Рыночная доля! Это очевидный, но не единственный возможный ответ.
По различным оценкам в 2011 году на долю компании Apple приходилось более 5% персональных компьютеров/ноутбуков по всему миру. Это достаточно серьезная доля рынка: ОС Linux установлена менее чем на 2% всех компьютеров, а доля Google ChromeOS и того меньше. Достижение компьютерами на базе Mac OS максимального уровня популярности за последние 15 лет совпало по времени с появлением атак с использованием фальшивых антивирусов, нацеленных на компьютеры Apple. Мы обнаружили атаку и написали о ней в блоге в апреле, а потом снова в мае 2011 года. Теперь это совпадение уже не кажется странным. Кстати, то, что вредоносное ПО для компьютеров Apple стало распространенным именно сейчас, скорее всего, не связано с тем, что раньше не было эксплойтов для Apple или с тем, что в системе Mac OS X уделяется какое-то особенное внимание безопасности. Во время «Месяца багов Apple» (Month of Apple Bugs), прошедшего в 2007 году, было показано, что Mac OS X и код, написанный для этой системы, полны уязвимостей, которые злоумышленники вполне могут использовать. На хакерских конкурсах регулярно создаются эксплойты для Safari, Quicktime и других программ, установленных на устройствах Apple. И все же до прошлого года система не привлекала внимания широких масс киберпреступников.
Сейчас нам все еще неизвестно, кто стоит за Flashfake, поэтому мы не можем утверждать, что это та же группа, которая занималась распространением фальшивых антивирусов для Mac OS X. На данном этапе вполне можно исходить из предположения, что за ботнетом стоит группа киберпреступников из Восточной Европы. В этом регионе известны группы, которым удается успешно зарабатывать на рекламе с помощью перенаправления трафика. По нашим сведениям, никакие другие данные злоумышленников не интересовали. А URL-адреса, и эксплойты, которые через них распространялись, были предназначены исключительно для пользователей компьютеров Mac. Эти факторы ограничивают операционные и технические затраты банды заинтересованных в эффективном заработке киберпреступников.
В определенном смысле, можно сказать, что их деятельность была аналогична поведению банд, стоящих за вредоносными программами Koobface и Tdss. Они не совершали крупных финансовых преступлений, масштабы которых могли бы привлечь внимание правоохранительных органов. В их вредоносном коде реализованы перехватчики и другие методы, позволяющие совершать намного более замысловатые «банковские» преступления, чем перехват трафика поисковых систем, однако ориентировались они, по всей видимости, на получение большого количества мелких денежных сумм. К счастью, компания Apple не дала этим ребятам повода сбежать с добычей. В этом бизнесе крутятся большие деньги – по некоторым оценкам, злодеи, стоящие за Koobface, остались с многомиллионным наваром после того, как Facebook «прикрыл их лавочку», начав расследование. Однако, судя по изученным нами данным о регистрации доменов, в данном случае злоумышленники не стремятся к публичности и скрывают информацию о себе, занимаясь перехватом трафика поисковых систем. Что касается вредоносной программы, она перехватывает функции в процессах некоторых приложений, аналогично Zeus, SpyEye и другим шпионским программам. В случае их использования для совершения финансовых преступлений группе, управляющей ботнетом, пришлось бы задействовать денежных мулов и пособников для отмывания краденных средств, что привело бы к увеличению размеров группы и могло бы привлечь внимание правоохранительных органов.
В технологическом плане Java – существенная часть картины. Несмотря на то, что троянец получил название Flashfake, поскольку он предлагался пользователям под видом обновления Adobe Flash, более поздние версии устанавливались на компьютерах жертв при помощи эксплойтов для виртуальной машины Java.
Использовались эксплойты для трех уязвимостей на клиентской стороне. Ни одна из них не была уязвимостью нулевого дня: похоже, что находить таковые злоумышленникам все труднее. Впрочем, и старые эксплойты успешно работали. Интересно, какой период времени прошел с выпуска компанией Oracle очередного обновления безопасности для Java до выпуска компанией Apple обновления, закрывающего данные уязвимости Java, а также в какой момент этого промежутка были опубликованы технические подробности об этих уязвимостях. И когда появились нацеленные на эти уязвимости модули с открытым текстом в проекте Metasploit ? Продолжительность периода между обнаружением уязвимостей и выходом обновлений вызывает большую тревогу: эксплойты не были новыми, но Apple просто не выпустила соответствующие патчи, оставив своих пользователей незащищенными перед этими эксплойтами, которые как бы оставались для пользователей эксплойтами нулевого дня в течение всего этого времени.
2012-02-15 Oracle выпускает патч для уязвимости Atomic Reference Array
2012-03-10 Обнаружение в дикой среде первых эксплойтов для этой уязвимости
2012-03-30 Разработчики Metasploit добавляют модуль эксплойта Java atomicreferencearray
2012-04-03 Apple выпускает патч для своего кода
2011-05-12 Информация об уязвимости передана разработчику ПО
2011-11-18 Oracle выпускает патч для Java SE
2011-11-30 Разработчики Metasploit добавляют модуль «Rhino exploit»
2011-11-30 Krebs сообщает о рабочем сайте с набором эксплойтов Blackhole, содержащем новый эксплойт для Java
2012-3-29 Выпуск патча компанией Apple
«Deserializing Calendar objects»
2008-08-01 Sun впервые получает информацию об уязвимости
2008-12-03 Sun выпускает патч для своего кода (ссылка на Sun не работает)
2009-05-15 Apple выпускает патч для кода Mac OS X
2009-06-16 разработчики Metasploit добавляют эксплойт для уязвимости Java deserialization
Кроме того, в списке имеется «псевдо-эксплойт» — трюк социальной инженерии, реализованный в виде подписанного апплета.
Я бы описал его как лотерею типа «показать вконец запутавшемуся пользователю диалог Java “Готовы ли вы довериться этому апплету?”, и он запустит что угодно». Этот «эксплойт» был впервые включен в список модулей эксплойтов Metasploit 27.01.2010. По сути, пользователю подсовывают файл, который выглядит как обновление Java, созданное компанией Apple Inc., с тем, чтобы пользователь предоставил этому файлу права на любые действия в системе. Затем загрузчик устанавливает соединение с парой сайтов для регистрации и загрузки новых компонентов Flashfake. Эти компоненты в свою очередь записывают UUID системы и временную метку, затем автоматически генерируют с помощью криптоалгоритма набор доменов, на которых размещены командные серверы; при этом в теле вредоносной программы также жестко запрограммирован список доменов. Более новые версии компонентов внедряются во все запущенные процессы в системе, подгружаясь при запуске, и перехватывают трафик, во многом так же, как вредоносные TDS-программы в прошлом.
Массовое заражение OS X — почему именно сейчас?