רוגלה מסתורית התגלתה במחשבי מק

נחשפה דלת אחורית חדשה, שמאפשרת לרגל אחרי משתמשים במחשבי מק (Mac) של אפל, ועושה שימוש באופן בלעדי בשירותי אחסון בענן, כדי לתקשר עם המפעילים שלה. את הרוגלה גילו החוקרים של ESET.

החוקרים כינו אותה CloudMensis. לדבריהם, ניתוח הפעילות שלה מעיד בבירור שמטרת התוקפים היא לאסוף מידע ממחשבי הקורבנות, באמצעות הדלפת מסמכים והקשות מקלדת, רישומים של הודעות דוא"ל וקבצים שמצורפים להן, רישומים של קבצים שנמצאים באחסונים נשלפים, וצילומי מסך. הרוגלה משתמשת בשירותי אחסון בענן, כדי לתקשר עם מפעיליה, והיא משתמשת בשמות החודשים כשמות לתיקיות.

"CloudMensis", ציינו החוקרים, "היא איום למשתמשי מק – אך התפוצה המוגבלת מאוד שלה מצביעה על כך שככל הנראה היא שימשה כחלק מפעולה ממוקדת על מטרות ספציפיות". לדבריהם, מפעילי הנוזקה שולחים את CloudMensis למטרות ספציפיות שמעניינות אותם. השימוש בפרצות כדי לעקוף את ההגבלות של macOS מראה שמפעילי הנוזקה מנסים להביא להצלחה מרבית של פעולות הריגול שלהם באופן אקטיבי. "עם זאת", ציינו אנשי ESET, "במהלך המחקר שלנו לא נמצאו פרצות לא ידועות (פרצות יום-אפס) שבהן השתמשה הקבוצה. לכן, מומלץ להשתמש בגרסה מעודכנת של macOS כדי להימנע מהמעקפים של אמצעי האבטחה המובנים בהם השתמשו התוקפים".

השתלטות דרך שירותי ענן. הרוגלה CloudMensis. צילום: ESET

כמה אפשרויות לאיסוף מידע מהמחשב שנפרץ

"אנחנו עדיין לא יודעים כיצד CloudMensis הופצה בהתחלה ומי המטרות שלה. האיכות הכללית של הקוד בנוזקה, והיעדר החשאיות, מראים שככל הנראה יוצרי הנוזקה אינם מנוסים בפיתוח תוכנות ל-מק ואינם מתוחכמים כל כך", אמר מארק-אטיין לווייה מ-ESET, שניתח את הרוגלה. "עם זאת, משאבים רבים הושקעו במאמץ להפוך את CloudMensis לכלי ריגול עוצמתי ולאיום עבור המטרות הפוטנציאליות שלה", הוסיף.

לאחר ש-CloudMensis מקבלת את ההרשאה להריץ קוד ואת הרשאות מנהל המערכת, היא מפעילה נוזקה ראשונית שמורידה ומתקינה נוזקה שנייה, עוצמתית יותר, משירות אחסון בענן.

השלב השני הזה הוא מרכיב גדול בהרבה, שמכיל כמה אפשרויות לאיסוף מידע מהמחשב שנפרץ. ברור שמטרתם של התוקפים היא ריגול: הדלפת מסמכים, צילומי מסך, קבצים מצורפים להודעות דוא"ל ומידע רגיש אחר. נכון לעכשיו, ישנן 39 פקודות שהנוזקה מסוגלת לבצע.

CloudMensis משתמשת באחסון בענן גם כדי לקבל פקודות מהמפעילים שלה, וגם בשביל להדליף את הקבצים. היא תומכת בשלושה ספקי שירותי ענן שונים – pCloud, Yandex Disk ו-Dropbox. החוקרים ציינו כי הנתונים הנלווים (Metadata) של שירותי האחסון בענן, בהם הנוזקה משתמשת, מראים שהמחשב הראשון שנפגע במהלך הקמפיין הזה הודבק ב-4 בפברואר, 2022.

באחרונה הכירה אפל בקיומה של הרוגלה, שמופנית למשתמשים במוצריה, והציגה מצב נעילה (Lockdown Mode) למערכת ההפעלה למחשב שלה, לטלפון החכם שלה ול-iPad.