Symantec: «За эксплуатацией 0-day стоит одна организация»

Эксперты обнаружили множество схожих черт в реализации нескольких эксплоитов для уязвимостей нулевого дня, обнаруженных в последнее время.

Зачастую вычислить группу злоумышленников, стоящих за эксплуатацией уязвимостей нулевого дня, очень сложно. Тем не менее, участившиеся в последнее время атаки с использованием брешей в Internet Explorer и Flash для внедрения вредоносного ПО одного семейства указывают на то, что хакеры применяли один и тот же набор эксплоитов – Elderwood.

Эксперты из Symantec обнаружили множество схожих черт в реализации нескольких эксплоитов для уязвимостей нулевого дня, обнаруженных в последнее время, среди них – использование набора эксплоитов Elderwood. Платформа Elderwood впервые была задокументирована в 2012 году в связи с вредоносной кампанией «Операция Aurora» , жертвой которой стала Google. С момента обнаружения Elderwood постоянно обновляется, и всего за один месяц с начала года использовалась для эксплуатации трех уязвимостей нулевого дня.

Воспользовавшись эксплоитом один раз, злоумышленники могут произвести его реверс-инжиниринг и уничтожить доказательства какой-либо связи между атаками. По словам экспертов, Elderwood очень легко поддается реверс-инжинирингу, поскольку все эксплоиты аккуратно упакованы и отделены от информационного наполнения. Они намеренно разработаны таким образом, чтобы ими с легкостью мог воспользоваться даже самый неопытный пользователь.

Эксперты из Symantec обнаружили связь между некоторыми атаками, осуществленными с помощью Elderwood, и пришли к выводу о том, что за ними стоит одна и та же группировка. Они считают, что эксплуатацией уязвимостей нулевого дня занимается родительская организация, состоящая из нескольких подгрупп. При этом каждая из подгрупп атакует представителей определенной сферы – оборонной промышленности, информационных технологий, прав человека и т. д.

Родительская организация получает эксплоиты для уязвимостей нулевого дня и координирует их распространение среди подгрупп, каждая из которых затем использует для атак специально разработанное вредоносное ПО. «Каждая атакующая группа является отдельной единицей с собственными задачами», — отмечают эксперты.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s