En grupp hackare som tidigare varit arkitekter för olika attacker mot US Defense Industrial Base., liksom andra viktiga företag inom sektorn, har nyligen börjat använda ett program som innehåller en bakdörr för att attackera system med OS X.
FireEye säkerhetsforskare kommenterade redan på en blogg torsdag den bakdörrskoden överfördes till OS X från en Windows-bakdörr som har använts i stor utsträckning i riktade attacker de senaste åren, efter att ha uppdaterats många gånger i processen.
Det skadliga programmet kallas XSLCmd och kan öppna ett omvänd skal för filkontroll och överföring samt installation av andra skadliga program på den infekterade datorn. OS X-varianten kan också registreras tangenttryckningar och skärmdumpar, enligt FireEye-forskare.
När den installeras på en Mac installeras den här skadliga programvaran i »/ Library / Logs / clipboardd» och »HOME / Library / LaunchAgents / clipboardd«. Det skapar också en com.apple.service.clipboardd.plist-fil för att säkerställa att den körs efter att systemet startar om. Skadlig programvara innehåller kod som kontrollerar versionen av OS X, men inte versioner över OS X 10.8 (Mountain Lion). Detta antyder att version 10.8 antingen var den sista versionen av OS X när programmet skrevs eller åtminstone den vanligaste som användes för dess avsedda ändamål.
XSLCmd-bakdörren skapades och användes av en cyberspionagegrupp som har varit sedan minst 2009 och har kallats GREF av FireEye-forskarna. ”Historiskt sett har GREF lett ett brett spektrum av organisationer, inklusive United States Defense Industrial Base (DIB), elektronik- och teknikföretag runt om i världen, samt stiftelser och andra icke-statliga organisationer, särskilt de med intressen i Asien.» .
Enligt FireEye:
OS X har blivit populär bland företag, med oerfarna användare som snabbt anpassar sig till det nya systemet och har lätt att använda, till och med mycket tekniska användare som använder mer kraftfulla funktioner, liksom chefer [...] Många anser också att det är en säkrare datorplattform, vilket kan leda till en farlig känsla av självbelåtenhet i båda IT-avdelningarna. Faktum är att säkerhetsbranschen har börjat erbjuda fler produkter för OS X-system, men dessa system är ibland mindre reglerade och övervakade i företagsmiljöer än deras motsvarigheter i Windows.