+11 голос |
Symantec сообщает о выявлении новой угрозы — широкомасштабных целевых атаках, проводимых в рамках активности, названной Elderwood Project. Некая группировка использует уязвимости «нулевого дня». Хакеры крадут информацию с компьютеров избранных жертв, заражая их троянской программой через часто посещаемые сайты. Основной целью мошенников является внутренняя информация компаний оборонной промышленности.
Впервые данная группировка привлекла к себе внимание в 2009 г., осуществив атаку на Google и другие организации, используя троянскую программу Hydraq (Aurora). На протяжении последних трех лет осуществляемые ею атаки были направлены на предприятия различных секторов промышленности, а также на негосударственные организации. В качестве жертв выбирались компании преимущественно США и Канады, а также Китая, Гонконга, Австралии и некоторых европейских и азиатских стран. Последние атаки демонстрируют смещение интереса злоумышленников в сторону предприятий, выпускающих компоненты вооружений и оборонительные системы. Причем одним из основных рабочих сценариев является проникновение через одну из организаций-партнеров, входящей в цепочку поставок.
Эксперты Symantec зафиксировали неоднократное повторное использование ими компонентов платформы, названой Elderwood Platform, которая обеспечивает быстрое применение эксплойтов к уязвимостей нулевого дня. Методология подобных проводимых атак обычно подразумевает использование фишинговых писем, однако теперь к ним добавились атаки класса watering hole — компрометация веб-сайтов, вероятнее всего посещаемых жертвой.
Серьезные уязвимости нулевого дня, предоставляющие несанкционированный доступ к широко используемым программным компонентам, встречаются в свободном доступе очень редко. Например, в рамках проекта Stuxnet их было использовано всего четыре. Однако в рамках Elderwood Project их уже используется вдвое больше — восемь. Применение такого количества эксплойтов к уязвимостям нулевого дня говорит о высоком уровне подготовки.
Чтобы выявить подобные уязвимости, хакеры должны были получить доступ к исходному коду ряда широко используемых программных приложений или провели их декомпиляцию. Похоже, что группировка обладает большим количеством уязвимостей нулевого дня. Они используются по требованию — одна за другой, и часто одна заменяет другую, если предыдущая уже закрыта.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |