Panašiai, kaip ir kitų operacinių sistemų įveikimo priemonės, „MacOS“ laužymui skirtas „Xagent“ yra modulinės „galinės durys“, kurios gali būti modifikuojamos taip, kad tiksliai atitiktų kiekvieno konkretaus įsilaužimo tikslus, skelbia kibernetinio saugumo bendrovė „BitDefender“, išanalizavusi naujausią rusų programišių produktą. „Xagent“ gali vogti prisijungimo duomenis, fiksuoti ekrano atvaizdus, vogti „iOS“ duomenų atsargines kopijas, saugomas „nulaužtame“ „Mac“ kompiuteryje.
Naujausias atradimas papildo ir taip solidų arsenalą įrankių, kuriuos sukūrė programišių grupuotė APT28, dar vadinama „Sofacy“, „Sednit“, „Fancy Bear“, „Pawn Storm“. Anot „CrowdStrike“ ir kitų saugumo bendrovių specialistų, APT28 veiklą vykdo bent nuo 2007 metų, ji yra glaudžiai susijusi su Rusijos vyriausybe. Praėjusiais metais „BitDefender“ atlikta APT28 veiklos analizė parodė, kad šios grupuotės nariai tarpusavyje bendrauja rusiškai, dirba daugiausiai Rusijos darbo valandomis, daugiausiai atakuoja taikinius Ukrainoje, Ispanijoje, Rusijoje, Rumunijoje, JAV ir Kanadoje.
„Ankstesnės atvejų, kurios aiškiai susietos su APT28 grupe, analizės parodė daugybę panašumų tarp „Sofacy“/APT28/„Sednit“/„Xagent“ komponentų, skirtų „Windows“/„Linux“ ir „MacOS“ sistemoms, iš kurių pastaroji yra mūsų naujausio tyrimo objektas. Skirtingoms sistemoms skirtuose įrankiuose yra panašūs moduliai, tokie, kaip „FileSystem“, „KeyLogger“, „RemoteShell“, o taip pat panašus tinklo modulis, pavadintas „HttpChanel“, – rašo „BitDefender“ specialistai.
Dar vienas panašumas – tai „Xagent“ dvejetainiame kode rastas adresas, rodantis, kad jį sukūrė tie patys asmenys, kurie parašė ir „Komplex“ – pirmo lygo „Trojos arklio“ tipo virusą, kuriuo „Sofacy“ bando užkrėsti kompiuterius-taikinius. Rugsėjo mėnesį šį „Trojos arklį“ sugavo bendrovės „Palo Alto Networks“ specialistai. „BitDefender“ analitikai įtaria, kad ir „MacOS“ sistemai skirta „Xagent“ versija į kompiuterį patenka per „Komplex“ virusą.
Saugumo analitikai teigia aptikę tokių „Xagent“ modulių, kurie gali identifikuoti kompiuterio techninės ir programinės įrangos konfigūraciją, nustatyti paleistus procesus ir paleisti papildomus procesus, o taip pat gauti ekrano atvaizdus, rinkti prisijungimo duomenis, surenkamus interneto naršyklėje.
Tačiau vertinant iš šnipinėjimo perspektyvos svarbiausias modulis yra tas, kuris piktybinės įrangos paketo valdytojams leidžia atsisiųsti atsargines „iPhone“ duomenų kopijas, saugomas kompiuteryje.
