Aktuální vydání

celé číslo

10

2017

Systémy pro řízení výroby, PLM, SCADA

celé číslo

Kaspersky Lab hlásí útok na software Adobe Flash

Pokročilý systém prevence exploitů společnosti Kaspersky Lab identifikoval nový zero day v Adobe Flash. Exploit je škodlivý kód využívající programátorské chyby, bezpečnostních slabiny v softwaru a jedinou obranou je aktualizace softwaru. Zero day exploit je situace, kdy ještě nebyla vydána aktualizace, takže uživatelské PC může být v následujícím období až do instalace nové aktualizace, nebezpečně ohrožen různými replikujícími viry, trojskými koni, červi apod. Tento exploit byl k útoku využit 10. října skupinou BlackOasis. Je šířen prostřednictvím dokumentu Microsoft Word, který obsahuje sledovací malware FinSpy, který se instaluje do napadeného počítče. Po instalaci se malware usadí v počítači a připojí ke svým C&C serverům ve Švýcarsku, Bulharsku a Nizozemí. Poté vyčkává na další příkazy a vynáší data. Společnost Kaspersky Lab tuto zranitelnost nahlásila Adobe, která vydala tuto výstrahu.

Podle odborníků Kaspersky Lab byl zero day CVE-2017-11292 zpozorován v živém útoku. Proto doporučují všem firmám a vládním organizacím okamžitou instalaci aktualizace od Adobe. Aby firemní systémy a data zůstala v bezpečí před touto hrozbou, doporučují odborníci Kaspersky Lab následující opatření:

•            Pokud nebyla doposud implementována, použijte funkci killbit pro software Flash a pokud je to možné, úplně jej deaktivujte.

•            Implementujte pokročilé, vícevrstvé bezpečnostní řešení, které ochrání všechny sítě, systémy a koncová zařízení.

•            Proškolte své zaměstnance v oblasti taktiky a metod sociálního inženýrství, které jsou často využívány k tomu, aby oběti přiměly k otevření infikovaných odkazů či dokumentů.

•            Provádějte pravidelné bezpečnostní kontroly své IT infrastruktury.

Více technických detailů, včetně indikátorů napadení a YARA pravidel, se dozvíte na blogu Securelist.com.

Odborníci jsou přesvědčeni, že skupina stojící za tímto útokem je také zodpovědná za zářijový zero day útok CVE-2017-8759. Jsou si také jistí, že daným pachatelem je skupina BlackOasis, kterou tým Global Research and Analysis Team společnosti Kaspersky Lab sleduje od roku 2016.

Analýza ukázala, že po úspěšném zneužití zranitelnosti dojde k nainstalování malwaru FinSpy (také známého jako FinFisher) do napadeného počítače. FinSpy je komerční malware, který je obvykle prodáván státům a orgánům činným v trestním řízení za účelem sledování. V minulosti docházelo pouze k lokálnímu využití tohoto malwaru, kde jej orgány využívaly pro prosazování práva a sledování. BlackOasis však představuje významnou výjimku, protože malware používá proti nejrůznějším cílům po celém světě. Dá se tak předpokládat, že FinSpy v současnosti stojí za globálními zpravodajskými operacemi, kdy ho jedna země používá proti jiné.

Malware využitý v útoku je nejnovější verzí FinSpy, která je vybavena řadou anti-analysis technologií, které znesnadňují forenzní analýzu. 

Z analýzy Kaspersky Lab vyplývá, že se skupina BlackOasis zajímá o celou řadu osobností, které se podílejí na politice na Středním východě. Mezi ně patří významní jedinci z řad OSN, opoziční blogeři a aktivisté nebo regionální zpravodajci. Zdá se, že mají rovněž zájem o média, která mají v dané oblasti zvláštní význam. V průběhu roku 2016 zaznamenali experti také zvýšený zájem o oblast Angoly, což dokládají dokumenty poukazující na podezřelé vazby ropných společností, praní špinavých peněz a další aktivity. Pozornost je také soustředěna na mezinárodní aktivisty a think-tanky.

Doposud byly oběti BlackOasis zaznamenány v následujících zemích: Rusko, Irák, Afghánistán, Nigérie, Libye, Jordánsko, Tunisko, Saudská Arábie, Írán, Nizozemsko, Bahrajn, Velká Británie a Angola.

Bezpečnostní řešení Kaspersky Lab úspěšně detekují a blokují exploity využívající nově objevené zranitelnosti.

(ed)