Το προηγμένο σύστημα πρόληψης exploit της Kaspersky Lab εντόπισε ένα νέο zero day exploit του Adobe Flash, που χρησιμοποιήθηκε σε μια επίθεση στις 10 Οκτωβρίου από έναν απειλητικό φορέα που είναι γνωστός ως BlackOasis. Το exploit παραδίδεται μέσω ενός εγγράφου Microsoft Word και αναπτύσσει το κακόβουλο λογισμικό του προγράμματος FinSpy. Η Kaspersky Lab έχει αναφέρει την ευπάθεια στην Adobe, η οποία εξέδωσε σχετικό συμβουλευτικό οδηγό.
Σύμφωνα με τους ερευνητές της Kaspersky Lab, το zero day CVE-2017-11292, έχει εντοπιστεί σε μία live επίθεση και συμβουλεύουν τις επιχειρήσεις και τους κυβερνητικούς οργανισμούς να εγκαταστήσουν αμέσως την ενημερωμένη έκδοση από την Adobe.
Οι ερευνητές θεωρούν ότι η ομάδα που κρύβεται πίσω από την επίθεση είναι επίσης υπεύθυνη για ακόμα ένα zero day, το CVE-2017-8759, που αναφέρθηκε τον Σεπτέμβριο και είναι αισιόδοξοι ότι ο εμπλεκόμενος απειλητικός φορέας είναι ο BlackOasis, τον οποίο η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab άρχισε να παρακολουθεί το 2016.
Η ανάλυση αποκαλύπτει ότι, μετά την επιτυχή εκμετάλλευση της ευπάθειας, το κακόβουλο λογισμικό FinSpy (επίσης γνωστό ως FinFisher) εγκαθίσταται στον υπολογιστή – στόχο. Το FinSpy είναι ένα κακόβουλο λογισμικό που διατίθεται προς πώληση, τυπικά σε κράτη και σε υπηρεσίες επιβολής του νόμου. Στο παρελθόν, η χρήση κακόβουλου λογισμικού ήταν κυρίως εσωτερική, με τις υπηρεσίες επιβολής του νόμου να το αναπτύσσουν για επιτήρηση τοπικών στόχων. Ο BlackOasis αποτελεί μία σημαντική εξαίρεση σε αυτό — χρησιμοποιώντας το ενάντια σε μία διευρυμένη γκάμα στόχων σε παγκόσμιο επίπεδο. Αυτό φαίνεται να υποδηλώνει ότι το FinSpy τροφοδοτεί τώρα τις παγκόσμιες επιχειρήσεις πληροφοριών, με μία χώρα να το χρησιμοποιεί εναντίον άλλης. Οι εταιρείες που αναπτύσσουν λογισμικό παρακολούθησης, όπως το FinSpy, καθιστούν δυνατή αυτήν την “κούρσα εξοπλισμών”».
Το κακόβουλο λογισμικό που χρησιμοποιήθηκε στην επίθεση είναι η τελευταία έκδοση του FinSpy, το οποίο είναι εξοπλισμένο με πολλαπλές τεχνικές που καθιστούν δυσκολότερη την εγκληματολογική ανάλυση.
Μετά την εγκατάσταση, το κακόβουλο λογισμικό δημιουργεί ένα «σημείο στήριξης» στον επιτιθέμενο υπολογιστή και συνδέεται με τους command and control servers που βρίσκονται στην Ελβετία, τη Βουλγαρία και την Ολλανδία αναμένοντας περισσότερες οδηγίες και πραγματοποιώντας εκδιήθηση δεδομένων.
Με βάση την αξιολόγηση της Kaspersky Lab, τα ενδιαφέροντα του BlackOasis καλύπτουν μια ολόκληρη γκάμα στοιχείων που εμπλέκονται στην πολιτική της Μέσης Ανατολής, συμπεριλαμβανομένων σημαντικών στοιχείων των Ηνωμένων Εθνών, αντιπάλων bloggers και ακτιβιστών, καθώς και ανταποκριτές ειδήσεων σε περιφερειακά Μέσα. Φαίνεται επίσης ότι δείχνουν ενδιαφέρον για καθετοποιημένες παροχές ιδιαίτερης σημασίας για την εκάστοτε περιοχή. Κατά τη διάρκεια του 2016, οι ερευνητές της εταιρείας παρακολούθησαν έντονο ενδιαφέρον για την Αγκόλα, με παραδείγματα δελεαστικών εγγράφων που υποδεικνύουν στόχους με πιθανολογούμενους δεσμούς με το πετρέλαιο, το ξέπλυμα χρήματος και άλλες δραστηριότητες. Υπάρχει επίσης ενδιαφέρον για διεθνείς ακτιβιστές και think tanks.
Μέχρι στιγμής, θύματα του BlackOasis έχουν εντοπιστεί στις ακόλουθες χώρες: Ρωσία, Ιράκ, Αφγανιστάν, Νιγηρία, Λιβύη, Ιορδανία, Τυνησία, Σαουδική Αραβία, Ιράν, Ολλανδία, Μπαχρέιν, Ηνωμένο Βασίλειο και Αγκόλα.
«Η επίθεση χρησιμοποιεί το πρόσφατα ανακαλυφθέν zero-day exploit και είναι η τρίτη φορά που βλέπουμε φέτος τη διανομή του FinSpy μέσω εκμεταλλεύσεων zero-day ευπαθειών. Προηγουμένως, οι φορείς που ανέπτυσσαν αυτό το κακόβουλο λογισμικό εκμεταλλεύονταν κρίσιμα ζητήματα στα προϊόντα Microsoft Word και Adobe. Πιστεύουμε ότι ο αριθμός των επιθέσεων που βασίζονται στο λογισμικό FinSpy, υποστηριζόμενο από zero day exploits, όπως αυτή που περιγράφεται εδώ, θα συνεχίσει να αυξάνεται», δήλωσε ο Anton Ivanov, Lead Malware Analyst της Kaspersky Lab.
Οι λύσεις ασφάλειας της Kaspersky Lab εντοπίζουν με επιτυχία και εμποδίζουν τα exploits που χρησιμοποιούν την προσφάτως εντοπισμένη ευπάθεια.
Οι ειδικοί της Kaspersky Lab συμβουλεύουν τους οργανισμούς να λάβουν τα ακόλουθα μέτρα για την προστασία των συστημάτων και των δεδομένων τους από την απειλή αυτή:
- Αν δεν έχει ήδη εφαρμοστεί, χρησιμοποιήστε τη λειτουργία killbit για το λογισμικό Flash και, αν είναι δυνατόν, απενεργοποιήστε το πλήρως.
- Εφαρμόστε μια προηγμένη λύση ασφάλειας πολλαπλών στρωμάτων που καλύπτει όλα τα δίκτυα, τα συστήματα και τα τερματικά σημεία.
- Επιμορφώστε και εκπαιδεύστε το προσωπικό επάνω σε τακτικές κοινωνικής μηχανικής, καθώς αυτή η μέθοδος χρησιμοποιείται συχνά για να οδηγήσει ένα θύμα να ανοίξει ένα κακόβουλο έγγραφο ή να κλικάρει ένα «μολυσμένο» link.
- Διεξάγετε τακτικές αξιολογήσεις ασφάλειας της υποδομής Πληροφορικής του οργανισμού.
- Χρησιμοποιήστε τις υπηρεσίες Πληροφόρησης Απειλών της Kaspersky Lab, οι οποίες παρακολουθούν ψηφιακές επιθέσεις, περιστατικά ή απειλές και παρέχουν στους πελάτες ενημερωμένες πληροφορίες. Μάθετε περισσότερα στο intelreports@kaspersky.com.
Για τεχνικές λεπτομέρειες, συμπεριλαμβανομένων δεικτών συμβιβασμού και κανόνων YARA, μπορείτε να διαβάσετε το blogpost στον ειδικό ιστότοπο Securelist.com.