Podle Kaspersky Lab byl zero day CVE-2017-11292 zpozorován v živém útoku. Proto doporučují všem firmám a vládním organizacím okamžitou instalaci aktualizace od Adobe.

Odborníci jsou přesvědčeni, že skupina stojící za tímto útokem je také zodpovědná za zářijový zero day útok CVE-2017-8759. Jsou si také jistí, že daným pachatelem je skupina BlackOasis, kterou tým Kaspersky Lab sleduje od roku 2016.

Analýza ukázala, že po úspěšném zneužití zranitelnosti dojde k nainstalování malwaru FinSpy (také známého jako FinFisher) do napadeného počítače. FinSpy je komerční malware, který je obvykle prodáván státům a orgánům činným v trestním řízení za účelem sledování. V minulosti docházelo pouze k lokálnímu využití tohoto malwaru, kde jej orgány využívaly pro prosazování práva a sledování. BlackOasis však představuje významnou výjimku, protože malware používá proti nejrůznějším cílům po celém světě. Dá se tak předpokládat, že FinSpy v současnosti stojí za globálními zpravodajskými operacemi, kdy ho jedna země používá proti jiné.

Malware využitý v útoku je nejnovější verzí FinSpy, která je vybavena řadou anti-analysis technologií, které znesnadňují forenzní analýzu.

Po instalaci se malware usadí v počítači a připojí ke svým C&C serverům ve Švýcarsku, Bulharsku a Nizozemí. Poté vyčkává na další příkazy a vynáší data.

Z analýzy vyplývá, že se skupina BlackOasis zajímá o celou řadu osobností, které se podílejí na politice na Středním východě. Mezi ně patří významní jedinci z řad OSN, opoziční blogeři a aktivisté nebo regionální zpravodajci. Zdá se, že mají rovněž zájem o média, která mají v dané oblasti zvláštní význam. V průběhu roku 2016 zaznamenali experti také zvýšený zájem o oblast Angoly, což dokládají dokumenty poukazující na podezřelé vazby ropných společností, praní špinavých peněz a další aktivity. Pozornost je také soustředěna na mezinárodní aktivisty a think-tanky.

Doposud byly oběti BlackOasis zaznamenány v následujících zemích: Rusko, Irák, Afghánistán, Nigérie, Libye, Jordánsko, Tunisko, Saudská Arábie, Írán, Nizozemsko, Bahrajn, Velká Británie a Angola.

„Tento nově objevený útok využívající zero day exploit je v tomto roce již třetím případem, kdy je FinSpy distribuován skrz exploity do zranitelností zero day. Dříve útočníci zneužívali pro distribuci malwaru kritické zranitelnosti Microsoft Wordu a produktů Adobe. Obáváme se, že počet útoků prostřednictvím FinSpy softwaru podpořených zero-day exploity, jako tomu je v tomto případě, bude nadále stoupat,“ říká Anton Ivanov, vedoucí malwarový analytik společnosti Kaspersky Lab.

Aby firemní systémy a data zůstala v bezpečí před touto hrozbou, doporučují odborníci Kaspersky Lab následující opatření:

• Pokud nebyla doposud implementována, použijte funkci killbit pro software Flash a pokud je to možné, úplně jej deaktivujte.
• Implementujte pokročilé, vícevrstvé bezpečnostní řešení, které ochrání všechny sítě, systémy a koncová zařízení.
• Proškolte své zaměstnance v oblasti taktiky a metod sociálního inženýrství, které jsou často využívány k tomu, aby oběti přiměly k otevření infikovaných odkazů či dokumentů.
• Provádějte pravidelné bezpečnostní kontroly své IT infrastruktury.

Autor: Petr Smolník, šéfredaktor