Flashback bot mreža: Skepticizam neosnovan, mit o neranjivosti Mac OS X ozbiljno uzdrman

Vesti, 09.04.2012, 09:33 AM

Iako niko od stručnjaka ne može sa sigurnošću da potvrdi da su procene ruske firme Doctor Web o broju Mac računara zaraženih Trojancem Flashback tačne, većina se slaže da takve procene nisu bez osnova.

Istraživači firme Doctor Web preuzeli su kontrolu nad delom Flashback bot mreže stavljanjem pod kontrolu domena sa kojih su zaraženim računarima dolazile komande i na osnovu toga su procenili veličinu bot mreže računajući UUID (univerzalni jedinstveni identifikatori) Mac OS X sa kontrolnih servera. Njihove procene govore da bi u Flashback bot mreži moglo biti 613000 zaraženih Mac računara.

Poređenja radi, bot mreža Conficker je na vrhuncu svoje aktivnosti imala više od sedam miliona zaraženih Windows računara. To je značajno više od procenjenih 600000 Mac OS X računara zaraženih Flashback Trojancem, ali imajući u vidu zastupljenost Windows-a čiji udeo na tržištu prema najnovijim podacima Net Applications iznosi 92,48% u odnosu na udeo Mac OS X (6,54%), moglo bi se reći da je Flashback bot mreža veća od bot mreže Conficker. Flashback bot mreža je ekvivalentna Windows bot mreži sastavljenoj od 8,5 miliona računara, s obzirom da je reč o znatno manje zastupljenoj platformi.

Skepticizam sa kojim su dočekane procene firme Doctor Web o broju zaraženih Mac OS X računara je neosnovan, smatraju stručnjaci. Imajući u vidu dokaze, metodologiju koju su koristili istraživači kao i način distribucije najnovije verzije Trojanca koji se pojavio u septembru prošle godine, stručnjaci smatraju da je taj broj iako veliki ipak realan i da je Trojanac Flashback mogao biti tako delotvoran.

Prvobitna verzija Trojanca je bila maskirana u ažuriranje za Adobe Flash a računar je mogao biti zaražen tek ukoliko korisnik pokrene preuzeti fajl.

Aktuelna verzija međutim mogla je napraviti značajno veću štetu s obzirom da su njeni autori koristili zero-day ranjivostu Java za koju je Apple objavio zakrpu prošle nedelje. S obzirom na drive-by download taktiku napada, u procesu infekcije računara nije potrebno bilo kakvo učešće korisnika - dovoljna je poseta zlonamernom ili kompromitovanom veb sajtu i Flashback Trojanac se pokreće automatski što rezultira infekcijom računara. Izgleda da su oni koji kontrolišu bot mrežu koristili brojne kompromitovane WordPress sajtove, popularnu platformu za blogovanje i upravljanje sadržajem koju koristi svaki sedmi veb sajt.

Ovako kompromitovani veb sajtovi preusmeravali su posetioce ka zlonamernim URL adresama na kojima su napadači hostovali Blackhole exploit alat koji koristi nekoliko exploit-a, uključujući i one koji se oslanjaju na Java bagove u Mac OS X.

“Ustvari, iznenađen sam što Mac računari nisu češće meta (napadača),” kaže Bret Stoun-Gros iz Dell SecureWorks. “Exploit alati uključuju exploite koji lako mogu biti modifikovani za pokretanje na bilo kom operativnom sistemu, posebno oni sa ranjivostima u Java, Flash Player i drugim programima koji rade na svim operativnim sistemima. Svi oni su podložni istim exploit-ima.”

Ima i drugačijih mišljenja. Aleks Gostov iz Kaspersky Laboratorije nije siguran da su među procenjenih 600000 zaraženih računara svi sa OS X.

Bez obzira na to, ovo bi trebalo da bude dovoljno da mit o neranjivosti Mac-a bude ozbiljno uzdrman.

Ovakve kampanje imaju veće šanse za uspeh ukoliko je meta Mac OS X nego Windows ne zbog toga što je Mac OS X manje bezbedan od Windows-a ili sklon infekciji sam po sebi, već upravo zbog uverenja da je Apple-ov operativni sistem praktično neranjiv. Korisnici Mac OS X sistema manje koriste zaštitni softver i zbog verovanja da su bezbedni manje razmišljaju prilikom kliktanja na linkove i otvaranja fajlova.

Iako niko ne može da krivi Apple zbog infekcije koja koristi ranjivost u Java, Apple je ipak odgovoran za brižljivo negovanje mita o neranjivosti svojih operativnih sistema. Popularnost Mac OS X nužno povlači za sobom i povećano interesovanje autora malvera, te bi stav kompanije kada je reč o pretnjama po bezbednost morao da bude proaktivan kako bi se u budućnosti sprečila ili bar minimizirala šteta ovih razmera. U konkretnom slučaju, Apple je morao da upozori korisnike na opasnost i sugeriše im da isključe Java do objavljivanja zakrpe koja će rešiti problem.