Hakerzy z grupy APT28 atakują dzięki błędowi w Adobe Flashu

Cyberwłamywacze korzystają z luki w niezaktualizowanym odtwarzaczu Flash. Dziura umożliwia zdalne uruchomienie kodu, podsłuchiwanie i kradzież plików. Zagrożenie dotyczy systemów: Windows, Mac, Linux i Chrome OS.

O sprawie poinformowali eksperci Kaspersky Lab. Wiele osób jeszcze nie pobrało nowej wersji wtyczki, z czego korzystają cyberprzestępcy. Badacze z firmy Proofpoint, zajmującej się bezpieczeństwem IT, zwrócili uwagę na zwiększenie aktywności rosyjskiej grupy hakerskiej APT28 (Advanced Persistent Threat 28). Rosjanie, powiązani z Kremlem, stworzyli trojana, który wykorzystuje lukę w zabezpieczeniach Flasha, a także niefrasobliwość użytkowników.

Hakerzy używają socjotechniki, aby przejąć kontrolę nad komputerami. Wirus przenosi się przez plik Worda, w którym umieszczono aplet Flasha. Instytucje, zajmujące się stosunkami międzynarodowymi, otrzymują zarażony dokument, zatytułowany na przykład „World War 3.docx”, w którym jest artykuł o Korei Północnej. Po otworzeniu pliku trojan instaluje się na komputerze ofiary i może działać jako narzędzie szpiegowskie.

Plik .swf umieszczony w dokumencie Worda instaluje złośliwe oprogramowanie (graf. Proofpoint)

Hakerzy za cel ataków obierają szczególnie instytucje publiczne i linie lotnicze w Europie oraz Stanach Zjednoczonych. Przestępcy starają się jak najszybciej wykorzystać lukę, zanim administratorzy zdążą zaktualizować wtyczkę na wszystkich maszynach. Uderzają w dużą liczbę instytucji w tym samym czasie – co wzbudziło podejrzenia ekspertów od cyberbezpieczeństwa.

Inżynierowie z firmy Proofpoint odtworzyli atak na system Windows 7 z zainstalowanym Officem 2013 i niezaktualizowaną wtyczką Flash (graf. Proofpoint)

Grupa APT28 wcześniej wykorzystywała podobną technikę, włamując się do instytucji w USA i na Ukrainie. Hakerzy znani są też pod nazwą Fancy Bear. Według amerykańskich służb, odpowiadają za ataki podczas wyborów prezydenckich w USA w 2016. Na początku tego roku CIA, FBI oraz NSA w swoim raporcie wskazały rosyjskie służby jako odpowiedzialne za cyberataki. Z rosyjskimi szpiegami zmaga się także Microsoft, który przejmuje używane przez nich domeny, o czym pisaliśmy w CHIP-ie pod koniec lipca. | CHIP

Źródło: Proofpoint
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.