Symantec: За эксплуатацией уязвимостей нулевого дня стоит одна организация

Symantec: За эксплуатацией уязвимостей нулевого дня стоит одна организация

Эксперты обнаружили множество схожих черт в реализации нескольких эксплоитов для уязвимостей нулевого дня, обнаруженных в последнее время.

Зачастую вычислить группу злоумышленников, стоящих за эксплуатацией уязвимостей нулевого дня, очень сложно. Тем не менее, участившиеся в последнее время атаки с использованием брешей в Internet Explorer и Flash для внедрения вредоносного ПО одного семейства указывают на то, что хакеры применяли один и тот же набор эксплоитов – Elderwood.

Эксперты из Symantec  обнаружили  множество схожих черт в реализации нескольких эксплоитов для уязвимостей нулевого дня, среди них – использование набора эксплоитов Elderwood. Напомним, что платформа Elderwood впервые была задокументирована в 2012 году в связи с вредоносной кампанией  «Операция Аврора» , жертвой которой стала Google. С момента обнаружения Elderwood постоянно обновляется, и всего за один месяц с начала года использовалась для эксплуатации трех уязвимостей нулевого дня.

Воспользовавшись эксплоитом один раз, злоумышленники могут произвести его реверс-инжиниринг и уничтожить доказательства какой-либо связи между атаками. По словам экспертов, Elderwood очень легко поддается реверс-инжинирингу, поскольку все эксплоиты аккуратно упакованы и отделены от информационного наполнения. Они намеренно разработаны таким образом, чтобы ими с легкостью мог воспользоваться даже самый неопытный пользователь.

Эксперты из Symantec обнаружили связь между некоторыми атаками, осуществленными с помощью Elderwood, и пришли к выводу о том, что за ними стоит одна и та же группировка. Они считают, что эксплуатацией уязвимостей нулевого дня занимается родительская организация, состоящая из нескольких подгрупп. При этом каждая из подгрупп атакует представителей определенной сферы – оборонной промышленности, информационных технологий, прав человека и т. д.

Родительская организация получает эксплоиты для уязвимостей нулевого дня и координирует их распространение среди подгрупп, каждая из которых затем использует для атак специально разработанное вредоносное ПО. «Каждая атакующая группа является отдельной единицей с собственными задачами», - отмечают эксперты.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!