Вирус Flashback для компьютеров Mac мог быть написан русскими хакерами

5 июля 2012 года

Троянец Flashback, обнаруженный весной и заразивший около 700 тысяч компьютеров Mac, мог быть написан хакером из России, сказал ведущий антивирусный эксперт российской компании "Лаборатория Касперского" Сергей Голованов.

Троянская программа Flashback была обнаружена в апреле этого года специалистами российской антивирусной компании "Доктор Веб". Эксперты выяснили, что ею были заражены около 700 тысяч компьютеров Mac, которые до этого случая считались практически неуязвимыми для вредоносного ПО. Эксперты различных антивирусных компаний провели всесторонний анализ нового вируса. В "Лаборатории Касперского" отметили сходство некоторых элементов Flashback c MacDefender - другой вредоносной программой для Mac, написанной русскими хакерами.

"MacDefender, написана практически также. Там были использованы примерно такие же техники шифрования строчек кода, что и в Flashback", - рассказал Сергей Голованов.

Голованов отметил, что утверждение о российском происхождении Flashback - это предположение, основанное на ряде признаков. Твердых доказательств, позволяющих назвать Flashback российским троянцем, все же нет.

Эксперты российских и зарубежных антивирусных компаний сходятся во мнении, что MacDefender - фальшивый антивирус, который в 2011 году вымогал у пользователей Mac деньги в обмен на защиту от несуществующих вирусов, был написан русскими киберпреступниками.

Западные эксперты, в частности независимый эксперт по информационной безопасности Брайан Кребс, утверждали, что за эпидемией MacDefender стоят русские хакеры, аргументируя это тем, что несколько серверов, на которых злоумышленники разместили сайты для вымогательства денег с помощью MacDefender, были зарегистрированы на электронный адрес одного из сотрудников процессинговой компании ChronoPay. Ее бывший генеральный директор Павел Врублевский сейчас является обвиняемым по делу о Ddos-атаках на платежную систему Assist в 2010 году. Брайан Кребс, а также ряд других экспертов по информационной безопасности считают, что и сам Врублевский и компания ChronoPay тесно связаны с миром киберпреступности.

В ChronoPay такие обвинения отрицают, отмечая, что процесс регистрации доменных имен и аренды серверов позволяет указать любой адрес электронной почты.

По данным российской компании Group-IB, занимающейся расследованиями киберпреступлений, в 2011 году российские хакеры заработали не менее 2,3 миллиарда долларов.

Троянская программа Flashback сегодня является наиболее масштабной угрозой безопасности пользователей компьютеров от компании Apple. В отличие от большинства предыдущих угроз для Mac, установка программы в систему проходила без всякого участия пользователя. Заразив компьютер, троянец отправлял злоумышленнику данные о его владельце, а также мог подменять результаты поисковых запросов в браузере Safari. Таким образом, злоумышленники пытались заработать на переходах ничего не подозревающих пользователей по рекламным ссылкам, размещенным хакерами в списке результатов поиска. Сумма, заработанная хакерами таким образом, неизвестна. Apple закрыла уязвимость, позволявшую Flashback заражать компьютеры Mac, вскоре после обнаружения ботсети из Flashback, однако антивирусные эксперты считают, что это далеко не последняя опасная вредоносная программа, направленная против компьютеров Mac.