«Red October» использовала уязвимости в Java

Исследователи Seculert сообщили, что недавно обнаруженная шпионская организация «Red October» могла распространять вредоносные программы благодаря уязвимости в Java.

Напомним, что в понедельник, 14 января, исследователи «Лаборатории Касперского» обнаружили шпионскую организацию «Red October», в процессе деятельности которой за последние пять лет были взломаны компьютерные системы в Восточной Европе, Центральной Азии, а также в бывших странах СССР.

Вредоносные программы проникали на компьютеры жертв, главным образом, при помощи документов, отправленных через e-mail, и использовали уязвимости в Microsoft Word и Excel. Пользователи, которые открывали документ, содержащий вредоносную программу, невольно становились звеном в цепи кибершпионажа.

Позже исследователи Seculert обнаружили , что, помимо этой схемы, у руководителей «Red October» был еще один план действий. Так, злоумышленники направляли пользователей на web-страницы, использующие известную уязвимость в Java.

Как сообщил Брайн Кребс, на серверах организации хранился специальный каталог, содержащий PHP-страницу, эксплуатировавшую уязвимость в Java. Это позволяло преступникам автоматически загружать на компьютеры жертв вредоносную программу «Rocra».

«Red October» использовала старую уязвимость CVE-2011-3544, обновление к которой было выпущено в октябре 2011 года. Поэтому, становится непонятно, каким образом злоумышленники могли использовать эту уязвимость, если код эксплоита был разработан ими лишь в феврале 2012 года. Это объясняется тем, что уязвимости Java сохранились на компьютерах, где обновление не было установлено.

Уязвимость Java CVE-2011-3544 использовалась для распространения трояна Flashback на компьютерах Mac в начале 2012 года. Тем не менее, из-за того, что разработчики выпустили обновление Java только для Mac OS X, обойдя стороной основную версию ОС, атаки злоумышленников продолжали успешно проходить. 

В августе 2012 года польский исследователь безопасности Адам Говдяк (Adam Gowdiak) сообщил Oracle об обнаруженных им серьезных уязвимостях, тем не менее, компания выпустила обновления лишь спустя более четырех месяцев. За это время злоумышленники успели обнаружить и использовать эти уязвимости. И даже после этого, Oracle не устранила проблему полностью.

Кребс сообщил, что в воскресенье, 13 января, была обнаружена новая уязвимость Java, и один предприимчивый хакер уже выставил на продажу набор эксплоитов за $5 тыс.