FinSpy atakuje. Konieczna aktualizacja Adobe Flash

Przeczytaj także: FinSpy znowu w akcji

Exploit, o którym tu mowa, to luka dnia zerowego CVE-2017-11292. Eksperci Kaspersky Lab wykryli ją w czasie „żywego” ataku. Aby uniknąć infekcji konieczna jest natychmiastowa aktualizacja Adobe Flash.

Zdaniem Kaspersky Lab, grupa przestępcza, która stoi za tym atakiem zastosowała wcześniej inną lukę dnia zerowego - wykrytą we wrześniu br. CVE-2017-8759. Dlatego są przekonani, że odpowiedzialność za atak z 10 października należy do BlackOasis - ugrupowania, które pod lupą Globalnego Zespołu ds. Badań i Analiz Kaspersky Lab (GReAT) znajduje się już od 2016 r.

Przeprowadzona przez Kaspersky Lab analiza dowiodła, że skuteczne wykorzystanie luki w Adobe Flash prowadzi do zainstalowania na komputerze ofiary szkodnika FinSpy (znanego również jako FinFisher). FinSpy to komercyjne szkodliwe oprogramowanie, które rządy i organy ścigania nabywają do celów inwigilacyjnych. W przeszłości szkodnik ten był wykorzystywany głównie na poziomie krajowym, służąc organom ścigania do inwigilacji lokalnych celów. BlackOasis stanowi tu znaczące odstępstwo, wykorzystując szkodnika przeciwko różnorodnym celom na całym świecie. Można przypuszczać, że FinSpy zasila globalne operacje wywiadowcze, w których jest wykorzystywany przez jedno państwo przeciwko innemu. Firmy tworzące oprogramowanie do inwigilacji takie jak FinSpy umożliwiają tego rodzaju wyścig zbrojeń.

Wykorzystany w ataku szkodnik to najnowsza wersja oprogramowania FinSpy, wyposażona w liczne techniki utrudniające analizę kryminalistyczną.

Po zainstalowaniu szkodnik zagnieżdża się w atakowanym komputerze i łączy się ze swoimi serwerami kontroli zlokalizowanymi w Szwajcarii, Belgii oraz Holandii, aby czekać na dalsze polecenia i wyprowadzać dane.

Kaspersky Lab ocenia, że przedmiotem zainteresowania ugrupowania BlackOasis jest cały wachlarz osób związanych z polityką Bliskiego Wschodu, łącznie ze znaczącymi osobistościami w ONZ, blogerami i aktywistami opozycyjnymi, jak również regionalnymi korespondentami informacyjnymi. W 2016 r. badacze z firmy zauważyli spore zainteresowanie Angolą, czego przykładem były stanowiące przynętę dokumenty wskazujące na cele mające podejrzane związki z ropą, praniem brudnych pieniędzy oraz inną działalnością. Atakujący są również zainteresowani międzynarodowymi aktywistami i zespołami ekspertów.

Jak dotąd ofiary ugrupowania BlackOasis zostały zidentyfikowane w następujących państwach: Rosja, Irak, Afganistan, Nigeria, Libia, Jordania, Tunezja, Arabia Saudyjska, Iran, Holandia, Bahrajn, Wielka Brytania i Angola.

Atak przy użyciu wykrytego niedawno exploita dnia zerowego to już trzeci w tym roku przypadek rozprzestrzeniania narzędzia FinSpy w taki sposób. Wcześniej ugrupowania stosujące tego rodzaju szkodliwe oprogramowanie wykorzystywały do swoich celów krytyczne luki w produktach Microsoft Word i Adobe. Uważamy, że liczba ataków z użyciem oprogramowania FinSpy, wspomaganych exploitami dnia zerowego jak ten opisywany tutaj, nadal będzie rosła — powiedział Anton Iwanow, czołowy analityk szkodliwego oprogramowania, Kaspersky Lab.

Rozwiązania bezpieczeństwa firmy Kaspersky Lab skutecznie wykrywają i blokują exploity wykorzystujące nowo wykrytą lukę w zabezpieczeniach.

Eksperci z Kaspersky Lab zalecają organizacjom, aby podjęły następujące działania w celu zapewnienia ochrony swoim systemom i danym przed tym zagrożeniem:

• Używaj rozszerzenia Flash tylko w przypadkach, w których jest ono niezbędne, a jeżeli przypadki takie nie występują, odinstaluj je.
• Zastosuj zaawansowane, wielowarstwowe rozwiązanie bezpieczeństwa, które chroni wszystkie sieci, systemy i punkty końcowe.
• Zapoznaj personel z metodami socjotechniki, ponieważ mechanizm ten jest często wykorzystywany w celu nakłonienia ofiary do otwarcia zainfekowanego dokumentu lub kliknięcia zainfekowanego odsyłacza.
• Przeprowadzaj regularne oceny bezpieczeństwa infrastruktury IT organizacji.
• Korzystaj z usługi analizy zagrożeń, która umożliwia śledzenie cyberataków, incydentów lub zagrożeń oraz zapewnia klientom aktualne i istotne informacje, które nie są im znane.