حدد باحثو الأمن قطعة جديدة من البرامج الضارة OS X التي قد تأتي من Hacking Team ، الشركة الإيطالية المثيرة للجدل التي تبيع برامج المراقبة للحكومات.
البرمجيات الخبيثة هي "قطارة" تُستخدم لزرع برامج أخرى على الكمبيوتر. في هذه الحالة ، يبدو أنه يهدف إلى تثبيت نظام التحكم عن بعد (RCS) لفريق الاختراق.
"يستخدم القطارة تقريبًا نفس الأساليب التي تستخدمها نماذج RCS Team Hacking Team القديمة تقريبًا ، والرمز الخاص بها هو نفسه تقريبًا" كتب بيدرو فيلاكا ، خبير أمان OS X مع SentinelOne ، على مدونته.
من الصعب تحديد ما إذا كان فريق القرصنة يستخدم القطارة أم أن شخصًا آخر قد أخذ الرمز وأضاف بعض التحسينات. عانى فريق القرصنة أ خرق البيانات المدمر في يوليو 2015 الذي شهد إصدار 400 غيغابايت من البيانات ، بما في ذلك شفرة المصدر ومآثر.
كتب فيلاكا: "إما أن تكون هذه عينة قديمة أو أن HackingTeam لا يزال يستخدم نفس قاعدة الكود كما كان قبل الاختراق".
تم تحميل شكلين مختلفين من الرمز قبل حوالي ثلاثة أسابيع إلى VirusTotal ، خدمة المسح المجانية من Google. في ذلك الوقت ، لم تكتشف أي منتجات مكافحة الفيروسات الرمز.
أحد التحسينات هو أن البرامج الضارة تستخدم نظام تشفير OS X الأصلي من Apple وطريقة تعبئة مخصصة ،
كتب باتريك Wardle ، مدير البحوث مع Synack.كتبت فيلاكا أنها تستخدم أيضًا حيلة مكافحة التصحيح لجعل التحليل من قبل الباحثين الأمنيين أكثر صعوبة. ومع ذلك ، لم تكن فيلاكا مكملة للعينة الجديدة.
وكتب "حتى الآن ، لا شيء مذهل". "إما أن تكون هذه عينة قديمة أو لا يزال HackingTeam يستخدم نفس قاعدة التعليمات البرمجية كما كان قبل الاختراق."
اتهمت مجموعات الخصوصية وحقوق الإنسان في الماضي فريق القرصنة ببيع برمجياتها إلى الحكومات ذات سجلات حقوق الإنسان السيئة.
تضمنت البيانات المسربة قائمة عملاء وأشارت إلى أن فريق القرصنة له علاقات مع الحكومات مثل أذربيجان والبحرين ومصر وإثيوبيا وكازاخستان والمغرب ونيجيريا وعمان والمملكة العربية السعودية و السودان.
ظلت الشركة متحدية بعد القرصنة ، قائلة إنها لم تبيع أدوات للحكومات بشكل غير قانوني. على الرغم من هذا الخرق الكبير للبيانات ، لا يزال فريق القرصنة في العمل.