Un sofisticato gruppo di cyberspionaggio russo sta preparando attacchi contro gli utenti di Mac e ha recentemente portato il suo programma backdoor Windows a macOS.
Il gruppo, conosciuto nell’industria della sicurezza come Snake, Turla o Uroburos, è attivo da almeno il 2007 ed è stato responsabile di alcuni dei più complessi attacchi di cyberespionage. Si rivolge a enti governativi, agenzie di intelligence, ambasciate, organizzazioni militari, istituti di ricerca, accademie e grandi aziende.
«Rispetto ad altri prolifici attaccanti con presunti legami con la Russia, come APT28 (Fancy Bear) e APT29 (Cosy Bear), il codice di Snake è notevolmente più sofisticato, l’infrastruttura è più complessa e gli obiettivi sono più attentamente selezionati», ricercatori della Fox – hanno detto in un post del blog di qualche giorno fa.
Gli attacchi di Snake sono stati tradizionalmente focalizzati su Windows e il suo framework malware è stato originariamente progettato per quella piattaforma. Tuttavia, nel 2014, i ricercatori di Kaspersky Lab hanno trovato una componente Linux legata al toolkit Snake, suggerendo che il gruppo stava espandendo le proprie attività anche su altre piattaforme.
Sembra che Snake sia ormai interessato agli utenti di Mac: i ricercatori di Fox-IT hanno recentemente trovato una variante macOS dello strumento malware del gruppo che sembra essere una porta diretta della sua versione di Windows, poiché il codice ha ancora delle parti che si riferiscono a Internet Explorer di Microsoft.
Fox-IT non ha visto che il campione macOS distribuito in giro e ritiene che sia ancora in fase di sviluppo o di prova. Tuttavia, indica chiaramente che Snake sta preparando attacchi contro gli utenti di Apple, cosa che non è molto sorprendente poiché i MacBook sono popolari tra i dirigenti di alto livello e che sono preziosi obiettivi per il cyberespionage.
Il campione macOS di Snake trovato da Fox-IT era mascherato come installatore di Flash Player e viene firmato con un certificato di sviluppo approvato da Apple che è stato facilmente rubato.
Fox-IT ha informato la squadra di sicurezza di Apple sulla variante Snake macOS e il certificato utilizzato per firmarlo sarà probabilmente revocato. Tuttavia, date le sue risorse, il gruppo di cyberespionage probabilmente non avrà difficoltà a trovare un altro certificato da usare.
