研究人員把國家級macOS惡意程式納為己用

曾在美國國安局（NSA）任職，之後擔任Jamf首席安全研究人員的Patrick Wardle，在上周於舊金山舉行的RSA安全會議上，說明如何將利用國家資源開發的macOS惡意程式納為己用，只要花費少少的力氣，就能使用專家所打造的惡意程式。

Wardle借用並改編了藝術家畢卡索的名言：「好的駭客（藝術家）抄襲，偉大的駭客（藝術家）剽竊」來闡明他的立場。他認為，與其問說為什麼要剽竊他人打造的惡意程式，不如問說「為何不？」（Why Not？）

美國中情局、國安局與其它14家美國的情報組織在2018年的總經費為594億美元，而美國軍方的情報經費則是221億美元，在這麼多的預算下，它們所打造的macOS惡意程式不但具備豐富的功能，還經過完整的測試，不只是美國情報單位，擁有更多預算的APT及網路駭客集團，也都有能力撰寫出更好的惡意程式。

事實上，由吹哨者Edward Snowden公布的NSA文件顯示，NSA持續監控諸如卡巴斯基等外國資安業者的流量，也攔截重要文件，包括由研究人員針對防毒軟體漏洞所撰寫的惡意程式，NSA即指示有關部門可重新利用這些惡意程式，同時以它們來檢查資安業者的防毒軟體，是否還存在相關漏洞。

此外，在NSA的工具外流之後，中國的情報機關也利用這些工具，來攻擊美國的盟友。

因此，Wardle指出，政府機關能做這樣的事，那駭客也可以。即使缺乏惡意程式的原始碼，但從惡意程式的行為，可以找到所有有關的邏輯，進而理解命令暨控制（C&C）伺服器的協定，繼之拼湊它們，再建立自己的C&C伺服器，然後避免遭到防毒軟體的偵測，就能將這些由專家打造的惡意程式納為己用。

經過初步的改造之後，惡意程式就會將情報回傳給Wardle所建立的C&C伺服器，等於接管了惡意程式的控制權，並可加載自己需要的惡意功能，節省從頭開發強大惡意程式的時間與成本。

它還可能有兩個額外的好處，一是入侵已被另一方駭客嚴密控管的環境，二是當受害者逮到惡意程式時，追蹤到的也許是原始駭客，而非Wardle。

由於Jamf主要開發蘋果平台的企業管理軟體，也使得Wardle的研究只著重於macOS平台。