Nový exploit v Adobe Flash byl k útoku využit 10. října skupinou BlackOasis. Je šířen prostřednictvím Microsoft Word dokumentu, který obsahuje komerční malware FinSpy. Společnost Kaspersky Lab tuto zranitelnost nahlásila Adobe.
Podle Kaspersky Lab byl zero day CVE-2017-11292 zpozorován v živém útoku. Proto doporučují všem firmám a vládním organizacím okamžitou instalaci aktualizace od Adobe.
Odborníci jsou přesvědčeni, že skupina stojící za tímto útokem je také zodpovědná za zářijový zero day útok CVE-2017-8759. Jsou si také jistí, že daným pachatelem je skupina BlackOasis, kterou tým Kaspersky Lab sleduje od roku 2016.
Analýza ukázala, že po úspěšném zneužití zranitelnosti dojde k nainstalování malwaru FinSpy (také známého jako FinFisher) do napadeného počítače. FinSpy je komerční malware, který je obvykle prodáván státům a orgánům činným v trestním řízení za účelem sledování. V minulosti docházelo pouze k lokálnímu využití tohoto malwaru, kde jej orgány využívaly pro prosazování práva a sledování. BlackOasis však představuje významnou výjimku, protože malware používá proti nejrůznějším cílům po celém světě. Dá se tak předpokládat, že FinSpy v současnosti stojí za globálními zpravodajskými operacemi, kdy ho jedna země používá proti jiné.
Malware využitý v útoku je nejnovější verzí FinSpy, která je vybavena řadou anti-analysis technologií, které znesnadňují forenzní analýzu.
Po instalaci se malware usadí v počítači a připojí ke svým C&C serverům ve Švýcarsku, Bulharsku a Nizozemí. Poté vyčkává na další příkazy a vynáší data.
Z analýzy vyplývá, že se skupina BlackOasis zajímá o celou řadu osobností, které se podílejí na politice na Středním východě. Mezi ně patří významní jedinci z řad OSN, opoziční blogeři a aktivisté nebo regionální zpravodajci. Zdá se, že mají rovněž zájem o média, která mají v dané oblasti zvláštní význam. V průběhu roku 2016 zaznamenali experti také zvýšený zájem o oblast Angoly, což dokládají dokumenty poukazující na podezřelé vazby ropných společností, praní špinavých peněz a další aktivity. Pozornost je také soustředěna na mezinárodní aktivisty a think-tanky.
Doposud byly oběti BlackOasis zaznamenány v následujících zemích: Rusko, Irák, Afghánistán, Nigérie, Libye, Jordánsko, Tunisko, Saudská Arábie, Írán, Nizozemsko, Bahrajn, Velká Británie a Angola.
„Tento nově objevený útok využívající zero day exploit je v tomto roce již třetím případem, kdy je FinSpy distribuován skrz exploity do zranitelností zero day. Dříve útočníci zneužívali pro distribuci malwaru kritické zranitelnosti Microsoft Wordu a produktů Adobe. Obáváme se, že počet útoků prostřednictvím FinSpy softwaru podpořených zero-day exploity, jako tomu je v tomto případě, bude nadále stoupat,“ říká Anton Ivanov, vedoucí malwarový analytik společnosti Kaspersky Lab.
Aby firemní systémy a data zůstala v bezpečí před touto hrozbou, doporučují odborníci Kaspersky Lab následující opatření:
- Pokud nebyla doposud implementována, použijte funkci killbit pro software Flash a pokud je to možné, úplně jej deaktivujte.
- Implementujte pokročilé, vícevrstvé bezpečnostní řešení, které ochrání všechny sítě, systémy a koncová zařízení.
- Proškolte své zaměstnance v oblasti taktiky a metod sociálního inženýrství, které jsou často využívány k tomu, aby oběti přiměly k otevření infikovaných odkazů či dokumentů.
- Provádějte pravidelné bezpečnostní kontroly své IT infrastruktury.
Autor: Petr Smolník, šéfredaktor