Najnovší procesor spoločnosti Apple čelí hrozbe – prenikaniu škodlivého kódu GoSearrch22, ktorý cieli špecificky na zariadenia s operačným systémom macOS a novým čipom M1.
Hrozbu odhalil bezpečnostný expert Patrick Wardle, bývalý zamestnanec americkej NSA, aktuálne analytik pre macOS. Sám vyvinul viacero voľne prístupných nástrojov zabezpečenia pre Apple a už v minulosti sa mu podarilo nájsť viaceré škodlivé kódy zamerané voči zariadeniam tejto spoločnosti.
Aj hackeri sa musia prispôsobiť
Wardle na najnovší škodlivý kód narazil na platforme VirusTotal, kde bol zaznamenaný už v decembri minulého roka. GoSearch22 mal podobu neškodného rozšírenia prehľadávača Safari. Z nej sa napokon vykľul variant malvéru Pirrit, ktorý bol prvýkrát spozorovaný v roku 2016.
Pirrit je jednou z najstarších a najaktívnejších adware rodinín pre počítače s macOS. Je známy agresívnym pretláčaním reklám v užívateľskom prostredí zariadenia. Po kliknutí na ne sa používateľom nainštalujú nechcené aplikácie, ktoré o užívateľovi a jeho zariadení zbierajú informácie.
Skladba tohto malvéru navyše obsahovala funkcie, ktoré zamedzovali jeho odhalenie. Podľa Wardla bol súčasťou krytia podpis vývojára spoločnosti Apple, “hongsheng_yan”.
V pôvodnom znení malvér tvorcovia zacielili na zariadenia s procesorom Intel x86 už v novembri 2020. Neskôr bol ale prispôsobený práve na čipy M1, pričom pôvodná autentifikácia vývojárom spoločnosti bola zrušená a na jeho spustenie v systéme macOS potreboval útočník nový podpis, skrz iný certifikát.
Autori škodlivého softvéru pracujú na tom, aby zaistili, že ich škodlivé výtvory budú natívne kompatibilné s najnovším hardvérom spoločnosti Apple.
Podľa Wardla je GoSearch22 prvým príkladom škodlivého kódu, ktorý je natívne kompatibilný s novou sadou čipov M1. To potvrdzuje, že záškodníci nezaháľajú a neustále sa adaptujú na najnovšie technické vymoženosti rozšírených produktov.
Z výhody slabina
5 nm procesor vo forme čipu Apple M1 predstavuje prvý ARM systém pre osobné počítače s operačným systémom macOS. Spoločnosť ho na trh uviedla v novembri 2020 a podľa jej vyjadrení má disponovať napríklad najrýchlejším a najvýkonnejším CPU jadrom či zlepšeným zabezpečením.
Čip využíva infraštruktúru CPU arm64, ktorá vďaka svojej kompatibilite umožňuje prepájať všetky aplikácie na M1. Táto výhoda sa však podľa Wardla stala zároveň slabinou. Arm64 umožnil hackerom kompilovať kódy a získať tak prístup do produktov spoločnosti Apple.
Natívna distribúcia natívnych binárnych súborov arm64 má nespočetné množstvo výhod, tak prečo by autori škodlivého softvéru odolávali?
Wardle zároveň podotýka, že antivírusy či analytické nástroje nemusia byť pri odhaľovaní škodlivých binárnych súborov arm64 úspešné.
Napriek tomu, že zistené schopnosti malvéru GoSearch22 nepredstavujú v kyberbezpečnostnom svete žiaden nový objav či výraznú hrozbu, je zjavné, že jeho kompatibilita s čipmi M1 môže predstavovať začiatok novej éry útokov.
Jana Tuhrinová