Совсем недавно начали стихать страсти по обнаруженной компанией «Доктор Веб» бот-сети BackDoor.Flashback.39, поразившей все мировые средства массовой информации в переносном смысле, и 550 000 тысяч работающих под управлением MacOS X Apple-совместимых компьютеров — в прямом. На текущий момент размер ботнета BackDoor.Flashback достиг уже без малого 800 000 «макинтошей». То есть количество заражений растет даже после того, как Apple выпустила обновление операционной системы, а антивирусные компании — утилиты для удаления троянца. Почему это происходит, мы попытаемся выяснить чуть позже. Ну, а поскольку я, как и многие другие сотрудники «Доктор Веб», стал очевидцем и свидетелем вызвавших всю эту бурю событий, и даже принимал непосредственное участие в подготовке наделавшей столько шума новости, было бы странно не написать об этом пару-тройку строк в блоге.
В том, что подобный ботнет для MacOS X рано или поздно обнаружится, никто из аналитиков всерьез не сомневался. Безусловно, с точки зрения архитектуры и разграничения прав доступа операционная система от Apple намного безопаснее Windows, однако абсолютно безопасных системных платформ не бывает в принципе. Любая ОС — это по большому счету конгломерат программ различного назначения, которые пишут люди. А им, в свою очередь, свойственно ошибаться. Да, конечно, BackDoor.Flashback использовал для своего распространения уязвимости Java, а не «дыры» в самой MacOS, но это совершенно не означает, что подобных «дыр» не существует в принципе. При этом наивная вера некоторых пользователей в непогрешимость Apple играет только на руку злоумышленникам.
Можно, наверное, сказать, что бот-сеть BackDoor.Flashback была обнаружена благодаря удачному стечению обстоятельств. В вирусную лабораторию с определенной периодичностью стали поступать сигналы об использовании уязвимостей Java для раздачи троянцев под MacOS X, вследствие чего возникло смелое предположение: BackDoor.Flashback.39 может образовать бот-сеть. Специализирующийся на платформе Apple аналитик Иван Сорокин расшифровал используемый троянцем алгоритм генерации имен управляющих серверов, а затем было успешно зарегистрировано несколько таких доменов. Изначально никто не рассчитывал обнаружить самый крупный в истории ботнет для MacOS, но уже в первые часы на наши управляющие серверы отстучалось более 130 тысяч ботов, а потом созданные нами контрольные центры едва не рухнули под чудовищной нагрузкой. Реальные масштабы бедствия удалось оценить только к утру 4 апреля.
На самом деле, если бы злодеи не придумали BackDoor.Flashback.39, обязательно случилась бы эпидемия какого-нибудь другого троянца. Например, спустя некоторое время после описываемых здесь событий в вирусные базы Dr.Web была добавлена запись для угрозы под названием BackDoor.Sabpub.1 — этот трой использует для своего распространения ту же уязвимость, что и Flashback. Беды удалось избежать лишь потому, что корпорация Apple вовремя выпустила «заплатку» для своей реализации Java. Вовремя — это спустя два месяца после выхода аналогичного обновления от Oracle. Этих двух месяцев вполне хватило на то, чтобы BackDoor.Flashback успел инфицировать 600 000 с лишним машин.
Эпидемии не могло не случиться. Одна из основных тому причин — слепая, граничащая с фанатизмом вера некоторых пользователей Apple в абсолютную безопасность и вирусозащищенность MacOS X. Самое интересное, что уже после распространения информации об эпидемии на многочисленных форумах поклонников Apple стали звучать одни и те же истерические реплики: «это все обман!», «угроз под MacOS не существует!», «антивирусные компании желают впарить никому не нужные продукты!», «руки прочь от MacOS, я никогда не буду использовать антивирусное ПО для Apple!», «антивирусные компании хотят захватить новый, богатый и перспективный рынок!».
Вне всяких сомнений, рынок MacOS — действительно весьма перспективная сфера для многих и многих производителей софта, однако давайте все-таки беспристрастно взглянем на цифры. На территории США заражению BackDoor.Flashback.39 подверглось более 300 000 компьютеров, только в Купертино, городе, где расположена штаб-квартира Apple, их насчитывалось 274. В Канаде было выявлено более 100 000 случаев инфицирования, в Британии — чуть меньше 60 тысяч, около 30 тысяч в Австралии. Россию эпидемия фактически обошла стороной: на территории всей нашей огромной страны контрольные серверы зафиксировали всего лишь несколько десятков зараженных «маков». Меньше, чем в Купертино. Меньше, чем в государстве под названием Зимбабве. Так что, несмотря на всю исключительность пользователей Apple и стремительно растущий рынок, основную выручку антивирусным вендорам пока еще делают все-таки пользователи Windows и корпоративные клиенты.
В нашем многоквартирном доме проживает пожилая женщина, Клавдия Николаевна, которую все мы привыкли называть Баба Клава. Баба Клава — очень милая и общительная пенсионерка, ветеран труда, всю жизнь отработавшая инженером в каком-то НИИ. И есть у Бабы Клавы одно любопытное хобби, о котором она любит рассказывать, встречаясь с соседями на лестничной площадке возле лифта. Примерно полгода назад Баба Клава услышала по радиотрансляции о чудодейственном центре диагностики здоровья, в котором всемирно известный врач-профессор вселенских наук при помощи нанотехнологий и компьютера рассказывает пациентам об одолевающих их болезнях. Баба Клава сходила на прием, узнала о том, что ее жизни угрожает радикулит, артроз, плоскостопие и сердечная недостаточность, после чего накупила на всю пенсию у чудо-доктора волшебных скляночек с лекарствами от любых хворей. «Лекарства» на удивление не помогли, поэтому через месяц Баба Клава взяла денег у дочери и купила скляночек уже примерно на три с половиной пенсии. Все наши советы о том, что не следует верить навязчивой рекламе, Баба Клава отметала на корню: радио не может врать! Это же радио! Еще через месяц соседка взахлеб рассказывала о чудо-пластине, которая, стоит приложить ее к больному месту, незамедлительно выпрямляет карму и исправляет биополе на наномолекулярном уровне. Ей эта пластина очень помогла. И стоит недорого: всего полторы пенсии. Правда, на еду теперь почему-то не хватает. Но диво-пластину рекламировали в центральной газете, а газеты обманывать не станут! Еще по телевизору показывали диво-прибор, созданный по конверсионным инопланетным технологиям, который при включении благотворно воздействует на тонкую структуру пространства, гармонизируя волновые функции информационного вакуума. Баба Клава планирует купить прибор на следующей неделе. Денег займет у внучки. С пенсии отдаст.
Так вот, некоторые пользователи Apple чем-то напоминают мне Бабу Клаву, безоговорочно верящую во все рекламные и маркетинговые посулы. Мошенники облапошивают Бабу Клаву снова и снова, и она вновь доверчиво несет им свои сбережения, потому что верит серьезным «профессорам» из телевизора и газет. Она брезгливо отмахивается от всех доводов о том, что никакого «информационного вакуума» не существует в природе, равно как не существует абсолютно безопасных и не содержащих ошибок операционных систем. Ее убедили в обратном. И она верит. А все вокруг плетут вселенский заговор и желают ей зла.
То, что вирусописатели всерьез заинтересовались MacOS X — это серьезный признак роста популярности системной платформы. Ни один создатель троянцев не станет писать вредоносное ПО под непопулярную ОС: чем больше число пользователей, тем выше шанс заразить чью-либо машину. Чистая математика, ничего личного. И эпидемия BackDoor.Flashback.39 — признак того, что MacOS X перешагнула некий незримый рубеж между «игрушкой для избранных» и «массовой системной платформой». Совсем недавно то же самое произошло с Android. И это естественный процесс, начавшийся еще в момент перехода Apple на аппаратную платформу x86.
Никто не заставляет пользователей Apple устанавливать на свои машины антивирусные решения (тем более что большинство из них — бесплатны), однако набирающая обороты популярность системы в сочетании с нежеланием ее хоть как-то защитить — слишком лакомый кусок для злоумышленников. Вряд ли среднестатистический правонарушитель пройдет мимо богато обставленной квартиры, хозяева которой по идеологическим соображениям не желают запирать входную дверь на замок. А это означает только одно: в ближайшем будущем нас ждут очередные эпидемии вредоносных программ под MacOS X. И с каждым днем подобных угроз будет становиться все больше. Добро пожаловать в новый дивный мир.