Специалисты по кибербезопасности уличили Apple в странной ангажированности в пользу загадочной киберпреступной группировке Windshift. Четыре месяца назад компания DarkMatter описала деятельность этих хакеров, которые атаковали пользователей Мас в странах Ближнего Востока с целью шпионажа. Однако используемое ими вредоносное ПО по-прежнему не детектируется большинством антивирусных продуктов.
Когда в декабре известный специалист в области безопасности Мас Патрик Уордл (Patrick Wardle) опубликовал результаты анализа файла Meeting_Agenda.zip, используемого Windshift для установки редких macOS-вредоносов (OSX.WindTail.A, OSX.WindTail.B и OSX.WindTape), он был весьма удивлен. Результаты VirusTotal показали, что только два антивируса расценивают данный файл как вредоносный. Дальнейший поиск на VirusTotal выявил еще четыре связанных Meeting_Agenda.zip файла, причем три из них не детектировались ни одним из антивирусов, а четвертый только двумя.
К моменту этого исследования, по словам экспертов, Apple уже отозвала цифровой сертификат, используемый вирусописателями для подписи вредоносной программы. То есть, компании не было неизвестно о вредоносном ПО, ей была известна эта информация, но по каким-то причинам Apple не поделилась данными с производителями антивирусов.
На момент написания новости компания Apple никак не прокомментировала ситуацию.
Группировке WindShift удавалось в течение нескольких лет осуществлять кибершпионскую деятельность, оставаясь незамеченной. Их жертвами становились сотрудники государственных учреждений и компаний критической инфраструктуры в странах Среднего Востока. Тактика хакеров была довольно интересной: злоумышленники создавали страницы поддельных пользователей в соцсетях, а затем отправляли будущей жертве запрос на добавление в друзья и устанавливали контакт. От 6 месяцев до 1 года злоумышленники следили за жертвой с помощью невинных писем, определяя круг ее интересов, местоположение, используемый компьютер, частоту кликов и пр.
На основании полученных данных для жертвы создавался специальный контент, после чего начиналась сама атака с фишинговым письмом и вредоносом WindTale (варианты А и В) и WindTape.
Читайте также о Google ( также любителях недоговорить ) и про то, как хакер угнал доступ к Apple Global Service Exchange .
