Een groep hackers waarvan bekend is dat ze in het verleden de architect zijn geweest van verschillende aanvallen tegen de Amerikaanse defensie-industriële basis., evenals andere belangrijke bedrijven in de sector, is onlangs begonnen met het gebruik van een programma met een achterdeur om systemen met OS X aan te vallen.
FireEye-beveiligingsonderzoekers reageerden donderdag al op een blog de achterdeurcode werd geporteerd naar OS X van een Windows-achterdeur die de afgelopen jaren op grote schaal is gebruikt bij gerichte aanvallen, en die daarbij vele malen is bijgewerkt.
Het schadelijke programma wordt XSLCmd genoemd en kan een omgekeerde shell openen voor bestandscontrole en -overdracht, evenals voor de installatie van andere kwaadaardige programma's op de geïnfecteerde computer. De OS X-variant kan ook worden geregistreerd toetsaanslagen en screenshots, volgens FireEye-onderzoekers.
Indien geïnstalleerd op een Mac, installeert deze malware zichzelf in »/ Bibliotheek / Logs / clipboardd» en »HOME / Bibliotheek / LaunchAgents / clipboardd«. Het maakt ook een com.apple.service.clipboardd.plist-bestand om ervoor te zorgen dat het wordt uitgevoerd nadat het systeem opnieuw is opgestart. De malware bevat code die de versie van OS X controleert, maar geen versies boven OS X 10.8 (Mountain Lion). Dit suggereert dat versie 10.8 ofwel de laatste versie van OS X was toen het programma werd geschreven, of op zijn minst de meest gebruikte versie voor de beoogde doeleinden.
De XSLCmd-achterdeur is gemaakt en gebruikt door een cyberspionagegroep actief sinds minstens 2009 en is door de FireEye-onderzoekers GREF genoemd. "Historisch gezien heeft GREF leiding gegeven aan een breed scala aan organisaties, waaronder de United States Defense Industrial Base (DIB), elektronica- en engineeringbedrijven over de hele wereld, evenals stichtingen en andere niet-gouvernementele organisaties, vooral die met belangen in Azië." .
Volgens FireEye:
OS X is populair geworden bij bedrijven, met onervaren gebruikers die zich snel aanpassen aan het nieuwe systeem en het gemakkelijk te bedienen vinden, zelfs hightechgebruikers die krachtigere functies gebruiken, evenals leidinggevenden [...] Veel mensen beschouwen het ook als een meer beveiligd computerplatform, wat kan leiden tot een gevaarlijk gevoel van zelfgenoegzaamheid bij beide IT-afdelingen. Hoewel de beveiligingsindustrie is begonnen met het aanbieden van meer producten voor OS X-systemen, zijn deze systemen in zakelijke omgevingen soms minder gereguleerd en gecontroleerd dan hun Windows-tegenhangers.