الأمن أثبت الباحث والقراصنة NSA السابق باتريك اردل طريقة لتعديل خلق حالة ماك البرمجيات الخبيثة لتشغيل التعليمات البرمجية بدلا من الحمولات من خوادم الحكومة
إن تطور البرامج الضارة يجعل إعادة تصميمها جذابة للمهاجمين الآخرين ، بما في ذلك الحكومات الأخرى ...
يفيد ArsTechnica بأن Wardle قام بالحجة أثناء عرض تقديمي للمؤتمر .
وقال واردل خلال حديثه بعنوان "إعادة اكتشاف البرمجيات الخبيثة: جانب مظلم من إعادة التدوير:" هناك مجموعات من المتسللين جيدة التمويل ومزودة بموارد جيدة ولديهم دوافع كبيرة في وكالات مؤلفة من ثلاثة أحرف تخلق برامج ضارة مدهشة ومميزة بالكامل ومختبرة بالكامل ". ".
"الفكرة هي: لماذا لا تدع هذه المجموعات في هذه الوكالات تنشئ برامج ضارة وإذا كنت متسللًا ، فأعد تغييرها لمهمتك الخاصة؟" هو قال.
البرامج الضارة المتطورة قادرة على هزيمة الحماية المضمنة في macOS.
كان Wardle قادراً على إجراء تعديلات أخرى على مقاطع التعليمات البرمجية التي أعيد تصفيتها بحيث يتخطون عمليات تخفيف البرامج الضارة المضمنة في نظام التشغيل macOS. على سبيل المثال ، نظرًا لأن ماسح Xprotect للبرامج الضارة يستند إلى تواقيع الملفات ، فإن تغيير بايت واحد من الكود المعاد استخدامه يكفي لتفادي الاكتشاف. وعندما يتم إبطال شهادات التوقيع التي تصدرها شركة Apple ، فمن السخف إلغاء توقيع البرنامج وتوقيعه بشهادة جديدة. ولإزالة التحذيرات التي تظهر عندما يحاول المستخدمون تنفيذ التعليمات البرمجية أو تثبيت التطبيقات التي تم تنزيلها من الإنترنت ، من السهل إزالة إشارات البرمجة التي تظهر تلك التحذيرات.
الطريقة التي يعمل بها هذا النوع من البرامج الضارة هي تحميل البيانات الملتقطة على الخوادم التي تملكها الحكومة التي أنشأتها ، ولتنزيل برامج ضارة إضافية من هذه الخوادم. كان Wardle قادرًا على كسر التشفير المستخدم ، ولإشارة البرامج الضارة إلى خادمه بدلاً من ذلك.
تسببت إعادة التموضع في إرسال تقرير إلى البرامج الضارة إلى خوادم الأوامر التابعة لـ Wardle بدلاً من الخوادم المعينة من قبل المطورين. من هناك ، كان لدى Wardle سيطرة كاملة على البرامج الضارة المعاد تدويرها. سمح له العمل الفذ باستخدام تطبيقات متطورة ومميزة تمامًا لتثبيت الحمولات الخبيثة الخاصة به ، والحصول على لقطات شاشة وبيانات حساسة أخرى من أجهزة Mac التي تم اختراقها ، وتنفيذ إجراءات شريرة أخرى مكتوبة في البرامج الضارة.
وقال إنه بالإضافة إلى خطر قيام متسللين آخرين بذلك ، هناك سببان قد تقوم به حكومات أخرى أحيانًا باختطاف برامج ضارة تابعة لحكومة أخرى بدلاً من استخدام برامجها الخاصة.
قد تسمح للمهاجمين ، وخاصة أولئك الذين ينتمون إلى مجموعات ترعاها الدولة ، بإصابة بيئات شديدة الخطورة ، مثل تلك المصابة بالفعل وتحت تأثير الجهات الفاعلة الأخرى في البرامج الضارة. في هذا الموقف ، سوف تتخلى العديد من مجموعات اختراق الدول عن نشر البرمجيات الخبيثة التاجية للحفاظ على تكتيكات وتقنيات وإجراءات الملكية الخاصة.
قد تكون إعادة تعيين البرامج الضارة لشخص آخر بديلاً مناسبًا في هذه السيناريوهات. في حالة اكتشاف عدوى البرامج الضارة وتحليلها في الطب الشرعي ، فهناك فرصة جيدة أن يسيء الباحثون الهجوم على المتسللين الأصليين وليس الطرف الذي أعاد تغيير البرامج الضارة.
هذا ، كما يقول ، يحدث بالفعل. على سبيل المثال ، هناك أدلة على أن البرامج الضارة التي طورتها وكالة الأمن القومي قد استخدمت من قبل الصين وكوريا الشمالية والاتحاد الروسي. شيء يجب أخذه في الاعتبار عندما تطلب الحكومة الأمريكية من Apple إنشاء نسخة مخترقة من iOS لاستخدامها من قبل سلطات إنفاذ القانون الأمريكية.
يمكنك مشاهدة عرض Wardle أدناه ، ومشاهدة الشرائح هنا والحصول على وصف جيد لكيفية سحب Wardle من عملية الاختطاف في تقرير ArsTechnica الكامل .
تجدر الإشارة إلى أن Wardle يصف برامج Mac التي تم إنشاؤها من قبل الدولة والتي أصبحت ممكنة من خلال موارد غير محدودة بشكل فعال ؛ معظم برامج Mac الخبيثة هناك مصدر إزعاج أكثر من التهديد .
