Все, що вам потрібно знати про зловмисне програмне забезпечення Silver Sparrow

Близько місяця тому з’явилася одна з найцікавіших новин про Apple і, зокрема, M1 Mac. Ця історія оберталася навколо шкідливого програмного забезпечення Silver Sparrow, таємничого комп’ютерного вірусу, який не дав нам жодних нових відповідей, незважаючи на те, що на момент написання статті йому більше місяця.

У цій публікації я розповім про все, що потрібно знати власникам Mac про це шкідливе програмне забезпечення, включно з тим, що ми маємо знати про це, якщо ви перебуваєте в групі ризику, як визначити, чи ви інфіковані, і як запобігти подібним нападам у майбутнє.

Давайте розберемося!

Що таке шкідливе програмне забезпечення Silver Sparrow?

Історія про Срібного горобця розпочалася 22 лютого 2021 року, хоча дослідження вже розкривали її ще в січні. Першою це виявила фірма з кібербезпеки, відома як Червона Канарейка (як це за іронією долі).

За даними Red Canary, зловмисне програмне забезпечення Silver Sparrow (яке випускається в двох варіантах) вперше виявило активність у серпні 2020 року. Ця перша версія була розроблена для зараження комп’ютерів Mac з архітектурою x86. У грудні 2020 року почала з'являтися нова версія, що заражає M1 Mac.

У січні та лютому 2021 року Червона Канарейка виявила першу та другу версії Срібного горобця атаку і почав попереджати про це громадськість, сподіваючись «підрізати крила», перш ніж вдасться зробити будь-яку реальну пошкодження.

Рекомендую прочитати повний запис Червоної Канарейки для отримання додаткової інформації.

Я досі не розумію…

Коротше кажучи, Silver Sparrow – це комп’ютерний вірус, створений спеціально для зараження нових комп’ютерів Mac M1. Це велика справа, оскільки ці комп’ютери Mac рекламуються як майбутнє лінійки комп’ютерів Apple.

Ось чому, коли історія вперше виникла, вона стала вірусною. Уразливість такого масштабу (повідомляється, що десятки тисяч комп’ютерів Mac заражені, а це означає, що ще багато десятків тисяч можуть все ще бути зараженим несвідомо) може повністю зруйнувати всі нові покупки M1 і зруйнувати довіру до цих нових машини.

Тож ось основи того, чому це важлива проблема і чому навколо це більше занепокоєння, ніж типовий вірус Mac. Він заразив велику кількість комп’ютерів, які були на ринку лише кілька місяців розміщений таким чином, щоб він міг доставляти руйнівні корисні навантаження на заражені комп’ютери та поширюватися швидко.

Як Silver Sparrow заражає Mac?

Це одна з найбільш захоплюючих частин про все це:

Ніхто не знає, як він заразив будь-який з комп’ютерів Mac (поки що).

Здається, шкідливе програмне забезпечення Silver Sparrow з’явилося нізвідки. І хоча інженери Red Canary мають деякі теорії, правда полягає в тому, що наразі ми не знаємо, звідки взявся цей вірус або як він опинився на комп’ютерах користувачів.

Загальна теорія (на момент написання) полягає в тому, що, швидше за все, це було отримано з результатів шкідливих пошукових систем (за Червону канарейку). Це означає, що користувачі, ймовірно, використовували пошукову систему, як-от Google, натискали шкідливе посилання в результатах, невдовзі після чого на їхній Mac було встановлено пакет Silver Sparrow.

Однак невідомо, що ініціювало завантаження будь-якого із заражених комп’ютерів Mac. На мою думку (як письменника, а не експерта з питань безпеки), це найбільш тривожний аспект атаки. Тому що якщо ви не знаєте, як він був встановлений або звідки він взявся, то користувачам і Apple стає дуже важко запобігти такому повторенню.

Чи небезпечна шкідлива програма Silver Sparrow?

Ні, але ви все одно повинні хвилюватися. Після тривалого аналізу виявляється, що у шкідливому програмному забезпеченні Silver Sparrow немає нічого шкідливого. Це викликало у деяких сумніви, чи дійсно це можна назвати «зловмисним програмним забезпеченням», якщо немає зловмисного характеру, але я розповім про це пізніше.

З іншого боку, було б наївно вважати, що лише тому, що це доброякісна атака зловмисного програмного забезпечення, немає причин для занепокоєння. Це все ще великий вірус із швидким рівнем зараження та високим ступенем успіху. Срібний горобець міг легко спричинити хаос – нам просто пощастило, що це не так.

Найближче, що було знайдено до «наміру» у програмному забезпеченні Silver Sparrow, — це повідомлення, залишені в ньому. У першій версії Silver Sparrow, орієнтованої на комп’ютери Mac x86, був знайдений двійковий файл, який містить повідомлення «Hello, World!». У другій версії M1 був знайдений інший двійковий файл із повідомленням «Ти зробив це!».

Тоді як «Привіт, світ!» – це часто вживана фраза в програмуванні, важко проігнорувати тривожний відтінок. Зрештою, це атака зловмисного програмного забезпечення, яка привернула увагу всього світу. І зловісні слова «Ти це зробив!» далекі від втіхи.

Деякі припускають, що Silver Sparrow була невдалою спробою заразити Mac. Ідея полягає в тому, що відсутнє корисне навантаження (тобто загроза для користувачів) є доказом того, що той, хто його надіслав, напевно забув включити корисне навантаження. Хоча це трохи цікаво розглядати, ефективність та ефективність шкідливого програмного забезпечення роблять це малоймовірним.

Чи вирішила Apple проблему шкідливого програмного забезпечення Silver Sparrow?

Apple усунула проблему зі зловмисним програмним забезпеченням Silver Sparrow. Якщо у вас ще немає цього на вашому Mac, ви не заразитесь ним. Майже відразу ж Apple відкликала сертифікати облікових записів розробників, які підписали пакети Silver Sparrow, не дозволяючи більше встановлювати їх на комп’ютерах macOS.

Простіше кажучи, Apple має дуже суворі правила щодо того, що можна, а що не можна встановити на вашому Mac. Звичайна скарга на Apple, що розробники повинні мати спеціальні ліцензії та використовувати спеціальні інструменти для розробки програм для macOS.

Через ці правила програмне забезпечення Silver Sparrow мало бути «підписано» сертифікованим обліковим записом розробника Apple. Apple визначила облікові записи, які були використані для здійснення цієї атаки, і скасувала їх дію, зупинивши цей екземпляр Silver Sparrow в його слідах.

Я впевнений, що Apple також працювала за лаштунками протягом останнього місяця, щоб переробити macOS та наступний чіп M1 (M2?), щоб запобігти повторенню цього. Тим не менш, ви повинні знати, що Apple лише зупинила цю хвилю атак Silver Sparrow. Через брак інформації навколо цієї атаки подібні стратегії все ще можуть використовуватися в майбутньому.

Як визначити, чи є у вас шкідливе програмне забезпечення Silver Sparrow на вашому Mac

Оскільки наразі Silver Sparrow не робить нічого шкідливого, може бути важко дізнатися, чи заражений ваш Mac, не намагаючись перевірити. Крім того, основний спосіб розкриття Silver Sparrow на вашому Mac не гарантовано спрацює, хоча він працює для переважної більшості користувачів.

Знаходження ._insu файл

Перший спосіб знайти - це пошук файлу у вашому Бібліотека папка під назвою ._insu. Зазвичай це єдиний файл, який знаходять більшість користувачів, оскільки саме він повідомляє зловмисному програмному забезпеченню Silver Sparrow видалити себе з вашого Mac.

За замовчуванням, Бібліотека папка прихована від вас. Це тому, що в ньому є безліч конфіденційних файлів і папок, і Apple не хоче, щоб користувачі випадково зламали свої комп’ютери Mac. Тому будьте попереджені – не видаляйте, не переміщуйте та не змінюйте нічого в цій папці! Ви просто шукаєте, щоб побачити, чи ._insu є там.

Для цього відкрийте Finder. У рядку меню ви повинні побачити спадне меню з позначкою Іди. Натисніть це меню, а потім утримуйте варіант ключ. Це призведе до прихованого Бібліотека папка, щоб з’явитися.

Натиснувши на це, ви перейдете до вашого Бібліотека папку. Опинившись там, прокрутіть і перевірте файли з мітками ._insu. Вам не потрібно переглядати жодну з папок, наявних у вашому Бібліотека папку. Якщо ви не бачите його тут, тоді ви повинні бути в безпеці.

Використання стороннього детектора шкідливих програм

Як уже згадувалося, вищезазначений метод підійде не всім. Якщо ви не бачите ._insu файл, то я б сказав, що ви, ймовірно, у безпеці. Але якщо ви хочете бути дійсно впевненими, і ви не маєте досвіду в подібних речах, я б рекомендував використовувати стороннє рішення.

Зокрема, Malwarebytes є хорошим варіантом. Окрім того, що зазвичай рекомендований програмний продукт, Red Canary працював безпосередньо з Malwarebytes, щоб отримати уявлення про те, скільки користувачів Mac було заражено Silver Sparrow. Отже, Malwarebytes спеціально налаштований для виявлення шкідливого програмного забезпечення Silver Sparrow.

Ви можете безкоштовно встановити Malwarebytes на свій Mac протягом двох тижнів, що має бути достатньо часу, щоб визначити, чи є у вас Silver Sparrow на вашому Mac. Після цього ви зможете зберігати його на своєму Mac всього за 3,33 дол. США на місяць. Мене не спонсорує Malwarebytes, це просто надійний додаток.

Чи може ваш Mac все ще бути заражений Silver Sparrow (5 квітня 2021 р.)?

Наскільки всім відомо, ні! Ви все ще не можете отримати шкідливе програмне забезпечення Silver Sparrow на своєму Mac. Якщо у вас його ще немає, ви можете почати. Наступного дня після того, як з’явилася новина про Silver Sparrow, Apple відкликала сертифікати облікових записів розробників, які підписували програмне забезпечення Silver Sparrow.

Це означає, що Silver Sparrow не можна буде встановити на ваш Mac у фоновому режимі. Apple не дозволяє встановлювати непідписане програмне забезпечення на комп’ютерах Mac без дозволу адміністратора. Тому не встановлюйте нічого непідписаного (що ви ніколи не повинні робити), і ви будете в безпеці від поточної версії Silver Sparrow.

Шкідливе програмне забезпечення проти Доказ концепції: розуміння Срібного горобця

Коли ми наближаємося до кінця цієї статті, я хочу використати хвилинку, щоб розкрити деякі ідеї, загадки, і занепокоєння навколо шкідливого програмного забезпечення Silver Sparrow, тому що, за всіма рахунками, це дуже цікаво інцидент.

По-перше, я хочу висвітлити різницю між шкідливим програмним забезпеченням та доказом концепції. Перше, «зловмисне програмне забезпечення», — це термін, який більшість людей застосовує до Silver Sparrow. Зловмисне програмне забезпечення відноситься до шкідливого програмного забезпечення (звідси назва). Отже, якщо немає жодної явної зловмисності, чи справді Silver Sparrow є шкідливим програмним забезпеченням?

І це підводить мене до другого моменту, який полягає в тому, що значна кількість людей теоретизує, що Срібний горобець може бути просто доказом концепції. Доказ концепції — це додаток, який доводить, що щось можна зробити — і все.

Наприклад, якщо ви написали програму, яка обчислює вік користувача на основі його стилю введення тексту, але не продали його та не впровадили в будь-яку іншу програму, то це було б доказом концепції. Ви б довели, що ця теорія тепер можлива і виконана.

На перший погляд, Срібний Горобець справді здається, що це може бути доказом того, що концепція пішла не так, розіслана та поширена, коли цього не було призначено. Іншими словами, ця «атака» була лише експериментом програміста.

Тепер це не означає, що Silver Sparrow також не є шкідливим програмним забезпеченням. Одне з основних визначень шкідливого програмного забезпечення — це програмне забезпечення, яке отримує несанкціонований доступ до комп’ютера людини. Срібний горобець робить це.

Однак багато експертів вважають, що доказ теорії концепцій малоймовірний у цьому випадку, враховуючи, наскільки широко поширений Срібний горобець. Вони вважають, що більш імовірно, що Срібний Горобець все ще має якийсь основний мотив, про який ми ще не знаємо, або що він мав бути загрозою, але провалився.

Silver Sparrow – це не перша атака такого роду на Apple

Важливо зазначити, що це не перша атака зловмисного програмного забезпечення такого масштабу, спрямована на Apple. Зловмисне програмне забезпечення Silver Sparrow, безумовно, є одним із найбільш таємничих випадків, але Apple вже стикалася з такими проблемами.

Фактично, зловмисне програмне забезпечення M1 було виявлено всього за чотири дні до того, як команда Red Canary опублікувала свої висновки про Silver Sparrow. Це попереднє шкідливе програмне забезпечення з позначкою «GoSearch22“, це більше запуск млина. Він розміщує рекламу по всьому Mac на шкідливих веб-сайтах і збирає конфіденційні дані у фоновому режимі.

Крім того, Silver Sparrow є щонайменше шостою серйозною помилкою в нотаріальному засвідченні від Apple. Це означає, що шість разів раніше автоматизований процес нотаріального засвідчення Apple не виявив зловмисного програмного забезпечення і дозволив йому встановлюватися на пристроях користувачів.

І тепер це є у Apple зробив це легко щоб розробники створювали програми, які працюють на комп’ютерах Mac x86 і M1, можна очікувати, що багато розробників шкідливих програм і вірусів використовуватимуть ці інструменти для створення M1-сумісних версій свого шкідливого програмного забезпечення.

Коротше кажучи, шкідливі програми та віруси не є новим. Срібний горобець – це лише нагадування про те, щоб серйозно поставитися до цих проблем і захистити себе від атак якнайкраще.

Як захистити свій Mac від шкідливих програм у майбутньому

І це підводить нас до кінця цієї статті: Захист себе проти атак на кшталт шкідливого програмного забезпечення Silver Sparrow у майбутньому. Ви можете зробити це кількома способами, хоча слід зазначити, що якщо хтось дійсно хоче порушити роботу вашого Mac, він знайде спосіб зробити це. Подібно до зупинки зловмисника, ви не можете повністю зупинити спробу, ви можете лише зробити все можливе, щоб відвернути атаку на ваш пристрій.

Досліджуючи, як захистити комп’ютери Mac від атак зловмисного програмного забезпечення, я постійно стикався з однією і тією ж порадою: не встановлюйте антивірус!

Спочатку я подумав, що це, мабуть, лише кілька надто самовпевнених користувачів. Але після більш детального дослідження здається, що значна частина радників з безпеки для Mac вважає, що антивірус приносить більше шкоди, ніж користі. Він дратує користувачів, коштує грошей, легко застаріває і займає багато потужності процесора, сповільнюючи роботу вашого Mac.

Натомість я знайшов пораду, щоб встановити програму для виявлення шкідливих програм (як Malwarebytes). Ці програми самі по собі не перешкоджають нічого не відбуватися, але натомість підтримують ваш Mac в чистоті, допомагають вам уникати ризикованих веб-сайтів і повідомляють вам, якщо щось на вашому Mac виглядає недобре.

Цього, у поєднанні з безпечними звичками, має бути достатньо для більшості користувачів. Не встановлюйте на свій комп’ютер нічого, у чому ви не впевнені, що є безпечним, не піратствуйте чи не торрентуйте, дотримуйтеся надійних веб-сайтів, не натискайте рекламу чи великий зелений Завантажити кнопки та уникайте порнографічних інтернет-виходів. Якщо ви робите все це і використовуєте програму для виявлення шкідливих програм, у вас все в порядку.

Історія зі зловмисним програмним забезпеченням Silver Sparrow, схоже, закінчилася – наразі!

Мені не подобається закінчувати речі на зловісній ноті, але правда полягає в тому, що навіть експерти мають обмежене розуміння того, що це програмне забезпечення зробило, звідки воно взято, для чого воно було створено, і чи планується подібна атака в фону.

З цих причин я рекомендую всім стежити за тим, як користуватися Інтернетом і бути в курсі Блог AppleToolBox тож ви можете бути в курсі всіх речей Mac.

До наступного разу!