Чрез множество постове в Twitter, компанията заяви, че програмата за изтриване на данни е била „инсталирана на стотици машини в страната”. Всички сведения сочат, че атаката е била подготвяна през последните няколко месеца.

Викрам Такур от фирмата за киберсигурност Symantec, която също проучва атаките, сподели пред Reuters, че вижда активност в цяла Украйна и Латвия както и в Литва.

Все още не е ясно кой е отговорен за изтриването на данните, въпреки че поради настоящата обстановка всички подозрения падат върху Русия, която няколкократно е обвинявана, че извършва хакерски атаки срещу Украйна и други държави, с цел разбиване на данни. Русия от своя страна отхвърля обвиненията.

През последните няколко седмици Украйна се превърна в една от основните мишени на хакерите. Опасенията за изцяло нахлуване се оказват все по-верни, след като тази седмица Русия изпрати войски двата сепаратистки региона в Източна Украйна.

Множество есперти по киберсигурност се опитват да разберат от къде идва злонамерената програма. Копие на програмата е качено в притежавания от Alphabet сайт за групова киберсигурност VirusTotal, за да разкрият какви са нейните възможности. Това, което се знае до момента е, че злонамереният софтуер изглежда е бил цифрово подписан със сертификат, издаден на Hermetica Digital Ltd, кипърска компания.

Подписването на кодове е една от птрвите проверки, които операционните системи правят. При наличието на тази информация може да се създаде сертификат, който да помогне на хакерската програма да избегне антивирусните защити.

Според Брайън Кийм, вицепрезидент в американската фирма за киберсигурност ZeroFox, получаването на такъв сертификат под фалшив претекст или кражбата му е обикновено е признак на „изтънчен и целенасочен” оператор. В изявление, украинският орган за защита на данните съобщи, че хакерските атаки са в подем.

„Засилиха се фишинг атаките срещу публични органи и важна инфраструктура, разпространението на зловреден софтуер, както и опитите за проникване в мрежите на частния и публичния сектор и по-нататъшни разрушителни действия.”

През миналата седмица отделно проникване постави в риск онлайн мрежите на украинското министерство на отбраната и на две украински банки.

Марк Уорнър, Председателят на Комисията по разузнаване на Сената на САЩ, заяви пред Reuters, че действията за отказ на услуги (DDoS) срещу Украйна все още са „далеч от това, което Русия потенциално е възможно да стори”.

Зловредният скрипт се задейства всеки пък при изграждане на Xcode проект, инсталирайки LaunchAgent за рестартиране, а след това изтегля допълнителен полезен товар на име EggShell, който служи като заден вход към macOS.

Това става ясно от фирмата за сигурност SentinelOne, която анализира зловредния софтуер в доклад, споделен с The Record.

„Този заден вход има функционалност за записване на микрофона, камерата и клавиатурата на жертвата, както и възможността за качване и изтегляне на файлове“, казва Фил Стоукс, изследовател на зловреден софтуер за macOS в SentinelOne.

Той казва, че са успели да открият няколко екземпляза на EggShell, качени в уеб-базирания скенер за злонамерен софтуер VirusTotal, докато сървърната инфраструктура на XcodeSpy, която контролира LaunchAgent, е спряна.

Стоукс споделя, че SentinelOne за първи път е научила за този зловреден софтуер след съвет от анонимен изследовател, който е открил екземпляр на EggShell в мрежата на американска компания.

„Жертвата съобщи, че те многократно са обект на нападение от севернокорейци, използващи APT, и заразата  е излязла наяве при изпълнението на редовните дейности за откриване на заплахи“, казва Стоукс пред The ​​Record и добавя, че все пак не могат окончателно да свържат зловредния софтуер с операция на национална държава. „Част от нашата мотивация да публикуваме това сега, е да повишим осведомеността в кибер общността с надеждата да съберем повече информация. Предвид ограничените данни, с които разполагаме в момента, не можем да направим никакви заключения относно източника на заплахата“.

Стоукс настоятелно призовава всички разработчици на macOS да проверят своите Xcode проекти за наличие на злонамерени Run Scripts.

Екипът на SentinelOne предоставя команда, която може да помогне на разработчиците на софтуер на macOS да открият следи от злонамерени скриптове за изпълнение на XcodeSpy в своите проекти.