סוס טרויאני חדש שפותח בסין מסוגל לפגוע במערכת ההפעלה של אפל

על פי מומחים בחברת ESET הקוד הזדוני המכונה OSX/Lamadi.A מכוון נגד אתרים לא ממשלתיים בטיבט

סוס טרויאני למערכת ההפעלה OSX שנתגלה לאחרונה מנצל פרצת אבטחה ישנה יחסית על מנת להתקין קוד זדוני במחשב הנגוע ולגנוב ממנו מידע. אחת מהווריאציות החדשות של הטרויאני עושה שימוש במסמכי אופיס כחלק מתהליך ההתקנה והיא מכונה על ידי מומחי האבטחה של ESET בשם OSX/Lamadi.A. בניתוח ראשוני של הטרויאני, שערכה חברת האבטחה AlienValut, נמצא שמקור הנוזקה הוא בסין ומפעילה מכוונים את פעילותה נגד אתרים לא ממשלתיים בטיבט. 

בחברת ESET  הבחינו שלאחר ההתקנה הנוזקה יוצרת קשר עם שרת שליטה שנמצא בסין. לאחר שהחיבור נוצר השרת יכול לתת פקודות לטרויאני להוריד או להתקין קבצים על המחשב הנגוע, להריץ תוכנות או פקודות או לזהם את המחשב בווירוס או קוד זדוני אחר. במילים אחרות, מפעיל הסוס הטרויאני מחובר למחשב הנגוע מרחוק והוא יכול לעשות בו כמעט ככל העולה על רוחו.

"אחת השיטות לנתח את נוזקה היא לנסות לפענח את הקוד הבינארי שלה כדי להשיג רמזים לגבי הפעולה שלה ואיך אפשר להתגבר עליה" אומרים ב ESET. "גישה נוספת היא פשוט להתקין ולהריץ אותה ולראות מה היא עושה. זה בדיוק מה שעשינו וקיבלנו כמה תוצאות מעניינות".

בחברה מציינים כי הסוס הטרויאני מתוחכם דיו כדי להשתמש בכמה רמות של הצפנה על מנת להסוות את התקשורת שלו עם השרת המרוחק, מה שמקשה על גילויו. בנוסף, הוא יודע להשתמש במערכת בקרה למעקב אחר תקינות ההעברה וההורדה של קבצים, עובדה המעידה שלא מדובר על ניסיון חפוז להשיג מידע אקראי, אלא על מערכת שתוכננה במיוחד כדי להשיג ולשמור את המידע שהיא מנסה לגנוב.

אחד הממצאים המעיינים ביותר בניתוח שלESET הוא הגילוי שהשרת המרוחק מופעל על ידי אדם, בניגוד להתקפות דומות שבהן השרת המרוחק מופעל אוטומטית. כאשר החיבור לשרת השליטה נוצר, הבחינו החוקרים כי חלק מהפקודות שהתקבלו במחשב הניסוי הכילו שגיאות הקלדה שלאחר מכן תוקנו ופעולות נוספות שבוצעו בזמן אמת הראו שמישהו 'מתעסק' עם הסוס הטרויאני ונותן לו פקודות מה לעשות הלאה.

למידע נוסף אודות המחקר של חברת ESET על הטרויאני לחצו כאן

You might be interested also