USD 64.37 ЕВРО 70.93

Уязвимость нулевого дня IE используется торговцами кибер-оружием и китайскими хакерами

Экономика

FireEye и Symantec независимо друг от друга обнаружили связь между недавно обнаруженной уязвимостью нулевого дня в IE с несколькими хакерскими операциями.

Китайские хакерыНезависимые исследования нескольких компаний из области компьютерной безопасности предоставляют новые доказательства того, что только что закрытые Microsoft уязвимости нулевого дня активно использовались профессиональными наёмными хакерами из КНР, а также продавались «торговцами кибер-оружием».

Названная «the diskless 9002 RAT» (RAT — Remote Access Trojan) и не признаваемая до 11 ноября компанией Microsoft уязвимость активно использовалась вплоть до последнего времени. 11 ноября было объявлено, что появился патч, который будет предоставлен пользователям с 12 ноября. «Бездисковым» этот троян назван потому, что в отличие от большинства зловредов, этот не записывается на диск – он загружается в оперативную память и запускается, но не сохраняется после перезагрузки.

Такой троян гораздо сложнее определить обычными методами, и ещё сложнее – зафиксировать. Выполнив поставленную задачу, троян исчезает без следа.

В соответствии с техническим анализом использования этой уязвимости, компания FireEye связывает её с недавней атакой на Bit9, извеcтной также как Operation DeputyDog. Эта атака была организована китайской командой наёмных хакеров, названной Hidden Lynx, как утверждает Symantec. В качестве доказательства причастности группы Hidden Lynx к использованию позднейшей уязвимости нулевого дня выступает исследование Symantec об атаках группы с использованием принадлежащего Hidden Lynx командно-управляющего сервера. IP-адрес этого сервера соответствует двум раздельным учётным записям одной и той же группировки хакеров.

Symantec предполагает, что несколько других атак были осуществлены одной и той же группировкой, и легко понять — почему: использовались одни и те же инструменты взлома, элементы кода, бинарные файлы с общими временными метками и одними и теми же цифровыми подписями. Однако FireEye пересмотрел свидетельства нескольких подобных атак и пришёл  несколько иному выводу.

В своём докладе на эту тему эксперты по безопасности из FireEye предполагают, что наиболее вероятным объяснением сходства между атаками является использование общей разработки и логистики, поддерживающей хакерские акции.

«Разработка и логистика такого рода наиболее полно может описываться как «цифровой интендант». Его миссия — всячески поддерживать и снабжать инструментами и средствами кибер-шпионаж. Этот цифровой интендант может быть своего рода продавцом кибер-оружия, поставщиком инструментов, используемых для проведения атак и определения уязвимых мест в целевых системах», – говорится в докладе.

Именно эта версия считается экспертами FireEye наиболее вероятной, в отличие от идеи о деятельности единственной группировки злоумышленников.

Уязвимость нулевого дня была закрыта во вторник в течение традиционного для Microsoft релиза патчей.