| 2 марта 2020 г. — 4:10 PT
Специалист по безопасности и бывший хакер АНБ Патрик Уордл продемонстрировал способ модификации созданного государством вредоносного ПО для Mac, чтобы оно выполняло его собственный код вместо полезных нагрузок с правительственных серверов.
Сложность вредоносного ПО делает его перепрофилирование привлекательным для других злоумышленников, в том числе для других правительств…
ArsTechnica сообщает, что Уордл изложил этот аргумент во время презентации на конференции.
«Существуют невероятно хорошо финансируемые, хорошо оснащенные, очень мотивированные группы хакеров из агентств с «тремя буквами», которые создают потрядосное вредоносное ПО, обладающее полным функционалом и также полностью протестированное», — сказал Уордл во время выступления под названием «Перепрофилированное вредоносное ПО: темная сторона переработки».
«Идея заключается в том, чтобы позволить этим группам в этих агентствах создавать вредоносное ПО, а вам, как хакеру, просто перепрофилировать его для своей собственной миссии», — сказал он.
Сложное вредоносное ПО способно обходить встроенные в macOS средства защиты.
Уордл смог внести другие изменения в свои перепрофилированные фрагменты кода, чтобы они обходили встроенные в macOS средства защиты от вредоносного ПО. Например, поскольку сканер вредоносного ПО Xprotect основан на сигнатурах файлов, изменение одного байта повторно используемого кода достаточно, чтобы полностью избежать обнаружения. А когда отозваны сертификаты подписи, выданные Apple, очень легко снять подпись с программного обеспечения и подписать его новым сертификатом. И чтобы удалить предупреждения, отображаемые, когда пользователи пытаются выполнить код или установить приложения, загруженные из Интернета, легко удалить программные флаги, которые вызывают появление этих предупреждений.
Принцип работы такого вредоносного ПО заключается в загрузке собранных данных на серверы, принадлежащие правительству, которое его создало, и загрузке дополнительного вредоносного ПО с этих серверов. Уордлу удалось взломать используемое шифрование и вместо этого направить вредоносное ПО на свой собственный сервер.
Перепрофилирование привело к тому, что вредоносное ПО стало отчитываться на командные серверы, принадлежащие Уордлу, а не на серверы, назначенные разработчиками. Оттуда Уордл получил полный контроль над переработанным вредоносным ПО. Этот подвиг позволил ему использовать хорошо разработанные и полнофункциональные приложения для установки собственных вредоносных нагрузок, получения снимков экрана и других конфиденциальных данных с скомпрометированных Mac, а также для выполнения других злонамеренных действий, заложенных в вредоносное ПО.
Он сказал, что помимо риска того, что это сделают другие хакеры, есть две причины, по которым другие страны иногда могут захватывать вредоносное ПО другой страны, а не использовать свое собственное.
Это может позволить злоумышленникам, особенно из групп, спонсируемых государством, заражать среды высокого риска, такие как те, которые уже заражены и находятся под наблюдением других вредоносных программных акторов. В такой ситуации многие группы хакеров, поддерживаемые государством, откажутся от развертывания своего «жемчужного» вредоносного ПО, чтобы сохранить конфиденциальность собственных тактик, методов и процедур.
Перепрофилирование чужого вредоносного ПО может быть подходящей альтернативой в таких сценариях.
В случае обнаружения и судебно-технического анализа заражения вредоносным ПО, есть большая вероятность, что исследователи припишут атаку первоначальным хакерам, а не стороне, перепрофилировавшей вредоносное ПО.
По его словам, это уже происходит. Например, есть свидетельства того, что вредоносное ПО, разработанное АНБ, использовалось Китаем, Северной Кореей и Российской Федерацией. Об этом стоит помнить, когда правительство США просит Apple создать скомпрометированную версию iOS для использования правоохранительными органами США.
Вы можете посмотреть презентацию Уордла ниже, презентацию в слайдах можно посмотреть здесь, а также получить подробное описание того, как Уордлу удалось совершить угон, в полном отчете ArsTechnica.
Следует отметить, что Уордл описывает вредоносное ПО для Mac, созданное государством и ставшее возможным благодаря практически неограниченным ресурсам; большая часть вредоносного ПО для Mac является скорее досадной помехой, чем угрозой.