Criminelen misbruiken macOS-computers voor DDoS-aanvallen

Dat schrijft Zdnet op basis van eigen onderzoek en gesprekken met onderzoekers en een bron in de DDoS-wereld. De Remote Desktop-feature staat standaard uit op macOS-pc's. Schakelt een gebruiker de functie in dan wordt de achterliggende Apple Remote Management Service (ARMS) geactiveerd. Die wacht op de achtergrond op commando's om de pc te bedienen.

Cybercriminelen hebben een manier gevonden om toegang te krijgen tot de ARMS-techniek en er misbruik van te maken. macOS-computers met ARMS ingeschakeld kunnen op afstand gebruikt worden om DDoS-aanvallen door te sturen. Bij een DDoS-aanval verzenden vele gekaapte computers zoveel verkeer naar een computer, computernetwerk of site dat die tijdelijk niet of nauwelijks bereikbaar is.

Steeds meer van dit soort aanvallen

Het is niet duidelijk wie ontdekt heeft dat Apple's ARMS-techniek te misbruiken is voor DDoS-aanvallen. De eerste aanval via deze methode vond in juni plaats en had een piekverkeer van 70 Gbps. Dat is veel meer dan een gemiddelde DDoS-aanval. De zwaarste DDoS-aanval van 2018 had een piekverkeer van 345 Gbps. In de zomer zagen beveiligingsbedrijven meer DDoS-aanvallen via ARMS. En het worden er steeds meer, schrijft Zdnet op basis van een bron in de duistere DDoS-wereld. Een aantal zogeheten DDoS-booters zijn sinds kort namelijk compatibel met ARMS, waardoor het eenvoudiger is om macOS-pc's in te zetten voor dit type aanval. 

Systeembeheerders kunnen actie ondernemen

Volgens een speciale zoekmachine zijn er wereldwijd bijna 40 duizend macOS-systemen met ARMS geactiveerd. Deze pc's kunnen relatief eenvoudig misbruikt worden voor DDoS-aanvallen. Het leeuwendeel van de kwetsbare macOS-pc's zijn van onderwijsinstellingen en bedrijven. Systeembeheerders gebruiken de Remote Desktop-feature om op afstand eenvoudig grote aantallen iMacs en MacBooks te beheren. Beveiligingsonderzoekers raden systeembeheerders aan kritisch te kijken of de ARMS-techniek wel (altijd) aan moet staan. Zo ja, dan is het raadzaam om de functie alleen toegankelijk te maken via een VPN (virtual private network) of door IP-adressen van de organisatie te whitelisten. Dit verkleint de kans op DDoS-misbruik aanzienlijk.