Группа анализа угроз (TAG) Google, исследовательская группа, занимающаяся хакерскими атаками, вчера обнаружила, что в августе этого года была совершена атака. сделано пользователями сети Гонконга на основе уязвимости нулевого дня macOS Catalina.
TAG описал это как «атаку водопоя» — подход, при котором вредоносное ПО размещается на легитимном веб-сайте. В данном случае хакеры сосредоточились на веб-сайтах СМИ и «известной продемократической рабочей и политической группы»; посетителям этих веб-сайтов была предоставлена уязвимость повышения привилегий XNU, которая не была исправлена в macOS Catalina в то время и которая, в свою очередь, устанавливала бэкдор на компьютеры посетителей.
Catalina была текущей версией macOS на момент атаки (с тех пор ее заменила Monterey) и, очевидно, была в центре внимания хакеров. TAG повторил эксперимент с использованием Mojave, но обнаружил только «остатки эксплойта». Точно так же исследователи обнаружили, что защита в Биг-Суре свела на нет атаку.
Выбор продемократического веб-сайта, естественно, предполагает политический элемент атаки. Разумеется, TAG заявила, что считает, что злоумышленник является «группой с хорошими ресурсами, вероятно, при поддержке государства».
Глава TAG Шейн Хантли сказал Motherboard, что у исследователей «недостаточно технических доказательств для установления авторства, и мы не строим предположений об атрибуции. Тем не менее, характер деятельности и таргетинг соответствуют действиям, поддерживаемым государством» [
.
Обсуждая, кто стоит за атаками, исследователь, специализирующийся на Apple, Патрик Уордл сказал Motherboard, что есть две вероятные возможности: Китай или кто-то, желающий выглядеть как Китай. «Хотя оба, конечно, возможны, — сказал он, — первое гораздо более вероятно».
Motherboard завершает свой отчет, заметив, что подобные истории не обязательно являются признаком того, что безопасность macOS слабее или уязвима, чем в прошлом; действительно, как отмечается на сайте, Apple и другие технологические компании исправляют ошибки быстрее, чем когда-либо.
Уордл допускает, что атаки нулевого дня могут действительно становиться все более частыми, но также говорит, что в равной степени возможно, что мы только начинаем лучше их обнаруживать.
TAG сообщил Apple об уязвимости нулевого дня, и с тех пор она была исправлена. Но для дополнительного душевного спокойствия прочтите наши советы по безопасности Mac.