Кибершпионская команда, базирующаяся, вероятно, в России, использовала уязвимость нулевого дня в Windows для атак на различные организации в нескольких странах, включая США, Польшу, Украину и Западную Европу. Уязвимость, которая была исправлена Microsoft в этот вторник патчей, легко эксплуатируема, и, по словам исследователей, команда, стоящая за атакой, использовала уязвимость начиная с августа для доставки зловреда BlackEnergy.

Исследователи из iSIGHT Partners сообщили, что команда, которую они назвали Sandworm, скорее всего, действовала с 2009 года и использовала Windows-уязвимость CVE-2014-4114 в сочетании с серией других уязвимостей, чтобы скомпрометировать пользователей из правительственных агентств, НАТО, исследовательских институтов, телекоммуникационных, военных и энергетических компаний. Злоумышленники используют точно нацеленные фишинговые письма, чтобы вынудить пользователей открыть файл PowerPoint, содержащий код, эксплуатирующий уязвимость. Как только эксплойт запускается, он загружает зловред BlackEnergy и начинает собирать важные данные для отправки владельцам.

Исследователи из iSIGHT сообщили, что зловред крадет документы, SSL-ключи и сертификаты для подписания кода помимо других вещей. Windows-уязвимость нулевого дня имеется во всех поддерживаемых в данный момент версиях Windows, и, как сообщили исследователи, эксплуатировать ее крайне просто. Эксплойт-код может быть загружен в любой документ Office, и, когда он исполняется, система не рушится, поэтому пользователь чаще всего остается в неведении об атаке.

«Это крайне легко повторить. Эксплойт требует низкого уровня технических знаний», — сказал Дрю Робинсон, старший технический аналитик из iSIGHT.

Исследователи из iSIGHT сообщили Microsoft об этой уязвимости 5 сентября, а также начали оповещать своих партнеров и клиентов в различных отраслях об идущей кампании Sandworm.

Целевые фишинговые письма, отправляемые жертвам, сконструированы так, чтобы вызывать интерес получателей, как, например, документы, предназначенные для участников конференции GlobeSec. Другие документы нацелены на пользователей из определенных стран, таких как Польша и Украина, сказал Робинсон. Исследователи iSIGHT сообщили, что с августа компания наблюдала около 12 организаций, атакованных этой уязвимостью нулевого дня. В каждом случае результатом атаки была установка BlackEnergy, известного троянца, использующегося в различных атаках на протяжении ряда лет.

sandworm_targets

«Все, что мы видели, — это BlackEnergy, — сказал Робинсон. — Возможно, он выбран из-за своей модульности, злоумышленники с его помощью могут делать на компьютерах жертв все, что захотят».

BlackEnergy претерпел несколько обновлений, и iSIGHT сообщила, что Sandworm использует BlackEnergy 2, промежуточную версию, которая обладает и DDoS-функциями, и способностью красть финансовые учетные данные.

Исследователи из «Лаборатории Касперского» долгое время наблюдали атаки BlackEnergy 2, и Алекс Гостев, главный антивирусный эксперт Центра глобальных исследований и анализа (Global Research and Analysis Team, GReAT) «Лаборатории Касперского», сообщил, что идентифицировать этих злоумышленников как русских несколько преждевременно.

«Число кибершпионских операций растет от месяца к месяцу. Некоторые из этих операций выделяются по ряду признаков: хитроумное вредоносное программное обеспечение, навыки киберпреступников или ресурсы, позволяющие им продолжать кибершпионские действия на протяжении долгого времени или покупать дорогие уязвимости нулевого дня. Любое из вышеперечисленного может сигнализировать, что шпионская операция связана со структурами, контролируемыми государством, но доказать эту связь крайне сложно, и это работа скорее следственных органов, нежели компаний, занимающихся информационной безопасностью», — сказал Гостев.

«Киберпреступники могут оставлять следы, указывающие на то, что они говорят на каком-то определенном языке или принадлежат определенной этнической группе, чтобы сбить сыщиков со следа. Более того, люди во многих постсоветских странах общаются на русском языке, особенно в сфере информационных технологий. Так что делать выводы о «русском» следе, основываясь на этом доказательстве, опрометчиво. Также и файлы/документы, на которые охотятся киберпреступники, не дают оснований для окончательных выводов» — заявил Гостев.

Команда, использующая уязвимость CVE-2014-4114, действует на протяжении нескольких лет, и, как сообщили исследователи iSIGHT, недавно обнаруженные атаки имеют схожие черты с более старыми операциями и в прошлом были замечены за использованием традиционных криминальных тактик. Инфраструктура, используемая командой Sandworm в последних атаках, также в некоторых случаях пересекается с узлами, использованными в других операциях. Робинсон сообщил, что команда Sandworm, скорее всего, базируется в России, этот вывод сделан на основе выбора целей группы, применения BlackEnergy и технических деталей атак.

Несмотря на некоторые схожие черты, исследователи iSIGHT заявили, что команда Sandworm, похоже, не связана с авторами Energetic Bear, которые недавно были замечены в других APT-кампаниях.

Изображение любезно предоставлено Mark Skeet

Категории: Главное, Уязвимости, Хакеры