Apple Mac bilgisayarların son yıllarda ödüllü saldırı hedefleri haline gelmesi şaşırtıcı değil, ancak macOS’u takip eden Dark Web tehdit aktörlerinin sayısı endişe verici bir oranda artıyor. Accenture’ın tehdit istihbarat birimi Pazartesi günü, 2019’dan bu yana Mac’leri hedef alan Dark Web tehdit aktörlerinde, çoğu son 18 ayda olmak üzere on kat artış bildirdi.
Bulgular, Accenture Siber Tehdit İstihbaratı (ACTI) ve Dark Web keşif çabalarından geliyor. Tehdit aktörleri geçmişte saldırılarını Windows ve Linux cihazlarına yöneltirken, ACTI ekibi gözlerini Mac’lere dikmiş yetenekli saldırganlardan oluşan geniş bir Dark Web topluluğu gözlemledi.
Accenture ACTI’de Dark Web etkinliğini izleyen bir siber tehdit istihbarat danışmanı olan Thomas “Mannie” Willkan, Dark Reading’e tehdit aktörlerinin geleneksel olarak macOS’u görmezden geldiğini söylüyor. Willkan, “Windows ve Linux’u hedeflemek daha kazançlı ve daha kolaydı, ancak şimdi kapsamlarını değiştirdiler” diyor. “Bence kısmen, sürekli yenilik yaptıkları ve güvenlik önlemlerinin önünde kalmaya çalıştıkları için. Ama aynı zamanda, artık Mac’i hedef almak için ekonomik bir teşvik olduğu için.”
Bir macOS ve iOS yönetim platformu sağlayan Addigy’nin CEO’su Jason Dettbarn, kuruluşların Windows cihazlarına uyguladıkları koşullu erişimin ve diğer ilkelerin aynısını uygulamaması nedeniyle, kuruluştaki Mac’lerin genellikle daha savunmasız olduğunu söylüyor. Dettbarn, CISO’ların Mac’lerin güvenliği konusunda giderek daha proaktif bir duruş sergilediğini söylüyor.
Dettbarn, “Apple daha güvenli olsa bile, CISO’lar Windows ile aynı işlemleri yürüttüklerinden emin olmak istiyor” diyor. Kuruluşların, Windows PC’leri güncellerken Apple cihazlarına yama uygulamakta zorlandıklarını da sözlerine ekledi. Dettbarn özellikle, Apple’ın Mayıs 2023’te piyasaya sürülen yazılım güncellemelerini sunmaya yönelik yeni yaklaşımı olan iOS, iPadOS ve macOS için Hızlı Güvenlik Yanıtlarına atıfta bulunuyor.
Dettbarn, “Hızlı Güvenlik Yanıtı, gereken en yüksek yama olarak kabul edilir, yani aktif olarak istismar edildiğini varsayabilirsiniz” diyor. “Tanıdığım her CISO, ‘Ne olduğu kamuya açıklanmadıkça bir yama uygulamıyoruz’ diyor.”
Öne Çıkan Saldırılar ve Gruplar
Mac’ler artık ACTI’nin belirli fidye yazılımı türleri oluşturduğunu söylediği LockBit 3.0 da dahil olmak üzere en tanınmış tehdit aktörlerinden bazılarına hitap ederken, yeni gruplar da odaklarını macOS’ten yararlanmaya yöneltiyor. Örneğin ACTI, Monti grubunun, Conti’nin EXSI fidye yazılımı dolabının yeniden yazılmış bir sürümüne sahip olduğunu iddia ediyor.
ACTI, Windows PC’leri hedefleyenlere göre daha yüksek fiyata satılan Mac’ler için istismarlar gözlemledi. Örneğin ACTI, Aralık 2022’de bir macOS Gatekeeper atlaması veya açıklardan yararlanma için 500.000 ABD doları teklif eden bir tehdit aktörü buldu.
Accenture küresel siber müdahale ve dönüşüm hizmetleri genel müdürü Rob Boyce, gelişmiş macOS tabanlı saldırı araçlarına sahip, sayıları giderek artan “yetenekli aktörlere” işaret ediyor. Boyce, tehdit aktörünün, “macOS odaklı tehdit aktörleri için son derece arzu edilen bir hizmet” haline gelen macOS Gatekeeper’ı atlayabilen Apple Enterprise Sertifikalarının reklamını yaptığını yazıyor.
Boyce, MalwareHunterTeam güvenlik grubunun LockBit 3.0’ın macOS’a yönelik fidye yazılımı geliştirdiğine inanıldığını keşfettiğine dikkat çekiyor. Boyce, “Sürüm sorunlu, tamamlanmamış ve kusurlu olmasına rağmen, LockBit 3.0, yeraltı lakabı ‘LockBitSupp’ aracılığıyla onu aktif olarak geliştirmekte olduğunu doğruladı.” fidye yazılımı türü.
Accenture ayrıca, Conti ve REvil fidye yazılımı gruplarıyla bağlantılı tanınmış bir ilk erişim aracısının 2022’de macOS’ta çalışan XLoader kötü amaçlı yazılımını satın alıp test ettiğini keşfetti. Accenture, Mac’leri hedef alan tehdit aktörlerinin büyümesinin 2024 ve sonrasında da devam edeceğini tahmin ediyor.
Kurumsal Mac Kullanımını Genişletmek
Ekonomik teşvik, iş gücünde Mac’lerin artan varlığıdır. IDC’nin Temmuz 2023 Worldwide Quarterly Computing Device Tracker raporuna göre Mac’ler, bir önceki yılın aynı dönemindeki %6,8’lik PC pazarındaki payını ikinci çeyrekte %8,6’ya çıkardı.
Willkan, Mac’lerin büyümesinin daha fazla macOS’a özgü bilgi hırsızları, uzaktan erişim Truva atları, yükleyiciler ve sıfır günlerle sonuçlandığını söylüyor. ACTI ayrıca, ilk erişim simsarlarına bağlı Dark Web tehdit aktörlerini ve macOS tabanlı bilgi çalıcıları satın aldıklarını iddia eden potansiyel olarak veri gaspı gruplarını gözlemlediğini söylüyor.
“Birçok özel kullanıcı ve birçok sektör, Mac kullandıklarında hâlâ bu yanlış güvenlik duygusu altındadır çünkü onlara Mac kullanıyorsanız bir virüsten etkilenmeyeceğiniz söylenmiştir. Ve bence suçlular bu fikre güveniyorlar.”