Il malware di Snake è pronto ad attaccare gli utenti Mac

Il sofisticato gruppo di cyberspionaggio ha esportato il suo programma backdoor da Windows a macOS

macbook

Un sofisticato gruppo di cyberspionaggio russo sta preparando attacchi contro gli utenti Mac. Il gruppo, noto nell’industria della sicurezza come Snake, Turla o Uroburos, è attivo almeno dal 2007 ed è responsabile di alcuni dei più complessi attacchi di cyberspionaggio. I suoi target sono enti governativi, agenzie di intelligence, ambasciate, organizzazioni militari, istituti di ricerca e grandi aziende.

Rispetto ad altri aggressori con presunti legami con la Russia, come APT28 (Fancy Bear) e APT29 (Cosy Bear), Snake sviluppa codice notevolmente più sofisticato, la sua infrastruttura è più complessa e gli obiettivi sono selezionati più attentamente”, hanno scritto in un post i ricercatori della società olandese di cybsersecurity Fox-IT.

Gli attacchi di Snake sono stati tradizionalmente focalizzati su Windows, piattaforma per cui è stato originariamente progettato il framework malware. Tuttavia, nel 2014, i ricercatori di Kaspersky Lab hanno trovato una componente Linux legata al toolkit di Snake, suggerendo che il gruppo stava espandendo le proprie attività anche su altre piattaforme.

Sembra che Snake sia ora interessato agli utenti Mac: i ricercatori di Fox-IT hanno recentemente trovato una variante macOS dello strumento malware del gruppo che sembra essere stata esportata dalla sua versione Windows, in quanto il codice contiene ancora elementi che si riferiscono a Microsoft Internet Explorer. Fox-IT ritiene che la variante per macOS sia ancora in fase di sviluppo o di test. Tuttavia, indica chiaramente che Snake sta preparando attacchi contro gli utenti Apple. La cosa che sorprende, in quanto i MacBook sono diffusi tra i dirigenti di alto livello, che rappresentano preziosi obiettivi per il cyberspionaggio.

Il malware trovato da Fox-IT è mascherato come installer di Flash Player e viene firmato con un certificato approvato da Apple, che probabilmente è stato rubato. Questo tipo di certificati viene rilasciato da Apple ai membri del suo programma sviluppatori ed è necessario per pubblicare applicazioni nel Mac App Store ufficiale.

Ancora più importante, le applicazioni firmate con i certificati validi non attivano avvisi di protezione durante l’installazione e non sono bloccati dalla funzionalità di protezione di MacOS Gatekeeper. La scorsa settimana i ricercatori di Check Point Software Technologies hanno trovato un diverso programma malware per MacOS che è stato firmato con un certificato rubato.

Fox-IT ha informato il team di sicurezza di Apple sulla variante Snake macOS. Il certificato utilizzato per firmarlo sarà probabilmente revocato. Tuttavia, date le sue risorse, il gruppo di cyberspionaggio probabilmente non avrà difficoltà a trovare un altro certificato per attaccare i dispositivi macOS.

VIALucian Constantin
CWI.it
Con 12 milioni di lettori in 47 paesi, Computerworld è la fonte di informazione e aggiornamento per tutti coloro che progettano, implementano o utilizzano la tecnologia in azienda.