政、企機構應警惕！俄羅斯間諜組織Snake已将目标瞄準Mac使用者

據報道，俄羅斯網絡間諜組織snake最近将windows後門程式移植到了macos。

snake網絡間諜組織自2007年以來一直活躍。關于該組織，安全專家熟知的名字有snake、turla和uroburos。據研究人員表示，snake使用的惡意軟體與目前為止幾起最複雜的網絡間諜攻擊有關。這些惡意軟體主要針對軍事組織、政府實體、大使館、情報機構、大型公司以及研究和學術機構展開攻擊。

荷蘭網絡安全公司fox-it指出，與其它俄羅斯多産攻擊者(例如apt28和apt29)相比, snake的代碼和基礎設施更為複雜，且針對的目标經過精心挑選。

snake網絡間諜組織通常會針對windows使用者，其惡意軟體架構最開始為windows平台建立。直到2014年，卡巴斯基實驗室的安全專家發現一個與snake工具包相關的linux元件，這表明這個網絡間諜組織正将活動擴大到其它平台。

目前，snake似乎對mac使用者頗感興趣。

政、企機構應警惕!俄羅斯間諜組織snake已将目标瞄準mac使用者-e安全

不久前， fox-it公司的安全研究人員發現macos版本的snake惡意軟體工具，這款工具是windows版本的直接端口，因為它的開發文檔(artefact)仍在代碼中提及microsoft的internet explorer。

據fox-it專家稱，這款macos惡意軟體仍在開發或測試階段，并未在外大肆散播。不過，這正表明snake正準備攻擊蘋果使用者，但這并不奇怪，畢竟macbook在高管中的使用率相當高。

fox-it研究人員發現，snake macos樣本僞裝成flash player安裝程式，其簽名可能是盜用的經蘋果稽核通過的開發者證書。這類代碼簽名證書由蘋果向開發項目的成員簽發，并且是在官方mac應用商店上釋出應用程式所需的證書。

但重點是，帶有蘋果開發者證書簽名的應用程式在安裝過程中不會彈出任何安全提示，并且macos gatekeeper安全功能也不會阻止其進行安裝。

無獨有偶，一個多星期以前，check point軟體技術公司的專家發現一款不同的macos惡意程式，這款惡意程式也帶有被盜蘋果證書的簽名。

fox-it研究人員就該問題已經提醒蘋果公司的安全團隊，他們很可能會撤銷證書。無論如何，考慮到snake間諜組織的資源，或許他們會在不久的将來濫用另一個證書。

本文轉自d1net（轉載）