Computerworld News Service: Mere end 600.000 Mac-computere kan være koblet sammen til et stort botnet, lyder det fra det russiske it-sikkerhedsfirma, Doctor Web.
De store sikkerhedsfirmaer er enige i vurderingen.
"Selv om tallet er meget stort, så lader det til at være korrekt," siger Roel Schouwenberg, der er senior researcher hos den russiske producent af antivirussoftware Kaspersky Lab.
Han tilføjer, at den metode, som det mindre kendte russiske it-sikkerhedsfirma Doctor Web anvender, ser ud til at være velfunderet.
Onsdag i sidste uge offentliggjorde Doctor Web det estimat, at mere end en halv million Mac-computere er inficeret med trojaneren Flashback.
Største botnet på Mac
Trojaneren installeres via et såkaldt drive by-angreb, der foregår ved, at brugerne blot besøger et kompromitteret website.
Alle disse inficerede computere kaldes samlet et botnet og udgør således det største botnet på Mac.
Det lykkedes Doctor Web at "sinkhole" en del af Flashback-botnettet - det vil sige at kapre nogle af de domæner, der bruges til at udsende kommandoer til de inficerede computere - og beregnede botnettets samlede størrelse ved at tælle UUID'er (universally unique identifiers), som Mac OS X oplyser til kontrolserverne.
Dagen efter hævede Doctor Web estimatet til lige over 613.000 individuelle Mac-computere.
Flere botnet bestående af Windows-pc'er har været langt større - Conficker kaprede for eksempel millioner af maskiner - men størrelsen af dette Flashback-botnet er uden fortilfælde på Mac OS X.
Der er sandsynligvis ikke grund til at betvivle det estimerede antal inficerede Macs, påpeger adskillige eksperter, der arbejder i it-sikkerhedsbranchen, i interviews foretaget i sidste uge af Computerworlds amerikanske søstermedie.
Den vurdering bakkes op af forskellige omstændigheder, der alle tyder på, at Flashback meget vel kan have været så succesfuld.
Derfor kunne det gå så galt
Blandt disse indicier fremhæver eksperterne Flashback-bagmændenes udnyttelse af en 0-dagssårbarhed i Java, som først blev rettet af Apple i sidste uge, deres anvendte taktik samt tilgængeligheden af webbaserede hackerværktøjer, der er uafhængige af styresystem.
"Der skete en masse ting på samme tid," siger Mike Geide, der er senior security researcher hos Zscaler ThreatLabZ.
"Der har været masse-kompromitteringer af websites baseret på WordPress, hvor kontrolserverne passer på den domænestruktur, som Doctor Web beskriver. Det har foregået i hvert fald siden først i marts."
Omdirigeret
WordPress er et populært open source CMS og blogging-platform, der anvendes af omtrent hvert syvende website.
De kompromitterede WordPress-websites har omdirigeret brugerne til skadelige URL'er, hvor hackere har hostet exploit-kittet Blackhole.
Blackhole forsøger en række forskellige angreb, heriblandt adskillige der udnytter fejl i Java på Mac.
Det er det meget store antal websites baseret på WordPress samt omfanget af hacker-kampagnen mod disse websites, der gør det teoretisk muligt for hackerne at have inficeret flere end 600.000 Mac-computere.
"Det er et helt rimeligt estimat," siger Brett Stone-Gross, der er security researcher i Counter Threat Unit hos Dell SecureWorks, der er kendt for sin ekspertise inden for botnets.
"Jeg er faktisk overrasket over, at Macs ikke oftere er mål for angreb," tilføjer Stone-Gross.
Inkluderer exploits
"De tilgængelige værktøjer inkluderer exploits, der let kan modificeres til at fungere mod ethvert styresystem og i særlig grad styresystemer med sårbarheder i Java, Flash Player og anden software, der kører på ethvert styresystem. De er alle sårbare overfor de samme angreb."
Ingen af de interviewede eksperter eller virksomheder kunne dog endegyldigt bekræfte Doctor Webs estimat.
Det ville kræve den samme form for adgang til Flashbacks såkaldte command and control-infrastruktur, som det russiske firma hævder at have opnået.
Men adskillige virksomheder heriblandt Kaspersky, SecureWorks og Symantec oplyser at arbejde på sagen.
"Med et sinkhole kan man danne sig et mere detaljeret billede af botnettets størrelse," fortæller Liam O Murchu, der er chef hos Symantecs security response-team.
"Men der er også andre måder, som vi kan bruge til at få noget at vide om sådanne store botnet."
Måske også Windows-bots
Det er dog ikke alle eksperter, der bakker uforbeholdent op om Doctor Webs estimat.
"Vi er ikke sikre på, at alle 500K Flashback-bots er Mac-brugere," skriver Aleks Gostov, der er chief security expert hos Kaspersky, på Twitter.
"Jeg har en mistanke om, at der også er Windows-bots med i billedet."
Gostov baserer tilsyneladende denne mistanke på, at Windows oplyser GUID'er (globally unique identifiers), hvilket er Microsofts implementering af UUID-standarden.
Hvis Doctor Web ikke har været i stand til korrekt at analysere den hexadecimale streng, der repræsenterer GUID/UUID, så kan firmaet uforvarende have talt Windows-pc'er med i det estimerede antal Mac-computere.
Oversat af Thomas Bøndergaard