Kaspersky Lab eksperti ir atklājuši vēl vienu Apple datoriem domātu kaitīgo programmatūru, kas visai nepārprotami pieskaitāma mērķuzbrukumos izmantojamajiem apdraudējumiem (Advanced Persistent Threat, APT). Atšķirībā no trojieša Flashfake, kura sastāvā netika atrastas kaitīgās funkcijas, kaitīgā programmatūra Backdoor.OSX.SabPub.a ir spilgts piemērs tam, kā Apple dators ar nenovērstu ievainojamību var nonākt ļaundaru kontrolē.
Kaitīgā programmatūra SabPub tika atklāta 2012.gada aprīļa sākumā. Tā satur slepenās ieejas (backdoor) funkcijas, tas ir, nodrošina uzbrucējiem iespēju slepeni piekļūt datoram un pārvaldīt to. Pašlaik ir samērā maz ar šo kaitīgo programmatūru inficētu datoru. Tas papildus apliecina, ka programmatūra ir izmantota mērķuzbrukumu veikšanai. Pēc aktivizēšanas inficētajā datorā kaitīgā programmatūra pievienojās īpašam serverim, no kura saņēma norādījumus. SabPub komandcentrs atradās ASV un inficēto datoru pieprasījumu virzienmaiņai izmantoja bezmaksas DNS pakalpojumu.
Turpmākie notikumi tikai apstiprināja teoriju, ka SabPub ir izmantota mērķuzbrukumu veikšanai. Kaspersky Lab eksperti pētīja ar šo slepeno ieeju inficēta datora darbību un 15.aprīlī konstatēja vairākas hakeru aktivitātes: uzbrucēji pārņēma inficētās sistēmas vadību un uzsāka tās analīzi. Viņi pētīja saknes un lietotāju personisku mapju saturu un pat lejupielādēja atsevišķus dokumentus, kas vispirms tika lejupielādēti «fiktīvā» sistēmā. Visticamāk, analīze tika veikta ar rokām, nevis automātiski, kas vairāk raksturīgs «masu» kaitīgajām programmatūrām. Arī tas liecina, ka šī kaitīgā programmatūra ir pašlaik aktīva APT apdraudējuma paraugs.
Analizējot kaitīgo programmatūru, eksperti ieguva papildu informāciju par sākotnējās inficēšanas ar SabPub paņēmieniem. Tika atklāti seši Microsoft Word dokumenti, kas satur izmantotāju Exploit.MSWord.CVE-2009-0563.a, no kuriem divi lejupielādēja SabPub. Turklāt tika konstatēta tieša saikne starp SabPub un vēl kādu mērķuzbrukumu, kas vērsts pret Windows sistēmām un pazīstams ar nosaukumu LuckyCat. Tas nozīmē, ka pastāv vienots noziedzīgs grupējums, kas ir atbildīgs par šādu «operāciju» veikšanu. Mēģinājumi atvērt pārējos četrus dokumentus ievainojamos datoros izraisīja inficēšanu ar citu pret Mac datoriem vērstu kaitīgo programmatūru.
«Slepenās ieejas SabPub atklāšana kārtējo reizi pierāda, ka nav neievainojamu platformu,» komentē Kaspersky Lab galvenais antivīrusu eksperts Aleksandrs Gostevs. «Samērā nelielais platformai Mac OS X paredzēto kaitīgo programmatūru skaits vēl nenozīmē tās labāku aizsardzību. Nesenie incidenti ar Flashfake un SabPub liecina, ka neaizsargāti Mac datoru lietotāji arī ir pakļauti riskam. Acīmredzot, kibernoziedznieki šādā veidā reaģē uz Apple datoru pieaugošo tirgus daļu vai mērķtiecīgi uzbrūk «makintošu» īpašniekiem saskaņā ar izvirzīto uzdevumu.»
Backdoor.OSX.SabPub.a un atbilstošos izmantotājus sekmīgi atrod un ārstē Kaspersky Anti-Virus for Mac. Sīkāka informācija par šo kaitīgo programmatūru ir pieejama Kaspersky Lab ekspertu pētījumā tīmekļa vietnē www.securelist.com.
NEXT.LV remarka: no Flashfake trojieša iespējams atbrīvoties/pasargāties, instalējot Apple izlaisto programmatūras atjaununājumu (veicam Software Update)