Mac-botnet doet Windows-malware verbleken (Interview)
De 600.000 Mac-computers die met de Flashback malware besmet zijn, zijn zeer waarschijnlijk in handen van Russische cybercriminelen, zo laat een beveiligingsexpert tegenover Security.nl weten. Guillaume Lovet is senior manager van het Threat Response team van het FortiGuard Lab. Security.nl interviewde hem over de recente ontdekking van het Flashback Mac-botnet.
De malware verspreidt zich via verschillende beveiligingslekken in Java en vereist geen wachtwoord om zich op de Mac-computer te installeren. Het bezoeken van een gehackte website met een kwetsbare Java-versie is voldoende om met de malware besmet te raken.
Wat is het doel van de Flashback Trojan? Anti-virusbedrijf DrWeb zegt dat het zoekverkeer kaapt, terwijl Mac-beveiliger Intego beweert dat het wachtwoorden steelt.
Lovet: Het doet beide. Strikt genomen is Flashback alleen een downloader, wat betekent dat het downloadt en installeert wat de criminelen erachter via de Command & Control-server aanbieden. Tot nu toe bevatten de twee ontdekte 'payloads' [functie/installatie van de malware red.] het kapen van zoekverkeer en het sniffen van netwerkverkeer.
Twijfel je aan het aantal geïnfecteerde machines?
Lovet: Niet echt, de bots gebruiken een ID gemaakt aan de hand van het MAC-adres van hun host. Dus wie een Command & Control-server weet te sinkholen [de bots met een eigen server verbinding laten maken, red.] kan vrij eenvoudig alle individuele bots tellen, zonder daarbij grote fouten te maken.
Hoe is het mogelijk dat ze zoveel gebruikers via Java-exploits infecteren?
Lovet: Het lijkt erop dat het aantal gehackte websites die naar een exemplaar van het Trojaanse paard wijzen vrij groot is geweest. Een aantal miljoenen pagina's, waaronder mogelijk een groot aantal Wordpress blogs en een aantal populaire websites, en dat zelfs gebruikers met een up-to-date systeem kwetsbaar waren. 100% van de Java-gebruikers die zo'n website bezochten raakten besmet. Dit kan het grote aantal verklaren. 600.000 Macs is ongeveer 1% van alle Macs wereldwijd. Dat is vrij veel, zelfs voor een Windows-worm.
Java is toch niet standaard op Macs geïnstalleerd?
Lovet: Het lijkt erop dat dit wel het geval was bij Snow Leopard en ook op Lion als je vanaf Snow Leopard de upgrade installeerde.
Via welke sites hebben ze hun drive-by download-aanval verspreid dat die zo succesvol was?
Lovet: Om zoveel machines te infecteren moeten wel een aantal populaire sites zijn gehackt. Onder de gehackte sites zou zich Dlink.com bevinden, maar dat is waarschijnlijk niet de enige.
Wie vermoed je dat er achter de Flashback Trojan zit?
Lovet: Een traditionele bende cybercriminelen, waarschijnlijk uit Rusland of de Oekraïne, gezien de mogelijke relatie met de MacDefender scareware van vorig jaar.
Het aantal verschillende malware-families voor Mac OS X is nog steeds erg klein. Betekent dat er slechts een aantal bendes achter zitten?
Lovet: Ja, dat lijkt inderdaad zo te zijn.
Is het lastig voor makers van Windows-malware om Mac-malware te ontwikkelen?
Lovet: Het besturingssysteem is dusdanig verschillend dat het niet heel eenvoudig voor een Windows-ontwikkelaar is om low-level Mac-applicaties te ontwikkelen. Maar het valt natuurlijk niet uit te sluiten.
Denk je dat we meer van dit soort aanvallen kunnen verwachten, of gaat het vanwege de Java-exploits om een eenmalig iets?
Lovet: We kunnen meer van dezelfde bende verwachten. Mogelijk dat ook andere bendes mee gaan doen, afhankelijk van hoe veel de operatie opleverde. Tot nu toe is er nog weinig malware voor Mac OS X gemaakt, omdat Macs een paar jaar geleden nog slechts een marktaandeel van minder dan 3% hadden. Dus als je een cybercrimineel met tijd, energie en geld was, was het verstandiger om malware voor Windows te ontwikkelen. Nu hebben Macs een aandeel van meer dan 10%, in de VS zelfs 14%. Aangezien Mac-gebruikers als een rijker doelwit worden beschouwd dan pc-gebruikers, begint de afweging winstgevend voor cybercriminelen te lijken.
Moet Apple niet meer doen om Mac-gebruikers voor dit probleem te waarschuwen?
Lovet: Absoluut, zeker gezien de omvang van het probleem.
Is Apple niet deels verantwoordelijk, omdat het zeven weken nodig had om een patch voor dit bekende Java-lek uit te brengen. Voor een korte periode was er zelfs sprake van een zero-day situatie.
Lovet: Ja, zeven weken is veel te lang.
Kun je zeggen dat het tijdperk van Mac-malware nu is aangebroken, en dat de droom waarin veel Mac-gebruikers leefden, dat het platform immuun voor malware zou zijn, voorbij is?
Lovet: Mogelijk. Zoals ik al eerder zei gaat het onder andere hoe cybercriminelen de afweging maken tussen "kleiner marktaandeel" tegenover "rijkere gebruikers".
Voor Linux ligt dat presentage aanmerkelijk lager,maar ook daar moet je toch alert zijn op kwaad.
Toch is Linux het veiligste van alle besturingssystemen,en een perfecte vervanger voor Windows of OSX.
Teminste dat concludeer ik zo.
Voor de rest is elk OS 'lek' en is het alleen een criminele afweging of er 'massaal' geld aan te verdienen valt bij het verspreiden van linux malware. Dat neemt niet weg dat een bewuste aanval tegen een 'linux' omgeving niet kan lukken, het is echter een andere tak van 'criminaliteit' dan het massaal besmetten van zoveel mogelijk systemen...
Er is natuurlijk een kleine kans dat dit wordt veroorzaakt door het kleine aantal thuisgebruikers. Feitelijk wordt het tijd dat er eens wordt gekeken naar alternatieven voor Java, daar er veel kwetsbaarheden regelmatig in die hoek gevonden worden.
Voor Linux ligt dat presentage aanmerkelijk lager,maar ook daar moet je toch alert zijn op kwaad.
Toch is Linux het veiligste van alle besturingssystemen,en een perfecte vervanger voor Windows of OSX.
Teminste dat concludeer ik zo.
Ik denk ook dat Linux inherent veiliger is dan windows en mac de redenen zijn eigenlijk simpel.
De officiële software is redelijk gecentraliseerd en staan op de servers van de leveranciers ook wordt deze software bij release eerst bekeken door vele.
Je bent altijd maar een standaard gebruiker er is bij software installatie altijd interactie nodig van de gebruiker.
Het algemene niveau van Linux gebruikers ligt wat hoger de rede daarvan lijkt mij duidelijk al wordt het gebruik met de dag simpeler ( Ubuntu )
gevaren :
Ja soms denk je onaantastbaar te zijn
Voor Windows wordt geadviseerd om naast de Administrator-gebruiker een standaard-gebruiker te maken. In Linux is dat de normale manier van werken. Opmerking: Ik zie, dat veel Linux-gebruikers (voor desktop-gebruik) ook deze veiligheid omzeilen (sudo users, zelfde wachtwoorden e.d.).
Informatie: https://nl.wikipedia.org/wiki/Computervirus
Computers maken geen fouten, mensen doen dat wel.
Het maakt niet uit welk besturings systeem je gebruik, al deze besturingssystemen zijn kwetsbaar. Maar dat maakt ze nog niet onveilig. Het is de mens met zijn gedrag dat er voor zorgt dat grappige programmatjes het besturingssysteem misbruiken.
Maar leuk is wel dat de Free Software / GNU Linuxen en BSD's (vrije software) niet minder veilig zijn dan Apple's OSX en Microsofts Windows. Misschien dat juist het openbaar maken van de bron code een belangrijke bijdrage levert aan betere kwaliteit van software.
Ook is het zo dat op dit moment in ook Apple en Microsoft deze vrije software gebruiken voor zichzelf, want hier is waar de innovatie gaande is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
