據報道，俄羅斯網絡間諜組織Snake最近將Windows后門程序移植到了MacOS。

Snake網絡間諜組織自2007年以來一直活躍。關于該組織，安全專家熟知的名字有Snake、Turla和Uroburos。據研究人員表示，Snake使用的惡意軟件與目前為止幾起最復雜的網絡間諜攻擊有關。這些惡意軟件主要針對軍事組織、政府實體、大使館、情報機構、大型公司以及研究和學術機構展開攻擊。

荷蘭網絡安全公司Fox-IT指出，與其它俄羅斯多產攻擊者(例如APT28和APT29)相比, Snake的代碼和基礎設施更為復雜，且針對的目標經過精心挑選。

Snake網絡間諜組織通常會針對Windows用戶，其惡意軟件框架最開始為Windows平臺創建。直到2014年，卡巴斯基實驗室的安全專家發現一個與Snake工具包相關的Linux組件，這表明這個網絡間諜組織正將活動擴大到其它平臺。

目前，Snake似乎對Mac用戶頗感興趣。

政、企機構應警惕!俄羅斯間諜組織Snake已將目標瞄準Mac用戶-E安全

不久前， Fox-IT公司的安全研究人員發現MacOS版本的Snake惡意軟件工具，這款工具是Windows版本的直接端口，因為它的開發文檔(Artefact)仍在代碼中提及Microsoft的Internet Explorer。

據Fox-IT專家稱，這款MacOS惡意軟件仍在開發或測試階段，并未在外大肆散播。不過，這正表明Snake正準備攻擊蘋果用戶，但這并不奇怪，畢竟MacBook在高管中的使用率相當高。

Fox-IT研究人員發現，Snake macOS樣本偽裝成Flash Player安裝程序，其簽名可能是盜用的經蘋果審核通過的開發者證書。這類代碼簽名證書由蘋果向開發項目的成員簽發，并且是在官方Mac應用商店上發布應用程序所需的證書。

但重點是，帶有蘋果開發者證書簽名的應用程序在安裝過程中不會彈出任何安全提示，并且macOS Gatekeeper安全功能也不會阻止其進行安裝。

無獨有偶，一個多星期以前，Check Point軟件技術公司的專家發現一款不同的MacOS惡意程序，這款惡意程序也帶有被盜蘋果證書的簽名。

Fox-IT研究人員就該問題已經提醒蘋果公司的安全團隊，他們很可能會撤銷證書。無論如何，考慮到Snake間諜組織的資源，或許他們會在不久的將來濫用另一個證書。