Hakerska grupa APT28 znów powraca – wysyłając trojana do systemu Mac OS X używanego głównie przez pracowników przemysłu lotniczego. Jak podają badacze z Unit42, niechlubna grupa hakerów APT28 bierze na celownik użytkowników z systemem operacyjnym Apple OS X na swoich komputerach, aby zainstalować na nich szpiegujące złośliwe programy trojan.
APT28, znany też jako Sofacy, to cyber-kryminalno grupa hakerów z Rosji znana z ataków na wysokiej rangi instytucje rządowe, wojskowe i bezpieczeństwa posługująca się skomplikowanymi narzędziami i możliwościami technicznymi.
W grudniu 2015 Bitdefender odkrył ogromną na skalę globalną kampanie wywiadowczą prowadzoną przez tę właśnie grupę gdzie celami włamań hakerskich były ważne postacie ze świata polityki, organa rządowe, telekomunikacyjne, służby ds. elektronicznych przestępstw i branże lotnicze. “Mamy powody aby wierzyć, że kierujący siecią APT28 są, bądź obywatelami Rosji, bądź sąsiednich krajów, gdzie także mówi się po rosyjsku”. Powiedzieli wówczas badacze z Bitdefender. “Nasze założenia są wsparte poprzez różne znaczniki, zidentyfikowane podczas analiz”.
Tym atakiem APT28 wyraźnie pokazuje, że bierze na muszkę jednostki związane z przemysłem lotniczym. Trojan, nazwany ”Komplex”, jest “dostarczany” do systemu OS X poprzez wykorzystanie słabości w aplikacji antywirusowej MacKeeper. Zachowuje się jak narzędzie komunikacyjne i jest w stanie ściągać, uruchamiać i kasować pliki z systemu. Jako przynętę instaluje także plik PDF o programie kosmicznym Rosji.
Badacze zaobserwowali uderzające podobieństwo do Carperb Trojan pod względem funkcjonalności i kodu. Zaleta użytkowania tych samych funkcji w obydwu trojanach na Windows i Mac OS X jest taka, “że wymagałaby mniejszej ilości zmian w aplikacji serwera C2 by poradzić sobie z międzyplatformowymi implantami”.
– Odkryliśmy domeny poleceń i kontroli w trojanie “Komplex” które pokrywają się z wcześniej zidentyfikowanym kampanią phishingu infrastruktur powiązaną z grupą Sofacy – mówią badacze. – Wierzymy, że (to) zostało zrobione aby stosunkowo łatwo radzić sobie z naruszonym systemem Windows i Mac OS X przy użyciu tej samej aplikacji serwera C2.
I na koniec raz ponownie zwracają uwagę na to, że: “Grupa Sofacy stworzyła trojana “Komplex” aby wykorzystać go w serii zamachów gdzie celem jest operacyjny system OS X – krok ten pokazuje ich nieustanną ewolucję w kierunku ataków na wiele platform.”