Tutustu OSAMiner-haittaohjelmaan, joka tartutti Mac-tietokoneita vuosia huomaamatta. Tässä on kaikki, mitä sinun tarvitsee tietää.
OSAMiner oli yksi ovelimmista macOS-laitteisiin vaikuttaneista haittaohjelmista lähes viiden vuoden ajan. Se käytti melko nerokasta temppua välttääkseen havaitsemisen ja jatkoi Mac-tietokoneiden laitteistoresurssien saalistamista kaikkialla maailmassa.
Vaikka monet ihmiset ajattelevat, että macOS-laitteet ovat läpäisemättömiä, tämä massiivinen tietomurto sai haittaohjelmien tutkijat järkyttymään lähes viideksi vuodeksi. Mutta mikä on OSAMiner? Ja kuinka se vältti havaitsemisen niin pitkään?
Mikä on OSAMiner-haittaohjelma?
OSAMiner on kryptovaluutan louhinta, joka onnistui saastuttamaan macOS-laitteita lähes viiden vuoden ajan. Siitä tuli uskomattoman suosittu haittaohjelmatutkimuspiireissä, koska se kesti täydellistä analysointia lähes puoli vuosikymmentä.
Vaikka se paljastui virallisesti vuonna 2021 tietoturvayrityksen SentinelOnen raportissa, OSAMiner oli tartuttanut macOS-laitteita vuodesta 2015 lähtien. Vuonna 2018 kiinalaiset tietoturvasivustot ilmoittivat ensimmäisen kerran troijalaisesta, joka kohdistaa macOS-laitteet minun käyttöön
Monero, suosittu yksityinen kryptovaluutta.Mikä tekee OSAMinerista niin erikoisen muihin salauskaivostyöntekijöihin verrattuna, on se, että sitä ei käytännössä havaittu, koska haittaohjelmien tutkijat eivät pystyneet hakemaan sen koko koodia (mikä esti analysoinnin).
Kuinka OSAMiner-haittaohjelma tartuttasi Mac-tietokoneita?
OSAMiner levisi ensisijaisesti piraattipelien ja -ohjelmistojen kautta ja kohdistui ensisijaisesti Aasian ja Tyynenmeren sekä Kiinan alueiden yhteisöihin. Monet ihmiset lataavat piraattiohjelmistoja ja sensuroimatonta sisältöä maanalaiset torrent-sivustot, mikä helpottaa OSAMinerin leviämistä.
Se levisi yleisimmin suosittujen piraattiohjelmistojen, kuten Microsoft Office for Mac, ja pelien, kuten League of Legendsin, kautta. Asentajat lataavat ja suorittivat AppleScriptin taustalla, kun ihmiset asensivat piraattiohjelmiston.
Tämä käynnistäisi vain suoritettavaksi tarkoitetun AppleScriptin (lisätietoja alla), joka käynnistäisi uuden latauksen ja aiheuttaisi uuden vain suoritettavan AppleScript-latauksen. Tämä aiheuttaisi viimeisen AppleScriptin lataamisen ja asennuksen macOS-laitteeseen, mikä tekisi seurannasta uskomattoman vaikeaa.
Kuinka OSAMiner onnistui jäämään huomaamatta
Ymmärtääksesi paremmin, kuinka OSAMiner voi välttää havaitsemisen niin pitkään, on tärkeää puhua ensin vain suoritettavista AppleScripteista (johon OSAMiner on rakennettu). Yksinkertaisesti sanottuna AppleScriptit ovat tehokkaita työkaluja, jotka mahdollistavat automatisoinnin ja tarjoavat paremman hallinnan macOS: n ohjelmistoihin.
Ne käyttävät AppleScript-kieltä, joka on suunniteltu ymmärrettäväksi ja helppolukuiseksi. Vain suoritettava AppleScript on AppleScriptin käännetty versio, joka on tarkoitettu suoritettavaksi, mutta jota ei voida lukea tai muokata.
Kun AppleScript tallennetaan vain suoritettavana komentosarjana, se käännetään muotoon, jonka tietokone ymmärtää, mutta jota ihmisten on vaikea lukea (tavukoodimuoto). Tämä ei ainoastaan estä muita näkemästä tai muokkaamasta skriptin lähdekoodia, vaan auttaa myös suojaamaan arkaluontoisia tietoja, joita skripti saattaa sisältää.
Ilmaus "ajo vain" tarjoaa selkeämmän merkityksen: näitä skriptejä ei ole tarkoitettu muokattaviksi alun perin. Ja koska ihmiset eivät osaa lukea koodia, tietoturvatutkijat eivät havainneet OSAMineria.
Kuka löysi OSAMiner-infektion?
Turvallisuustutkimusyritys, joka löysi OSAMinerin, SentilOne, julkaistu täydellinen hyökkäysketju ja yksityiskohtainen luettelo kompromissiindikaattoreista (IoC), joka hahmottelee kuinka OSAMiner pystyi saastuttamaan Macit.
Tärkeä asia tässä on huomata, että OSAMiner jatkoi kehitystään, kun haittaohjelmien takana olevat hyökkääjät lisäsivät luottamusta. Kaksi kiinalaista turvayritystä raportoi OSAMineristä elo- ja syyskuussa 2018, vaikka heidän raportit eivät edes lähelläkään OSAMinerin kykyjä.
He raportoivat "osascriptin" havaitsemisesta, mutta raportit eivät edes levinneet turvallisuustutkimuspiireissä. Pääsyy tähän oli se, että he eivät pystyneet hakemaan täyttä haittaohjelmakoodia.
Aiheuttaako OSAMiner edelleen turvallisuusriskin?
Cryptojacking on vakava huolenaihe ja voi hyökätä mihin tahansa laitteeseen. Sisäkkäisiä vain suoritettavia AppleScriptejä pidetään laajalti vakavana hyökkäysvektorina, ja vaikka Apple on ryhtynyt toimiin parantaakseen laitteidensa turvallisuutta, haittaohjelmat, kuten OSAMiner, aiheuttavat edelleen riskin.
Vaikkakin Maceissa on erilaisia suojausominaisuuksia, käyttäjien on silti välttämätöntä asentaa virustorjunta. Ihannetapauksessa paras tapa estää haittaohjelmatartunnat on välttää laittomien ohjelmistojen tai pelien lataamista laitteellesi. Osta aina alkuperäisistä lähteistä vähentääksesi infektioriskiä.
Suojele Maciasi suorittamalla skannauksia säännöllisesti
Jos selaat Internetiä ilman suojausta, sinun on tarkistettava järjestelmäsi säännöllisesti haittaohjelmien varalta. Haittaohjelmatartunnat, kuten OSAMiner, ovat selkeitä esimerkkejä siitä, kuinka kehittyneet hakkerit saavat ja kuinka paljon vahinkoa ne voivat aiheuttaa ajan myötä.
On monia tapoja suojata Mac-tietokoneesi haittaohjelmilta, ja on tärkeää, että asennat säännöllisesti uusia tietoturvapäivityksiä, kun Apple julkaisee ne.