Niesławny trojan Flashfake/Flashback, który pomógł stworzyć botnet liczący ponad 700 000 komputerów Mac, stanowi obrazowy przykład na obecność luk i zagrożeń dla środowiska Mac OS X, z pewnością jednak nie jest odosobnionym przypadkiem. Analitycy z Kaspersky Lab odkryli kolejny szkodliwy program atakujący komputery firmy Apple, który został potwierdzony jako element złożonego ataku ukierunkowanego. W przeciwieństwie do trojana Flashfake, który odsłonił słabości niechronionego środowiska Mac OS X, nowy szkodnik, znany jako Backdoor.OSX.SabPub.a, jest prawdziwym przykładem tego, w jaki sposób podatny na ataki komputer firmy Apple może zostać całkowicie przejęty przez cyberprzestępców.

Nowy backdoor został zidentyfikowany na wolności na początku kwietnia 2012 r. Podobnie jak Flashfake, wykorzystywał pewne luki w Javie. Liczba użytkowników zainfekowanych tym szkodliwym programem jest stosunkowo niewielka, co również sugeruje, że backdoor ten był wykorzystywany w atakach ukierunkowanych. Po aktywacji w zainfekowanym systemie szkodnik łączył się ze zdalną stroną internetową w celu uzyskania poleceń. Serwer kontroli znajdował się w Stanach Zjednoczonych i wykorzystywał darmową dynamiczną usługę DNS w celu kierowania poleceń do zainfekowanych komputerów.

Wydarzenia, które nastąpiły, potwierdziły początkową teorię, zgodnie z którą SabPub stanowił element ukierunkowanego ataku. Eksperci z Kaspersky Lab umieścili w internecie własną maszynę zainfekowaną tym backdoorem i 15 kwietnia wykryli nietypową aktywność. Osoby atakujące przejęły kontrolę nad zainfekowanym systemem i rozpoczęły jego analizę. Wysłały polecenia w celu obejrzenia zawartości foldera root i domowego, a nawet pobrały niektóre z dokumentów przechowywanych w systemie. Analiza ta została najprawdopodobniej przeprowadzona ręcznie, nie przy użyciu zautomatyzowanego systemu, co wyklucza szeroko rozpowszechnione szkodliwe oprogramowanie tworzone na skalę masową. To wszystko potwierdza, że backdoor ten jest przykładem wykorzystania złożonego, aktywnego przez długi czas zagrożenia atakującego konkretnych użytkowników.

Podczas analizy backdoora ujawnione zostały kolejne szczegóły dotyczące ataku ukierunkowanego. Analitycy z Kaspersky Lab znaleźli sześć dokumentów Microsoft Word, z których wszystkie zawierały szkodliwy program wykorzystujący w luki w zabezpieczeniach. Dwa z dokumentów odpowiedzialne są za zainstalowanie szkodliwej funkcji SabPuba. Próba otworzenia pozostałych czterech dokumentów w podatnym na ataki systemie prowadzi do infekcji innym szkodnikiem przeznaczonym dla Maków. Jeden z dokumentów związanych z SabPubem zawierał bezpośrednie odwołania do społeczności tybetańskiej. Jednocześnie, wyraźny związek między backdoorem a innym ukierunkowanym atakiem na maszyny działające pod kontrolą systemu Windows, znanym jako LuckyCat, wskazuje na różnorodną i rozległą działalność przestępczą wywodzącą się z tego samego źródła.

Alexander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab, powiedział: "Backdoor SabPub po raz kolejny pokazuje, że żadne środowisko oprogramowania nie jest odporne na ataki. Stosunkowo niewielka liczba szkodliwych programów dla Mac OS X nie jest równoznaczna z bezpieczeństwem. Niedawne incydenty, takie jak Flashfake i SabPub, pokazują, że dane osobiste niezabezpieczonych użytkowników Maków również są zagrożone, ponieważ cyberprzestępcy zdają sobie sprawę z rosnącego udziału rynkowego takich maszyn albo są angażowani do przeprowadzenia ataków ukierunkowanych na konkretnych użytkowników komputerów firmy Apple".