Цивилизация
О том, что к кибератакам, в ходе которых использовалась «дыра» в платформе, причастны хакеры из Strontium, более известной как Fancy Bear или APT 28, Micrososft накануне сообщила в своем блоге.
Перед тем как компания из Редмонда сама рассказала об уязвимости, информацию распространили аналитики Google.
Специалисты проинформировали Microsoft о своей находке еще 21 октября, однако никаких рекомендаций или исправлений производителем программного обеспечения сделано не было.
«Эта уязвимость особенно серьезна, поскольку мы знаем, что ее активно используют», — подчеркнули в Google.
В свою очередь, Microsoft раскритиковала факт публикации этих сведений, так как, по мнению руководства компании, они могли подвергнуть клиентов потенциальному риску.
Патч, который должен устранить данный изъян, выйдет только 8 ноября. При этом производитель софта отметил, что пользователям браузера Edge на Windows 10 Anniversary Update нечего опасаться.
Опасный Flash-плеер
Уязвимость, о которой идет речь, связана с Flash-плеером от Adobe. Компания принимает участие в расследовании, сотрудничает с Microsoft и уже выпустила обновление для устранения незащищенности платформы.
В частности, аналитики Google нашли в Adobe Flash две уязвимости нулевого дня и одну — в драйвере ядра Windows. Для пользователей собственного браузера Chrome поисковик уже выпустил обновление, закрывающее найденную «дыру».
Strontium, по версии Microsoft, распространяла фишинговые письма, адресованные «конкретной целевой группе клиентов», в которых содержался эксплойт под Flash-плеер, получающий контроль над браузером. Используя повышенные привилегии в ядре Windows, устанавливался бэкдор, который и обеспечивал доступ к информации на компьютере жертвы.
«Уязвимости Flash Player относятся к типу Remote Code Execution. Они позволяют удаленно исполнить код в браузере или операционной системе. В свою очередь, уязвимости Windows бывают этого же типа либо Local Privilege Escalation, то есть позволяют повысить привилегии в системе до максимального уровня», — объяснил «Газете.Ru» ведущий вирусный аналитик ESET Russia Артем Баранов.
Используя связку из этих двух типов эксплойтов, злоумышленник может удаленно установить полный контроль над системой жертвы: загружать драйверы, управлять всеми подключенными устройствами.
«У нас нет никакой информации по специфике использования данного эксплойта», — рассказал в беседе с The Wall Street Journal пресс-секретарь Adobe. В Microsoft сообщили Reuters, что также не зафиксировали случаев эксплуатации уязвимости. На том, что «дыра» активно используется злоумышленниками, настаивает только Google.
По словам Баранова, в полной безопасности пользователи обновленного Flash Player в последней версии Windows 10 и браузерах Microsoft Edge и Google Chrome. «Эти браузеры используют специальные механизмы защиты, блокирующие действие эксплойта», — добавил эксперт.
Однако Edge работает только в Windows 10, а Chrome может защитить пользователей только на Windows 8 и выше.
Поэтому Windows Vista и Windows 7 пока беззащитны перед эксплойтом, пользователям нужно ждать выпуска обновления.
Мишки против журналистов
Производитель Windows еще в прошлогоднем отчете, посвященном безопасности, заявлял о деятельности Strontium, которая ведется против пользователей системы с 2007 года.
Целями группировки, как считают в Microsoft, являются политики, дипломаты, военные НАТО, журналисты и политические советники. Хакеры гонятся не за финансовой выгодой, а за получением «секретной информации».
Доклад компании из Редмонда так бы и остался особо незамеченным, если бы не приближающиеся выборы президента в США. На протяжении практически всей предвыборной гонки публикуется информация о хакерах, подконтрольных властям России. Кремлевские взломщики, по мнению Хиллари Клинтон и администрации президента Барака Обамы, стоят за атаками на Демократическую партию США и ВАДА.
Согласно исследованию Crowdstrike, авторство взломов такого уровня принадлежит Fancy Bear при ГРУ и Cozy Bear при ФСБ. Исследователи придерживаются мнения, что обе группы действовали независимо друг от друга.
В конце октября ESET опубликовала подробный доклад, посвященный деятельности Fancy Bear. В нем говорится, что группировка всплывала под такими именами, как Strontium, APR 28, Pawn Storm, Sofacy, Tsar Team, TG-4127.
Специалисты ESET установили, что злоумышленники рассылали фишинговые письма владельцам аккаунтов почтового сервиса Gmail (принадлежит Google). Сообщения содержали подставные ссылки и просьбу от лица Google сменить пароль, так как он был якобы скомпрометирован.
Письма Fancy Bear были направлены в посольства и министерства обороны ряда стран.
Целями хакеров, по данным ESET, являлись украинские политики, организации при НАТО, журналисты из Восточной Европы, члены партии ПАРНАС, участники хакерской группировки «Анонимный интернационал», российские оппозиционеры.
Одним из получателей фишингового письма по какой-то причине стал главный редактор Tjournal Никита Лихачев, о чем он написал в своем фейсбуке.
Ко всему прочему в октябре российские активисты и журналисты сообщили о фишинговых письмах, содержащих информацию о попытке взлома Gmail-почты. Все они были замаскированы под службу поддержки Google. Список получивших письма на своей странице в Facebook опубликовал директор фонда «Образ будущего» Олег Козловский. В перечне упоминаются Елена Панфилова, Максим Кац, Илья Клишин, Роман Доброхотов и другие.
Главный редактор украинского издания Reed и бывший муниципальный депутат района Южное Тушино Вера Кичанова в разговоре с «Газетой.Ru» подтвердила получение подобных уведомлений от Google. «Мне последнюю неделю каждый день почти приходят письма про подозрительную активность, мол, кто-то пытался войти в мой аккаунт, попытка заблокирована», — сообщила она. Впрочем, Кичанова допустила, что ее случай не связан с Fancy Bear. «Пишут, что вход из Британии. Думаю, просто какие-то проблемы с IP на факультете», — рассказала находящаяся сейчас в Соединенном Королевстве журналистка.
В случае с Microsoft аналитик ESET Артем Баранов подчеркнул, что в настоящее время нет исчерпывающих доказательств, чтобы ответить на вопрос об источнике атаки.
