האם מחשבי Mac באמת בטוחים יותר?
גם בשנת 2024 ארגונים ממשיכים להתייחס ל-macOS כ"מאובטחת מעצם עיצובה", אבל התוקפים מוכיחים אחרת. האם ב-2025 ארגונים יתנהלו באופן שונה?
תמונה: dreamstime
מאת: פיל סטוקס
בקרב אנשי IT ואבטחת מידע רווחת התפיסה שמחשבי Mac בטוחים יותר ממערכות אחרות. על אף שמיתוס ה"Mac לא נדבק בתוכנות זדוניות" כבר הופרך מזמן, רבים עדיין מאמינים כי macOS מספק הגנה טובה יותר מפני איומי סייבר, אולי בשל המיקוד המסורתי של תוקפים במערכות Windows.
אלא שהמציאות שונה: בשנת 2024 הייתה עלייה משמעותית בנוזקות המיועדות למחשבי מק, בדגש על התקפות נגד משתמשים עסקיים וארגוניים. והנה גם ב-2025 מתחילים הסדקים: בסוף השבוע האחרון אפל ניטרלה את פיצ'ר האבטחה העוצמתי שלה בבריטניה, בצעד חריג למדי. הפיצ'ר Advanced Data Protection נוטרל על ידי אפל עבור המשתמשים הבריטים שלה, אחרי שבשבועות האחרונים לחצה עליה הממשלה הבריטית להכניס דלת אחורית בהצפנה של הפיצ'ר, כדי לאפשר לה לגשת לחשבונות של משתמשים במידת הצורך. אז אילו התקפות היו הנפוצות ביותר, מה מחפשים התוקפים ואיך אפשר להתגונן?
רוצים לקבל את הניולזטר השבועי של ITtime? הירשמו כאן
התקפות ממוקדות: מה מחפש התוקף?
תוכנות גניבת מידע (Infostealers)
השנה ראינו גל תקיפות של גונבי מידע כמו Amos Atomic, Banshee Stealer ו-Cuckoo Stealer, שהתמקדו בגניבת נתוני כניסה, סיסמאות ושאר פרטי גישה רגישים. כלי תקיפה אלה מבוססים על הנדסה חברתית וניצול מנגנוני אימות קיימים כדי לאסוף מידע ולשלוח אותו לשרתי שליטה מרוחקים.
ניצול מנגנוני אבטחה קיימים
התוקפים משתמשים במנגנוני ההגנה של macOS נגד המשתמשים עצמם. למשל, הם מנצלים את העובדה שהסיסמה הראשית של המערכת משמשת גם להתקנות וגם לפתיחת מאגר הסיסמאות (Keychain). בנוסף, נעשה שימוש ב-AppleScript כדי לזייף חלון הזנת סיסמה שנראה אותנטי לחלוטין.
הגנה מוגבלת מצד Apple
XProtect, מערכת ההגנה המובנית של macOS, מתעדכנת לעיתים רחוקות ואינה מספקת מענה מקיף לכל האיומים המתפתחים. תוקפים מתוחכמים ממשיכים לפתח שיטות מתקדמות לשימור גישה למערכות, בין היתר באמצעות הדבקת סביבת הפיתוח Xcode או ניצול חולשות ישנות בממשקי Unix.
הנוזקות הבולטות של 2024
Amos Atomic וכנופיית גונבי המידע
גונבי המידע מסדרת Amos Atomic פועלים בעיקר על ידי לכידת פרטי ההתחברות של המשתמשים בפורמט טקסט גלוי. כדי לעקוף מנגנוני אבטחה סטנדרטיים, הם מריצים פקודות osascript המתחזות לחלון אימות לגיטימי. גרסאות חדשות של Amos Atomic ממשיכות להופיע, תוך שימוש בטכניקות הסוואה מתקדמות כדי לחמוק מזיהוי על ידי פתרונות אבטחה סטטיים.
Activator – דלת אחורית במסווה אפליקציות עסקיות
נוזקה זו אותרה בתחילת 2024 כאשר תוקפים הפיצו גרסאות פרוצות של יישומים עסקיים נפוצים. נראה כי המטרה הייתה יצירת רשת Botnet רחבה למחשבי Mac. מחקרים של SentinelOne זיהו מאות קובצי Mach-O נגועים אשר הופצו באמצעות אתרי הורדה מפוקפקים.
LightSpy – מריגול סלולרי ל-macOS
LightSpy מוכרת ככלי ריגול שהתמקד בעבר במשתמשי מובייל, אך השנה התגלתה גרסה מותאמת למחשבי מק. היא כוללת תוספים מתקדמים שמאפשרים גניבת קבצים, הקלטות שמע, מעקב אחרי חיבורים לרשתות Wi-Fi והרצת פקודות Shell. מקור התוקפים מיוחס לקבוצת APT41 הסינית, אך ייתכן שהתוכנה מופצת גם בין קבוצות איום אחרות.
BeaverTail – "ראיון מידבק" למחפשי עבודה
נוזקה זו, המיוחסת לקבוצות צפון קוריאניות, מתפשטת על ידי התחזות למגייסים בלינקדאין ופלטפורמות אחרות. המטרה: לגרום למשתמשים להוריד ולהפעיל קבצים זדוניים במסווה של כלים לראיונות עבודה. BeaverTail עושה שימוש בטכנולוגיות חוצות-פלטפורמות, מה שמאפשר לה לפעול גם ב-Windows וגם ב-macOS.
כיצד להגן על מערכות Mac בארגון?
הנה החולפת מעידה על כך שהתוקפים משקיעים יותר משאבים במחשבי Mac, ומשתמשים בטכניקות חוצות-פלטפורמות ובמתקפות ממוקדות. אפשר להתגונן, אך ארגונים חייבים להפסיק להתייחס ל-macOS כ"מערכת מאובטחת מעצם עיצובה". כפי שנוכחנו לדעת, גם מחשבי Apple אינם חסינים בפני מתקפות מתוחכמות – וזו מציאות שצריך להפנים כבר היום ולהתחיל לעשות כמה פעולות שיעזרו:
– שימוש במנהלי סיסמאות ואי שמירת נתוני גישה ב-Keychain.
– התקנת פתרונות אבטחה מבוססי EDR לזיהוי מתקדם של איומים דינמיים.
– צמצום הרשאות התקנה לעובדים והגבלת השימוש באפליקציות צד ג'.
– ניטור מתמיד של פעילות חריגה והקפדה על עדכוני תוכנה.
הכותב הוא חוקר איומים macOS ב-SentinelLabs
