Το Rosetta 2, η τεχνολογία μετάφρασης της Apple που επιτρέπει τη λειτουργία εφαρμογών βασισμένων σε Intel σε συσκευές με Apple Silicon, έχει πρόσφατα αποτελέσει στόχο κυβερνοεπιθέσεων. Ερευνητές ασφαλείας ανακάλυψαν ότι κρατικά υποστηριζόμενοι χάκερ από τη Βόρεια Κορέα εκμεταλλεύονται το Rosetta 2 για να παρακάμψουν τα ενισχυμένα μέτρα ασφαλείας του macOS.
Εκμετάλλευση του Rosetta 2 από χάκερ
Σύμφωνα με αναφορές, οι επιτιθέμενοι χρησιμοποιούν κακόβουλο λογισμικό βασισμένο σε αρχιτεκτονική x86-64 (Intel) αντί για την εγγενή ARM64 (Apple Silicon). Αυτό τους επιτρέπει να παρακάμπτουν αυστηρότερους ελέγχους ασφαλείας που εφαρμόζονται στις εφαρμογές ARM64, εκτελώντας μη υπογεγραμμένο ή αυτο-υπογεγραμμένο κακόβουλο λογισμικό με λιγότερους περιορισμούς στο macOS.
Πλεονεκτήματα για τους επιτιθέμενους
Η χρήση του Rosetta 2 για την εκτέλεση κακόβουλου λογισμικού x86-64 προσφέρει στους χάκερ διάφορα πλεονεκτήματα:
- Ασθενέστερες πολιτικές εκτέλεσης: Οι εφαρμογές ARM64 απαιτούν αυστηρή επικύρωση και υπογραφή κώδικα, ενώ οι εφαρμογές x86-64 μπορούν να εκτελούνται με μεγαλύτερη ευκολία.
- Παράκαμψη εργαλείων ασφαλείας: Πολλές λύσεις ασφαλείας του macOS επικεντρώνονται σε απειλές ARM64, παραβλέποντας κακόβουλο λογισμικό βασισμένο σε Intel που εκτελείται μέσω του Rosetta 2.
- Επιμονή και απόκρυψη: Οι επιτιθέμενοι μπορούν να διαγράψουν το κακόβουλο λογισμικό μετά την εκτέλεση, αλλά τα μεταφρασμένα αρχεία του Rosetta 2 παραμένουν, αφήνοντας πίσω εγκληματολογικά στοιχεία.
Περιπτώσεις εκμετάλλευσης
Ερευνητές εντόπισαν παραλλαγές κακόβουλου λογισμικού που εκμεταλλεύονται το Rosetta 2 για επιθέσεις σε οργανισμούς κρυπτονομισμάτων. Σε μία περίπτωση, οι επιτιθέμενοι χρησιμοποίησαν ένα σενάριο Python 2 ως αρχική μέθοδο μόλυνσης. Δεδομένου ότι το Python 2 δεν έχει έκδοση ARM64 στο macOS, εκτελέστηκε μέσω του Rosetta 2, επιτρέποντας στο κακόβουλο λογισμικό x86-64 να λειτουργήσει χωρίς εμπόδια.
Συστάσεις ασφαλείας
Για να μετριαστούν οι κίνδυνοι από την εκμετάλλευση του Rosetta 2, οι χρήστες και οι ομάδες ασφαλείας του macOS θα πρέπει:
- Περιορισμός εκτέλεσης x86-64 δυαδικών αρχείων: Όπου είναι δυνατόν, να εφαρμόζονται πολιτικές που δίνουν προτεραιότητα σε εγγενείς εφαρμογές ARM64.
- Παρακολούθηση για αρχεία του Rosetta 2: Τακτικός έλεγχος του καταλόγου
/var/db/oah/για ασυνήθιστα αρχεία cache, καθώς μπορεί να υποδεικνύουν προηγούμενη εκτέλεση κακόβουλου λογισμικού. - Ανάλυση Unified Logs και FSEvents: Αυτοί οι μηχανισμοί καταγραφής του macOS μπορούν να αποκαλύψουν ιστορικά στοιχεία εκτέλεσης x86-64 δυαδικών αρχείων, ακόμη και αν οι επιτιθέμενοι διαγράψουν το κακόβουλο λογισμικό.
- Διασφάλιση ότι το System Integrity Protection (SIP) παραμένει ενεργοποιημένο: Η απενεργοποίηση του SIP εκθέτει το σύστημα σε επιθέσεις τροποποίησης των μεταφρασμένων αρχείων του Rosetta 2.
- Χρήση λύσεων ασφαλείας που εντοπίζουν κακόβουλο λογισμικό x86-64: Πολλά εργαλεία ασφαλείας του macOS επικεντρώνονται σε απειλές ARM64, αφήνοντας κακόβουλο λογισμικό βασισμένο σε Intel ανιχνεύτο.
Η επίγνωση αυτών των τεχνικών εκμετάλλευσης και η εφαρμογή των παραπάνω μέτρων μπορούν να βοηθήσουν στην προστασία των συστημάτων macOS από τέτοιες απειλές.
Πηγές: CyberInsider
