System macOS: luka w Safari umożliwiała instalowanie szpiegowskiego oprogramowania

27 stycznia, 2022

To prawda, że macOS nie jest popularnym systemem operacyjnym jak Microsoft Windows. Prawdą też jest, że to bezpieczny system, aczkolwiek nie jest całkowicie odizolowany od technicznych możliwości przeprowadzenia cichego ataku. Coś, czego nie widać, nie oznacza, że nie istnieje, dlatego nawet w macOS warto mieć zainstalowane oprogramowanie ochronne. Tak dla pewności i świętego spokoju, dla bezpiecznego przechowywania danych, i na wypadek przypadkowego wejścia na zainfekowaną stronę, bo od tego miejsca zaczyna się niewidoczny dla użytkownika atak – praktycznie niemożliwy do zauważenia.

Badacze zatrudnieni przez ESET zdołali przeanalizować próbkę złośliwego oprogramowania instalowanego na komputerach Apple po odwiedzeniu konkretnej strony internetowej. Atak możliwy był do przeprowadzenia z powodu nieznanej wcześniej luki w przeglądarce Safari. Opisywany przez analityków przypadek polegał na podwyższeniu uprawnień z lokalnych do uprawnień root poprzez lukę w Safari.

Kampania była wymierzona przeciwko obrońcom demokracji w Hong Kongu. Celem hakerów było infekowanie komputerów Apple tych użytkowników, którzy odwiedzili stronę internetową popularnego ruchu demokratycznego skupionego wokół lokalnego radia.

Hakerzy, aby przeprowadzać ataki drive-by download, musieli wcześniej przejąć kontrolę nad serwerem stacji radiowej – prawdopodobnie z powodu niewystarczających zabezpieczeń: podatności w serwerze HTTP albo luk w silniku strony internetowej. Badacze oceniają kampanię, jak i użyte złośliwe oprogramowanie, jako bardzo techniczne i profesjonalne, co rzuca pewne podejrzenie na rząd Chin. Bo komu innemu najbardziej zależałoby na śledzeniu ludzi, którzy popierają i rozmawiają o demokracji? Już wcześniej rząd Chin szpiegował własnych obywateli w ten sam sposób.

„Watering hole” – przejęcie kontroli nad „źródłem”

watering hole

Taktyka „wodopoju” została zdefiniowana w 2012 roku przez RSA Security LLC i polega na zaatakowaniu konkretnej grupy, organizacji, branży, regionu i składa się z trzech faz:

  • Zaobserwowania, z których stron internetowych często korzysta dana grupa.
  • Przejęcie kontroli nad „źródłem” – zainfekowanie szkodliwym oprogramowaniem.
  • W efekcie, niektóre cele zostaną w końcu zhackowane.

Taktyka wodopoju sprawia, że nawet grupy, które są odporne na celowany phishing zostaną prędzej czy później zinfiltrowane. Wykorzystanie w tej strategii w połączeniu z zaawansowanym atakiem może być bardzo skuteczne, bo niestety użytkownicy instynktownie ufają odwiedzanym znanym instytucjom, stronom internetowym. Jak na przykład stronie rządowej polskiej Komisji Nadzoru Finansowego: w 2017 roku została przejęta przez hakerów w taki sam sposób, doprowadzając do ukierunkowanego ataku na pracowników KNF oraz pracowników innych banków komercyjnych.

Jak można chronić siebie i organizację przed takimi zagrożeniami? 

Pierwszym krokiem do zwiększenia bezpieczeństwa jest przeszkolenie pracowników. Można to zrobić poprzez dostarczenie narzędzi edukacyjnych i odpowiednich technologii. Należy upewnić się, że pracownicy zrozumieją jakim manipulacjom są poddawani oraz na jakie niebezpieczeństwo wystawiają firmę w przypadku udanego ataku.

Należy też pamiętać o wdrożeniu zaawansowanych systemów zabezpieczeń poczty e-mail i sieci. Skuteczne zabezpieczenie powinno skanować wiadomości e-mail i zapewnić ochronę przed spamem, malware, phishingiem i ukierunkowanymi atakami, przy jednoczesnym zmniejszeniu złożoności użytych rozwiązań. Skuteczna ochrona również wymaga wdrożenia funkcji zabezpieczeń takich jak: DLP, IPS/IDS, sandbox, kontrola urządzeń, antywirus.

Równie ważnym elementem obrony jest odpowiednia polityka bezpieczeństwa firmy. Należy upewnić się, czy wszyscy użytkownicy mają dostęp do odpowiedniego segmentu sieci, co może zapobiec utracie wrażliwych danych. Niezbędnym wręcz krokiem jest uwierzytelnianie dwuskładnikowe oraz wdrożenia zasad BYOD i Shadow-IT.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 5 / 5. Liczba głosów: 1

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]