Exploit dla Adobe Flash został wykorzystany w celu dostarczania oprogramowania spyware

Omawiana luka dnia zerowego, CVE-2017-11292, została zidentyfikowana w „żywym” ataku. Badacze z Kaspersky Lab zalecają firmom i organizacjom rządowym natychmiastowe zainstalowanie aktualizacji firmy Adobe.

Badacze uważają, że stojące za tym atakiem ugrupowanie stosowało również CVE-2017-8759 - inną lukę dnia zerowego, która została ujawniona we wrześniu - i są przekonani, że w incydent zamieszane jest ugrupowanie o nazwie BlackOasis, które Globalny Zespół ds. Badań i Analiz Kaspersky Lab (GReAT) zaczął śledzić w 2016 r.

Analiza ujawniła, że w wyniku skutecznego wykorzystania luki na atakowanym komputerze zostaje zainstalowany szkodnik FinSpy (znany również jako FinFisher). FinSpy to komercyjne szkodliwe oprogramowanie, które rządy i organy ścigania nabywają do celów inwigilacyjnych. W przeszłości szkodnik ten był wykorzystywany głównie na poziomie krajowym, służąc organom ścigania do inwigilacji lokalnych celów. BlackOasis stanowi tu znaczące odstępstwo, wykorzystując szkodnika przeciwko różnorodnym celom na całym świecie. Można przypuszczać, że FinSpy zasila globalne operacje wywiadowcze, w których jest wykorzystywany przez jedno państwo przeciwko innemu. Firmy tworzące oprogramowanie do inwigilacji takie jak FinSpy umożliwiają tego rodzaju wyścig zbrojeń.

Wykorzystany w ataku szkodnik to najnowsza wersja oprogramowania FinSpy, wyposażona w liczne techniki utrudniające analizę kryminalistyczną. Po zainstalowaniu szkodnik zagnieżdża się w atakowanym komputerze i łączy się ze swoimi serwerami kontroli zlokalizowanymi w Szwajcarii, Belgii oraz Holandii, aby czekać na dalsze polecenia i wyprowadzać dane.

Kaspersky Lab ocenia, że przedmiotem zainteresowania ugrupowania BlackOasis jest cały wachlarz osób związanych z polityką Bliskiego Wschodu, łącznie ze znaczącymi osobistościami w ONZ, blogerami i aktywistami opozycyjnymi, jak również regionalnymi korespondentami informacyjnymi. W 2016 r. badacze z firmy zauważyli spore zainteresowanie Angolą, czego przykładem były stanowiące przynętę dokumenty wskazujące na cele mające podejrzane związki z ropą, praniem brudnych pieniędzy oraz inną działalnością. Atakujący są również zainteresowani międzynarodowymi aktywistami i zespołami ekspertów.

Jak dotąd ofiary ugrupowania BlackOasis zostały zidentyfikowane w następujących państwach: Rosja, Irak, Afganistan, Nigeria, Libia, Jordania, Tunezja, Arabia Saudyjska, Iran, Holandia, Bahrajn, Wielka Brytania i Angola.

"Atak przy użyciu wykrytego niedawno exploita dnia zerowego to już trzeci w tym roku przypadek rozprzestrzeniania narzędzia FinSpy w taki sposób. Wcześniej ugrupowania stosujące tego rodzaju szkodliwe oprogramowanie wykorzystywały do swoich celów krytyczne luki w produktach Microsoft Word i Adobe. Uważamy, że liczba ataków z użyciem oprogramowania FinSpy, wspomaganych exploitami dnia zerowego jak ten opisywany tutaj, nadal będzie rosła" - powiedział Anton Iwanow, analityk szkodliwego oprogramowania, Kaspersky Lab.

Eksperci zalecają organizacjom, aby podjęły następujące działania w celu zapewnienia ochrony swoim systemom i danym przed tym zagrożeniem:

- Używaj rozszerzenia Flash tylko w przypadkach, w których jest ono niezbędne, a jeżeli przypadki takie nie występują, odinstaluj je.

- Zastosuj zaawansowane, wielowarstwowe rozwiązanie bezpieczeństwa, które chroni wszystkie sieci, systemy i punkty końcowe.

- Zapoznaj personel z metodami socjotechniki, ponieważ mechanizm ten jest często wykorzystywany w celu nakłonienia ofiary do otwarcia zainfekowanego dokumentu lub kliknięcia zainfekowanego odsyłacza.

- Przeprowadzaj regularne oceny bezpieczeństwa infrastruktury IT organizacji.

- Korzystaj z usługi analizy zagrożeń, która umożliwia śledzenie cyberataków, incydentów lub zagrożeń oraz zapewnia klientom aktualne i istotne informacje, które nie są im znane.