zriedkavá, a teda pre útočníkov aj zaujímavá. Apple nepovedal, koľko obetí bolo, iba to, že má o nejakých správy. Ak sa podarilo používateľa dostať na takúto stránku, mohol útočník na zariadení spustiť akýkoľvek kód, informovala britská televízia Sky News.

Na to, aby mohol malvér pracovať, používal jadro operačného systému iOS. Tak mohol útočník získať aj úplnú kontrolu nad postihnutým zariadením. Teraz, keď je táto zraniteľnosť celému svetu verejne známa, hackeri určite reverzujú bezpečnostnú aktualizáciu, aby ju zneužili na nezaplátaných zariadeniach. Opäť preto chceme zdôrazniť: Určite si nainštalujte najnovšie verzie operačných systémov, konkrétne iOS, iPadOS a Mac OS,  a robte to pravidelne.

A hoci my sa napríklad aj tu našimi objavmi radi pochválime, výskumník, ktorý Apple informoval o tejto zraniteľnosti, chcel zostať v anonymite. Na to môže byť mnoho dôvodov. No médiá sa išli pretrhnúť v scenároch, prečo asi to tak bolo. Možno pracoval pre firmu alebo vládnu organizáciu, ktorá sa stala obeťou. Nie sú na to síce žiadne dôkazy, ale mohli by byť, povedali by určite niektorí konšpirátori. V každom prípade však môžem aspoň potvrdiť, že my sme to neboli.

No a keď sme pri vláde a začínal som aj ruskou agresiou na Ukrajine, nedá mi nespomenúť výskum Industroyer2, o ktorom som pred pár mesiacmi na tomto mieste písal. Naši výskumníci o ňom totiž prezentovali na Black Hat USA, jednej z najprestížnejších konferencií o kybernetickej bezpečnosti na svete. A nie sami. Pripojil sa k nim zástupca riaditeľa ukrajinskej Služby pre špeciálnu komunikáciu a kybernetickú ochranu, pod ktorú spadá aj CERT-UA (tím reakcie na núdzové kybernetické situácie), Victor Zhora. Účastníci tak mali možnosť počuť viac detailov, akým kybernetickým útokom Ukrajinci čelia a čo robia, aby ich vedeli zvládať.

Industroyer2, ktorý mohol vypnúť elektrickú energiu až pre dva milióny ľudí na Ukrajine, sa podarilo zastaviť predovšetkým vďaka kybernetickým obrancom Ukrajiny. A aj vďaka našej analýze a výskumu. Pri tejto príležitosti sme za náš lab sľúbili, že podporovať kybernetickú ochranu Ukrajiny v spolupráci s ukrajinským CERTom budeme aj v budúcnosti.

Každý pomáha, ako vie, ako môže, ako dokáže. A musíme si pomáhať navzájom. Príležitostí je dosť. Čitateľom ako každý mesiac želám príjemné a hlavne bezpečné surfovanie online svetom.