De Iraanse overheid gebruikt eigen Mac-malware om activisten te volgen

Als doelwitten verschuiven, volgen de hackers.
7.2.17

Als reactie op het toenemende aantal activisten dat gebruik maakt van Apple-computers in plaats van Windows PC's, hebben hackers – vermoedelijk van de Iraanse overheid – hun eigen malware voor Mac ontwikkeld. Dit staat in een nieuw rapport dat is opgesteld door veiligheidsexperts.

De bevindingen illustreren hoe overheden continu proberen om activistische bewegingen te ontwrichten en andersom. Zodra een groep een nieuwe tool of methode ontwikkelt, moeten door de staat gesponsorde hackers zich aanpassen om informatie te blijven verzamelen.

Advertentie

"Dit toont aan dat Iraanse actoren reageren op hun omgeving," volgens Collin Anderson, een van de veiligheidsexperts achter het rapport. "Zodra hun doelwit verplaatst naar een alternatief platform, vaak uit veiligheidsoverwegingen, dan verplaatst de ontwikkeling van tools die Iraanse agenten gebruiken om mee te spioneren gewoon mee."

Anderson schreef het rapport met Claudio Guarnieri. Beiden zijn ze onderdeel van Security Without Borders, een onlangs gelanceerd initiatief dat als doel heeft digitaal veiligheids-advies te geven aan journalisten en activisten. Dit werk is onderdeel van een lopend onderzoek naar spionage-aanvallen en het ecosysteem van door de Iraanse overheid gesponsorde hackgroepen.

MacDownloader

De onderzoekers vonden de malware, MacDownloader, op een website vermomd als het Amerikaanse ruimtevaartbedrijf United Technologies Corporation. Guarnieri en Anderson hadden deze site al eerder gelinkt aan Iraanse hackcampagnes, vertelt Anderson, en ze wisten dat het een verzamelplaats was voor Windows-malware. Op een dag ontdekten ze plotseling dat er ook Mac-specifieke referenties opstonden.

De malware dient zich aan als een nep-Flash update die de doelwitten zelf moeten downloaden. Het programma verbindt vervolgens met een externe server, vermoedelijk om meer modules te grijpen die de malware kan gebruiken. Op hetzelfde moment sluist MacDownloader wat informatie uit het systeem naar een server die de hacker beheert, inclusief de inhoud van de keychain folder en een lijst van geïnstalleerde applicaties. De malware maakt ook een namaak prompt-box aan die vraagt om de wachtwoorden van het OS, zodat het ook die informatie doorsluist naar de hackers.

Advertentie

"Gewapend met de gebruikersdata kunnen de hackers bij de versleutelde wachtwoorden die zijn opgeslagen in de keychain-database. Hoewel Chrome en Firefox geen gegevens opslaan in Keychain, slaan Safari en macOS wel wachtwoorden op op websites," staat in het rapport. Vanaf daar zijn de hackers in staat om in te breken in sociale media en e-mailaccounts van hun slachtoffer.

Op het moment dat het rapport is geschreven werd de malware niet erkend door VirusTotal, een soort zoekmachine die resultaten van verschillende veiligheidsproducten met elkaar vergelijkt. Dit betekent dat antivirusprogramma's het lastig vinden om de malware op te sporen. Het lijkt alsof de malware slecht ontworpen is: delen van de code zijn van elders gekopieerd, volgens het rapport.

Los van de malware zelf is het gevaarlijk als activisten denken dat ze veiliger zijn simpelweg omdat ze macOS gebruiken, waardoor ze minder voorzichtig zijn voor hackers die ze proberen aan te vallen.

"Als macOS-gebruikers geloven dat ze niet kwetsbaar zijn omdat ze geen Windows gebruiken, zijn ze eerder geneigd om minder op hun hoede te zijn," vertelt Anderson tegen Motherboard.

Anderson gelooft dat deze malware-campagne gelinkt is aan Charming Kitten, vermoedelijk een hackgroep van de Iraanse overheid. Andere veiligheidsexperts hebben ontdekt dat leden van Charming Kitten zich voordoen als journalisten, met als doelwit Amerikaanse en Israëlische defensie, en zo probeert wachtwoorden te stelen van personeel.

In een bewijsstuk wordt de server gelinkt aan de malware onthuld, waardoor onderzoekers kunnen kijken naar wat voor soort data door hackers wordt verzameld. Interessant genoeg waren de hackers ogenschijnlijk verbonden met de WiFi-netwerken Jok3r en mb_1986; beide namen zijn gekoppeld aan eerdere Iraanse hackcampagnes.