بدافزار جاسوسی که مدتهاست مک را آلوده کرده است
رسانه کلیک - پس از مدتها یکی از کاربران ارشد امنیتی شرکت Synack وجود بدافزار جاسوسی سیستم عامل مک را تایید کرد.
سیستم عامل مک شما امن نیست حداقل نه در حدی که شما فکرش را میکنید. در یک اقدام بزرگ و تحقیقاتی، مشخص شد که یکی از بدافزارهای جاسوسی و مخرب که بر روی سیستم عامل اپل متمرکز بوده نزدیک به یک دهه است که از اپل و سیستم عاملش سو استفاده کرده است. این در حالی است که تماشای محیط کاربری قربانیان از طریق وبکم به صورت نامحسوس توسط یک مهاجم ناشناخته به اسم Fruitfly انجام میشود. این بدافزار اولین بار در ماه ژانویه توسط Malwarebytes گزارش داده شد. با این حال پاتریک وردل پژوهشگر ارشد امنیت Synack در تاریخ ۲۱ جولای در معرض حمله واقعی Fruitfly قرار گرفت. یک هکر بنا به دلایل نامعلوم این بدافزار را برای جاسوسی از سیستمهای کاربران طراحی کرده است. وردل در مصاحبهای که با سایت Mashable داشت توضیح داد که در سال جاری یکی از دوستانش نرمافزار مخربی را به او ارسال کرده بود که به نظر بسیار مشکوک بود. پس از نصب و اجرا این برنامه مخرب سیستم وردل مورد حمله قرار گرفت و آلوده شد. پس از این جریان، تحقیقات به برخی مکانهای غیرمنتظره سوق پیدا کرد. وردل متوجه شد که این بدافزار رایانههای آلوده را به منظور دستیابی به یک دستور و کنترل سرور و دستورالعملی به نام وظیفه (Tasking) هندل میکند. وردل به همین ترتیب متوجه شد که کامپیوترها پس از آلوده شدن به دنبال دامنههای پشتیبان برای جهت خود هستند بنابراین فقط یک یا دو دامنه برای ثبت نام در دسترس بود.
بنابراین او یکی از دامنهها را ثبت کرد سپس سرور را ایجاد کرد تا بتواند با نرمافزار مخرب ارتباط داشته باشد. چیزی که او از این جریان متوجه شد بسیار وحشتناک است. بدافزار مخرب Fruitfly، آی پی آدرسهای کامپیوترهای آلوده را که برای تعیین موقعیت و لوکیشن کامپیوتر و همچنین تعیین نام سیستم به کار گرفته میشود به وردل داد. در بیشتر سیستمهای مک، نام سیستم همان نام مالک کامپیوتر میشود. بنابراین برای شروع، واردل تصمیم گرفت نام و مکان بسیاری از کامپیوترهای قربانیان را بررسی کند. اما این همه آن چیزی نبود که وردل به دنبال آن بود. این بدافزار به او توانایی کنترل دوربینهای وبکم و میکروفون ها را نیز داد بنابراین وردل میتوانست از راه دور وبکم و میکروفون را تغییر بدهد و کنترل آنها را در دست بگیرد. در کنار این کنترل و تغییرات وردل میتوانست فایلها را تغییر و یا حتی زمانی که کاربر حین انجام کار با سیستم مک خود است به او نوتیفیکشن بدهد. این گونه نرمافزارها معمولا در سازمانها و شرکتهای دولتی برای Observe (مشاهده) کردن استفاده میشود. وردل زمانی که برای NSA کار میکرد از این نوع نرمافزارها برای مشاهده استفاده میکرد.
نکته جالب اینجاست که قربانیان حمله Fruitfly مردم معمولی هستند و هیچ سمت مهمی در سازمان و شرکتهای دولتی ندارند. همچنین این بدافزار برای سود مالی طراحی نشده است و بیشتر شبیه بدافزارهایی است که دستگاههای روزمره را آلوده میکنند. با این وجود هدف این بدافزار متفاوت است. وردل در ادامه توضیحاتش به این نکته اشاره کرد که هکر و برنامه نویس Fruitfly صرفا برای جاسوسی از کاربران مک و نظارت بر عملکرد آنها این بدافزار را طراحی و برنامهنویسی کرده است. تقریبا ۹۰ درصد کامپیوترهای مک آلوده در ایالات متحده قرار دارند. وردل حدود ۴۰۰ سیستم مک را شناسایی کرد که آلوده به بدافزار Fruitfly شده است. با این وجود این تعداد بسیار کم است. اما چرا تعداد کمی از سیستمهای مک آلوده به بدافزار Fruitfly شدهاند؟ به دو دلیل میتوان اشاره کرد: اول اینکه حمله فراگیر Fruitfly میتوانست رعب و وحشت را در میان مردم بوجود بیاورد دوم اینکه این استراتژی (میزان کم آلودگی سیستمهای مک) از تشخیص و شناسایی بدافزار Fruitfly جلوگیری میکند. صحبت از تشخیص شد. چرا این همه مدت طولانی این بدافزار کشف نشده بود؟ با توجه به تجزیه و تحلیلهای وردل، علت آن میتواند فراگیر نبودن حمله Fruitfly به کل سیستمهای مک باشد. وردل میگوید نرمافزار امنیتی سیستم عامل مکینتاش خوب نیست، او پیش از این توضیح داد که مکینتاش بیشتر در شناسایی تهدیدات شناخته شده میتواند خوب عمل کند اما در شناسایی تهدیدات جدید بسیار ضعیف عمل کرده است. وردل به کاربران مک پیشنهاد میکند که از یک کاور برای پوشش وبکم سیستم مک خود استفاده کنند. او همچنین در ادامه صحبتهایش به هک شدن آسان سیستم عامل مک نسبت به نسخههای اخیر ویندوز اشاره کرد. این موضوع باعث شده تا جامعه اپل نگاه جدیتر و عمیقتر به سیستمهای مک داشته باشند.
وردل با همکاری سازمان امنیتی اجرای قانون ایالات متحده آمریکا، عملکرد کل ویروس یا بدافزار Fruitfly را متوقف کرده است. این خبر خوبی است برای ۴۰۰ کاربری که سیستم مکشان توسط بدافزار Fruitfly تحت کنترل بود. یافتهها نشان میدهد که نرمافزار مخرب Fruitfly میتواند مجددا از طریق برخی از برنامههای ناشناس و نامعتبر وارد سیستم مک شود و فعالیت خود را شروع کند بنابراین کاربران مک از این به بعد باید محتاطانه با نرمافزارهای جانبی مک در ارتباط باشند.