Еще со времени финальных аккордов предвыборной президентской гонки в США «русские хакеры» в мировой прессе на слуху. Есть теория, что существует группа злоумышленников (или отчаянных борцов за свободу слова, это с какой стороны посмотреть), в прошлом году успешно атаковавшая сервера Демократической партии США, а затем слившая полученную информацию в Сеть. В результате разродился скандал, по итогам которого по позициям демократов на выборах был нанесен сильный удар. Разумеется, самим демократам такая версия нравится, а особенно тем, что группа хакеров эта — она в прессе проходит под такими названиями, как APT28, Sofacy, Sednit, Fancy Bear и Pawn Storm — очевидно связана с российскими властями и работает с 2007 года.

Однако убрав в сторону политику, вернемся к техническим деталям. До недавних пор было известно лишь о наличии у APT28 инструментов для взлома устройств на базе Windows, Linux, iOS и Android, но на этой неделе всплыл и соответствующее ПО для Маков.

Открытие сделали исследователи из компании Bitdefender, выпускающей свой антивирусный клиент и сопутствующие приложения. По их словам, вредоносное приложение проходит под названием Xagent и носит модульную структуру. Как именно оно попадает на машину пользователя пока не сообщается (детальный отчет ждем позже), но рискнем предположить, что вместе с пиратским ПО с разных торрент-трекеров. После успешного приземления на машину пользователя, Xagent активируется и проверяет наличие дебаггера — если он есть, то приложение завершает свою работу (чтобы его не отследили); если нет, то ждет Интернет-соединения.

Как только машина выходит в Интернет, Xagent начинает стучаться на сервера злоумышленников. На них она отправляет такие данные, как журнал ввода паролей пользователя, скриншоты экрана и даже хранящиеся на машине резервные копии iOS-устройств. В обратную сторону на машину загружаются модули с дополнительными функциональными возможностями. Злоумышленники могут видеть степень важности машины и извлекать с нее больше данных или осуществлять более глубокий анализ. В целом решение крайне технологичное и аккуратное.

Подробный отчет по угрозе должен быть опубликован в ближайшее время. Однако уже сейчас антивирусные приложения Bitdefender (про них можно почитать на сайте разработчиков этот троян отслеживают и могут удалять.

Со своей стороны же добавим, что совсем не удивлены наличием у APT28 инструментов для взлома OS X. Так скажем, интересные для группы объекты наблюдения — география их в основном приходится на Россию, Украину, Испанию, Румынию, США и Канаду — крайне активно используют Маки. Поэтому было бы странным этот факт игнорировать. Они и не игнорировали. Сколько времени существует Xagent в активном режиме пока неизвестно.