Ύποπτοι Ιρανοί χάκερ με υποστήριξη της κυβέρνησης για στοχοποίηση χρηστών ακτιβιστών ανθρωπίνων δικαιωμάτων έχουν έναν νέο ιό που στοχεύει Apple λογισμικό. Φωτογραφία: Flickr, με άδεια Creative Commons.

Η έκθεση αυτή δημοσιεύτηκε αρχικά στην ιστοσελίδα Διεθνής Εκστρατεία για τα Ανθρώπινα Δικαιώματα στο Ιράν. 

Μέχρι πρόσφατα, Ιρανοί ακτιβιστές ανθρωπίνων δικαιωμάτων, χρήστες λειτουργικού συστήματος Windows και Android ήταν οι πιο ευάλωτοι σε επιθέσεις χακαρίσματος, οι οποίες πιθανότατα προέρχονταν από την ιρανική κυβέρνηση. Ωστόσο, πλέον έχουν αρχίσει να επηρεάζουν χρήστες Apple, χρησιμοποιώντας κακόβουλο λογισμικό (λογισμικό που καταστρέφει ή απενεργοποιεί συστήματα υπολογιστών) που στοχεύει συσκευές Apple των χρηστών, σύμφωνα με νέα έκθεση του Ιρανού ερευνητή του Διαδικτύου Collin Anderson και του ερευνητή ασφαλείας Claudio Guarnieri.

Ο Anderson, ο οποίος συνδιαχειρίζεται τον ιστότοπο Iran Threats, δήλωσε στην Εκστρατεία ότι οι χάκερ στοχεύουν υπολογιστές των ακτιβιστών πολιτικών δικαιωμάτων με μια ανανεωμένη έκδοση του κακόβουλου λογισμικού MacDownloader, το οποίο είχε χρησιμοποιηθεί στο παρελθόν για να στοχεύσει βιομηχανικές υποδομές. Το MacDownloader σχεδιάστηκε για να κλέβει τους κωδικούς υπολογιστών των θυμάτων, παρασύροντάς τους σε ένα ψεύτικο αναδυόμενο πλαίσιο, που καλεί τους κατόχους λογαριασμών να παρέχουν ή να επαναφέρουν τους κωδικούς τους.

Μια δήλωση από το Iran Threats στις 6 Φεβρουαρίου 2017 περιγράφει λεπτομερώς τη διαδικασία:

A macOS malware agent, named MacDownloader, was observed in the wild as targeting the defense industrial base, and reported elsewhere to have been used against a human rights advocate. MacDownloader strangely attempts to pose as both an installer for Adobe Flash, as well as the Bitdefender Adware Removal Tool, in order to extract system information and copies of OS X keychain databases. Based on observations on infrastructure, and the state of the code, we believe these incidents represent the first attempts to deploy the agent, and features such as persistence do not appear to work. Instead, MacDownloader is a simple exfiltration agent, with broader ambitions.

Ένας πράκτορας κακόβουλου λογισμικού macOS, ονόματι MacDownloader, παρατηρήθηκε να στοχεύει την αμυντική βιομηχανική βάση και αναφέρθηκε και αλλού ότι χρησιμοποιήθηκε κατά ενός υπερασπιστή ανθρωπίνων δικαιωμάτων. Το MacDownloader επιχειρεί παράλληλα να παρουσιαστεί τόσο ως πρόγραμμα εγκατάστασης για το Adobe Flash όσο και ως εργαλείο αφαίρεσης Adware του Bitdefender, προκειμένου να εξαγάγει πληροφορίες συστήματος και αντίγραφα των βάσεων δεδομένων keychain του OS X. Με βάση τις παρατηρήσεις σχετικά με την υποδομή και την κατάσταση του κώδικα, πιστεύουμε ότι αυτά τα περιστατικά αντιπροσωπεύουν τις πρώτες προσπάθειες ανάπτυξης του πράκτορα, και λειτουργίες όπως η επιμονή δεν φαίνεται να λειτουργούν. Αντ’ αυτού, το MacDownloader είναι ένας απλός παράγοντας αφαίρεσης πληροφοριών με ευρύτερες φιλοδοξίες.

Αφού οι χάκερ αποκτήσουν τις πληροφορίες του OSX Keychain, μπορούν να αντιγράψουν κωδικούς πρόσβασης για άλλα εργαλεία, όπως ηλεκτρονικό ταχυδρομείο, ιστότοπους, λογισμικό και υλισμικό, και να αποκτήσουν πρόσβαση σε όλες τις πληροφορίες που αποθηκεύουν οι χρήστες στους υπολογιστές τους και στο διαδίκτυο.

“Ο φόβος μου είναι ότι πολλοί άνθρωποι μεταπήδησαν σε Mac (Apple) επειδή ανησυχούσαν για κακόβουλα προγράμματα και ζητήματα ασφάλειας (σκεπτόμενοι ότι το Mac θα τους προστατεύσει καλύτερα), αλλά αυτό μόνο δεν λύει το ζήτημα”, δήλωσε ο Andeson, που εδρεύει στην Ουάσινγκτον, στη Διεθνή Εκστρατεία για τα Ανθρώπινα Δικαιώματα στο Ιράν. “Αυτός είναι ο λόγος για τον οποίο αυτή η έκθεση είναι σοβαρή: ενημερώνει τους χρήστες Mac ότι πρέπει να επαγρυπνούν”.

Οι εφαρμογές διαδικτύου και μέσων κοινωνικής δικτύωσης είναι πολύ περιορισμένες και λογοκριμένες στο Ιράν, ενώ οι σκληροπυρηνικοί στην κυβέρνηση βλέπουν κάθε μορφή ελευθερίας του Διαδικτύου ως απειλή για την ιερότητα της Ισλαμικής Δημοκρατίας. Έρευνες έδειξαν ότι Ιρανοί χάκερ, που συχνά κατευθύνονται από σκληροπυρηνικούς στο εσωτερικό της κυβέρνησης της χώρας, εκκινούν περιοδικά εκστρατείες χακαρίσματος κατά ακτιβιστών και οργανώσεων ανθρωπίνων δικαιωμάτων για να τους διαταράξουν ή να τους εκφοβίσουν για να σταματήσουν τον ειρηνικό τους ακτιβισμό.

Τι μπορούν να κάνουν οι χρήστες για να προστατευθούν από το κακόβουλο λογισμικό;

Ο Anderson μας λέει:

Δεν υπάρχει απλή θεραπεία και η καλύτερη προστασία είναι να είστε σκεπτικοί σχετικά με το λογισμικό που κατεβάζετε και να είστε προσεκτικοί σχετικά με τα μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνετε. Όπως δείχνουμε στην έκθεση, το λογισμικό προστασίας από ιούς βασίζεται συνήθως στην ανίχνευση ενός κακόβουλου λογισμικού πριν το επισημάνει ως κακόβουλο…Δεδομένου ότι οι ιρανικές επιθέσεις απευθύνονται σε μικρό πληθυσμό (ακτιβιστές δικαιωμάτων), το ποσοστό ανίχνευσης από αυτά τα προϊόντα είναι χαμηλό. Το antivirus δεν επαρκεί για την προστασία από στοχευμένες επιθέσεις.