Artikel top billede

Din Mac-computer misbruges måske i enormt botnet

Adskillige sikkerhedsfirmaet advarer om et botnet på Mac OS X af hidtil uhørt omfang. Se her, hvordan botnettet er opstået.

Computerworld News Service: Mere end 600.000 Mac-computere kan være koblet sammen til et stort botnet, lyder det fra det russiske it-sikkerhedsfirma, Doctor Web.

De store sikkerhedsfirmaer er enige i vurderingen. 

"Selv om tallet er meget stort, så lader det til at være korrekt," siger Roel Schouwenberg, der er senior researcher hos den russiske producent af antivirussoftware Kaspersky Lab.

Han tilføjer, at den metode, som det mindre kendte russiske it-sikkerhedsfirma Doctor Web anvender, ser ud til at være velfunderet.

Onsdag i sidste uge offentliggjorde Doctor Web det estimat, at mere end en halv million Mac-computere er inficeret med trojaneren Flashback.

Største botnet på Mac

Trojaneren installeres via et såkaldt drive by-angreb, der foregår ved, at brugerne blot besøger et kompromitteret website.

Alle disse inficerede computere kaldes samlet et botnet og udgør således det største botnet på Mac.

Det lykkedes Doctor Web at "sinkhole" en del af Flashback-botnettet - det vil sige at kapre nogle af de domæner, der bruges til at udsende kommandoer til de inficerede computere - og beregnede botnettets samlede størrelse ved at tælle UUID'er (universally unique identifiers), som Mac OS X oplyser til kontrolserverne.

Dagen efter hævede Doctor Web estimatet til lige over 613.000 individuelle Mac-computere.

Flere botnet bestående af Windows-pc'er har været langt større - Conficker kaprede for eksempel millioner af maskiner - men størrelsen af dette Flashback-botnet er uden fortilfælde på Mac OS X.

Der er sandsynligvis ikke grund til at betvivle det estimerede antal inficerede Macs, påpeger adskillige eksperter, der arbejder i it-sikkerhedsbranchen, i interviews foretaget i sidste uge af Computerworlds amerikanske søstermedie.

Den vurdering bakkes op af forskellige omstændigheder, der alle tyder på, at Flashback meget vel kan have været så succesfuld.

Derfor kunne det gå så galt

Blandt disse indicier fremhæver eksperterne Flashback-bagmændenes udnyttelse af en 0-dagssårbarhed i Java, som først blev rettet af Apple i sidste uge, deres anvendte taktik samt tilgængeligheden af webbaserede hackerværktøjer, der er uafhængige af styresystem.

"Der skete en masse ting på samme tid," siger Mike Geide, der er senior security researcher hos Zscaler ThreatLabZ.

"Der har været masse-kompromitteringer af websites baseret på WordPress, hvor kontrolserverne passer på den domænestruktur, som Doctor Web beskriver. Det har foregået i hvert fald siden først i marts."

Omdirigeret

WordPress er et populært open source CMS og blogging-platform, der anvendes af omtrent hvert syvende website.

De kompromitterede WordPress-websites har omdirigeret brugerne til skadelige URL'er, hvor hackere har hostet exploit-kittet Blackhole.

Blackhole forsøger en række forskellige angreb, heriblandt adskillige der udnytter fejl i Java på Mac.

Det er det meget store antal websites baseret på WordPress samt omfanget af hacker-kampagnen mod disse websites, der gør det teoretisk muligt for hackerne at have inficeret flere end 600.000 Mac-computere.

"Det er et helt rimeligt estimat," siger Brett Stone-Gross, der er security researcher i Counter Threat Unit hos Dell SecureWorks, der er kendt for sin ekspertise inden for botnets.

"Jeg er faktisk overrasket over, at Macs ikke oftere er mål for angreb," tilføjer Stone-Gross.

Inkluderer exploits

"De tilgængelige værktøjer inkluderer exploits, der let kan modificeres til at fungere mod ethvert styresystem og i særlig grad styresystemer med sårbarheder i Java, Flash Player og anden software, der kører på ethvert styresystem. De er alle sårbare overfor de samme angreb."

Ingen af de interviewede eksperter eller virksomheder kunne dog endegyldigt bekræfte Doctor Webs estimat.

Det ville kræve den samme form for adgang til Flashbacks såkaldte command and control-infrastruktur, som det russiske firma hævder at have opnået.

Men adskillige virksomheder heriblandt Kaspersky, SecureWorks og Symantec oplyser at arbejde på sagen.

"Med et sinkhole kan man danne sig et mere detaljeret billede af botnettets størrelse," fortæller Liam O Murchu, der er chef hos Symantecs security response-team.

"Men der er også andre måder, som vi kan bruge til at få noget at vide om sådanne store botnet."

Måske også Windows-bots

Det er dog ikke alle eksperter, der bakker uforbeholdent op om Doctor Webs estimat.

"Vi er ikke sikre på, at alle 500K Flashback-bots er Mac-brugere," skriver Aleks Gostov, der er chief security expert hos Kaspersky, på Twitter.

"Jeg har en mistanke om, at der også er Windows-bots med i billedet."

Gostov baserer tilsyneladende denne mistanke på, at Windows oplyser GUID'er (globally unique identifiers), hvilket er Microsofts implementering af UUID-standarden.

Hvis Doctor Web ikke har været i stand til korrekt at analysere den hexadecimale streng, der repræsenterer GUID/UUID, så kan firmaet uforvarende have talt Windows-pc'er med i det estimerede antal Mac-computere.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


Sats på DevOps og få mere kvalitet og hastighed i både udvikling og drift

Der er mange potentielle gevinster at hente ved at satse på DevOps. Rigtig mange danske virksomheder er allerede i gang. På denne konference får du et indblik i mulighederne med DevOps og gode råd, der kan sikre dig succesen.

02. november 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere