據(jù)報道,俄羅斯網(wǎng)絡(luò)間諜組織Snake最近將Windows后門程序移植到了MacOS。
Snake網(wǎng)絡(luò)間諜組織自2007年以來一直活躍。關(guān)于該組織,安全專家熟知的名字有Snake、Turla和Uroburos。據(jù)研究人員表示,Snake使用的惡意軟件與目前為止幾起最復(fù)雜的網(wǎng)絡(luò)間諜攻擊有關(guān)。這些惡意軟件主要針對軍事組織、政府實體、大使館、情報機構(gòu)、大型公司以及研究和學(xué)術(shù)機構(gòu)展開攻擊。
荷蘭網(wǎng)絡(luò)安全公司Fox-IT指出,與其它俄羅斯多產(chǎn)攻擊者(例如APT28和APT29)相比, Snake的代碼和基礎(chǔ)設(shè)施更為復(fù)雜,且針對的目標經(jīng)過精心挑選。
Snake網(wǎng)絡(luò)間諜組織通常會針對Windows用戶,其惡意軟件框架最開始為Windows平臺創(chuàng)建。直到2014年,卡巴斯基實驗室的安全專家發(fā)現(xiàn)一個與Snake工具包相關(guān)的Linux組件,這表明這個網(wǎng)絡(luò)間諜組織正將活動擴大到其它平臺。
目前,Snake似乎對Mac用戶頗感興趣。
政、企機構(gòu)應(yīng)警惕!俄羅斯間諜組織Snake已將目標瞄準Mac用戶-E安全
不久前, Fox-IT公司的安全研究人員發(fā)現(xiàn)MacOS版本的Snake惡意軟件工具,這款工具是Windows版本的直接端口,因為它的開發(fā)文檔(Artefact)仍在代碼中提及Microsoft的Internet Explorer。
據(jù)Fox-IT專家稱,這款MacOS惡意軟件仍在開發(fā)或測試階段,并未在外大肆散播。不過,這正表明Snake正準備攻擊蘋果用戶,但這并不奇怪,畢竟MacBook在高管中的使用率相當高。
Fox-IT研究人員發(fā)現(xiàn),Snake macOS樣本偽裝成Flash Player安裝程序,其簽名可能是盜用的經(jīng)蘋果審核通過的開發(fā)者證書。這類代碼簽名證書由蘋果向開發(fā)項目的成員簽發(fā),并且是在官方Mac應(yīng)用商店上發(fā)布應(yīng)用程序所需的證書。
但重點是,帶有蘋果開發(fā)者證書簽名的應(yīng)用程序在安裝過程中不會彈出任何安全提示,并且macOS Gatekeeper安全功能也不會阻止其進行安裝。
無獨有偶,一個多星期以前,Check Point軟件技術(shù)公司的專家發(fā)現(xiàn)一款不同的MacOS惡意程序,這款惡意程序也帶有被盜蘋果證書的簽名。
Fox-IT研究人員就該問題已經(jīng)提醒蘋果公司的安全團隊,他們很可能會撤銷證書。無論如何,考慮到Snake間諜組織的資源,或許他們會在不久的將來濫用另一個證書。