HackingTeam ima novi stari malver za Mac

Vesti, 03.03.2016, 01:00 AM

Istraživači kompanija Palo Alto Networks, SentinelOne i Synack analizirali su novi malver za Mac OS X, koji je izgleda delo poznate italijanske firme HackingTeam.

HackingTeam je kontroverzna i prilično omražena italijanska kompanija koja prodaje softver za nadzor koji je drugo ime za malver koji koriste vlasti država širom sveta za špijuniranje građana.

Analiza malvera je pokazala da Hacking Team još uvek koristi stari kod za svoj najnoviji špijunski alat. Druga, mada manje verovatna teorija je da je neko izmenio izvorni kod alata, koji je procureo posle hakovanja kompanije prošle godine.

Pre nekoliko nedelja, istraživači iz Palo Alto Networks otkrili su maliciozne Mac izvršne kodove, koji su im se odmah učinili sumnjivim, pa su ih prosledili stručnjacima za bezbednost OS X iz firmi SentinelOne i Synack.

Analiza ovih kodova dovela je istraživače obe firme do sledećeg zaključka: ovi maliciozni kodovi sadrže nov ili modifikovan malver koji po svemu sudeći koristi iste tehnike i način rada kao i malver koji je otkriven kada su prošlog leta procureli podaci koje su hakeri ukrali od HackingTeama.

Ipak, istraživači nisu sasvim sigurni da HackingTeam stoji iza ovog malvera.

Oni kažu da je ovde u pitanju samo dropper, a ne nešto kompleksno. Reč je o RCS implantu HackingTeama ali sa nekoliko izmena.

Dropperi imaju dve osnovne funkcije - da inficiraju računar i da zadrže uporište, kao i da komuniciraju sa C&C serverom i preuzmu određeni malver na osnovu informacija koje imaju o inficiranom sistemu.

Dokazi koje imaju istraživači govore da ovaj dropper datira uz oktobra prošle godine, što znači da je nastao nekoliko meseci posle napada na HackingTeam. Posle tog napada, HackingTeam je pokušao da minimalizuje štetu tvrdeći da oni već rade na novoj verziji RCS-a i da novi izvorni kod napadači nisu kompromitovali.

“Da li koriste i stari i novi obećani izvorni kod ili su samo lagali o tome i nastavili da rade sa starim kodom budući da im verovatno manjka inženjerski talenat” pitaju se istraživači. Ili se treće lice promenilo svrhu izvornog koda?

U vreme kada su istraživači analizirali ovaj malver, stopa detekcije na VirusTotalu bila je 0%.