Elderwood Project – атаки через уязвимости zero day
Корпорация Symantec сообщила о выявлении новой угрозы – широкомасштабных целевых атаках, проводимых в рамках активности, названной Elderwood Project. Некая группировка хакеров использует уязвимости нулевого дня, похоже, имея неограниченный доступ к информации о них. Хакеры крадут информацию с компьютеров избранных жертв, заражая их троянской программой через часто посещаемые ими сайты; основная цель мошенников – внутренняя информация компаний оборонной промышленности.
Эта группировка привлекла к себе внимание специалистов Symantec еще в 2009 г., после атаки на Google и другие организации с помощью троянской программы Hydraq (Aurora). В последние три года ее атаки были направлены на предприятия различных секторов промышленности, а также на негосударственные организации США и Канады, Китая, Гонконга, Австралии, некоторых европейских стран. Последние атаки демонстрируют смещение интереса злоумышленников в сторону предприятий, выпускающих компоненты вооружений и оборонительные системы. Один из основных рабочих сценариев – проникновение через какую-либо партнерскую организацию, входящую в цепочку поставок.
Злоумышленники эксплуатируют большое количество уязвимостей нулевого дня и используют системный подход к организации атак и созданию вредоносного кода. Эксперты Symantec зафиксировали неоднократное повторное использование ими компонентов платформы, названной Elderwood Platform (по названию одного из эксплойтов из их арсенала), которая обеспечивает быстрое применение эксплойтов к уязвимостям нулевого дня. Методология подобных проводимых атак обычно подразумевает использование фишинговых писем, однако теперь к ним добавились атаки класса watering hole – компрометация Web-сайтов, вероятнее всего посещаемых жертвой. Учитывая единую платформу проводимых атак, а также их масштаб и квалификацию злоумышленников, специалисты Symantec выделили данную активность из общей массы и присвоили ей имя Elderwood Project.
Уязвимости нулевого дня, предоставляющие несанкционированный доступ к широко используемым программным компонентам, очень редки в свободном доступе; например, в рамках проекта Stuxnet их было использовано всего четыре. Однако в Elderwood Project их уже используется восемь, и никакая другая группировка никогда не демонстрировала ничего подобного. Применение такого количества эксплойтов к уязвимостям нулевого дня говорит о высоком уровне подготовки.
Чтобы выявить подобные уязвимости, хакеры должны были получить доступ к исходному коду ряда широко используемых программных приложений или провели их декомпиляцию, для чего требуются очень серьезные ресурсы. В Symantec полагают, что у группировки их почти безграничное количество: уязвимости используются по требованию, одна за другой, и часто одна заменяет другую, если предыдущая уже закрыта.
Группировку интересуют компании, производящие электронные или механические компоненты вооружений и систем, которые продаются ведущим оборонным корпорациям. Атакующие, видимо, рассчитывают на меньший уровень защищенности подобных производителей, и используют их для проникновения к интеллектуальной собственности, предназначенной для производства компонентов или крупной продукции ведущими поставщиками.
Одно из направлений атак группировки Elderwood – использование так называемых сайтов watering hole. Концепция атаки аналогична действиям хищника, поджидающего жертву в оазисе посреди пустыни: он знает, что жертва рано или поздно придет на водопой, и ждет ее там, а не ведет активную охоту. Злоумышленники определяют Web-сайты, которые посещают интересующие их конкретные люди, взламывают их и встраивают эксплойты на страницы, которые должна посетить жертва. После взлома на компьютер посетителя сайта устанавливается троянская программа.
По мнению специалистов Symantec, любая компания, работающая на оборонную промышленность, должна опасаться атак со стороны региональных подразделений, бизнес-партнеров и других связанных с ними компаний, так как их компьютерные системы могут быть скомпрометированы и использованы в качестве промежуточного этапа для достижения истинной цели атаки. Компании и частные лица должны быть готовы к новому витку развития атак в 2013 г. Это особенно актуально для компаний, которые уже были взломаны, так как они продолжают интересовать злоумышленников, а полученная в рамках предыдущей атаки информация поможет провести новую атаку.