H ομάδα hacking BlackOasis εκμεταλλεύτηκε ευπάθεια του Adobe Flash για την εγκατάσταση του spyware που ονομάζεται FinSpy.
Οι ερευνητές ασφάλειας του διαδικτύου ανακάλυψαν μια νέα ευπάθεια του Adobe Flash που έχουν ήδη εκμεταλλευτεί χάκερς για να αναπτύξουν την τελευταία έκδοση του κακόβουλου λογισμικού FinSpy.
Οι ερευνητές της Kaspersky Lab ανέφεραν ότι μια ομάδα χάκερς που φέρει την ονομασία BlackOasis εκμεταλλεύτηκε το τρωτό σημείο zero-day exploit – CVE-2017-1129211292 για να παραδώσει το επιβλαβές ωφέλιμο φορτίο της μέσω ενός εγγράφου του Microsoft Word.
Η Kaspersky είπε ότι η BlackOasis χρησιμοποίησε το προηγουμένως άγνωστο ελάττωμα Flash σε επίθεση της στις 10 Οκτωβρίου.
Μόλις έχει γίνει εκμετάλλευση της ευπάθειας στο Flash και έχει εγκατασταθεί το κακόβουλο λογισμικό FinSpy στον στοχευόμενο υπολογιστή, το λογισμικό υποκλοπής spyware “εγκαθιστά ένα σημείο στήριξης στον επιτιθέμενο υπολογιστή και συνδέεται με τους διακομιστές εντολών και ελέγχου που βρίσκονται στην Ελβετία, τη Βουλγαρία και την Ολλανδία, αποσπώντας τα απαραίτητα δεδομένα”, ανέφεραν οι ερευνητές.
Το FinSpy , επίσης γνωστό ως FinFisher, είναι ένα εμπορικό κακόβουλο λογισμικό που πωλείται συνήθως στον σκοτεινό ιστό του διαδικτύου και στις υπηρεσίες επιβολής του νόμου για επιτήρηση διαφόρων στόχων. Από την άλλη πλευρά, η BlackOasis το χρησιμοποίησε σε ένα ευρύ φάσμα στόχων ανά τον κόσμο.
“Αυτό φαίνεται να υποδηλώνει ότι το FinSpy τροφοδοτεί τώρα τις παγκόσμιες μυστικές υπηρεσίες πληροφοριών, και η μια χώρα να το χρησιμοποιεί εναντίον της άλλης”, δήλωσε η Kaspersky. “Οι εταιρείες που αναπτύσσουν τα λογισμικά επιτήρησης, όπως το FinSpy, καθιστούν δυνατή την παρακολούθηση σε βαθμό που είναι αδιανόητος μέχρι τώρα. Το κακόβουλο λογισμικό που χρησιμοποιείται στην επίθεση είναι η πιο πρόσφατη έκδοση του FinSpy, εξοπλισμένη με πολλαπλές τεχνικές ανάλυσης για να κάνει πιο εύκολη τη διαδικασία παραβιάσεων στο διαδίκτυο.
Σύμφωνα με την εκτίμηση του Kaspersky , η BlackOasis στοχεύει σε διάφορους παράγοντες που εμπλέκονται στη πολιτική της Μέσης Ανατολής, συμπεριλαμβανομένων των βασικών ανθρώπων των Ηνωμένων Εθνών, των bloggers της αντιπολίτευσης, των ακτιβιστών και των περιφερειακών ανταποκριτών ειδήσεων.
Το 2016, οι ερευνητές δήλωσαν ότι οι χάκερς έδειξαν έντονο ενδιαφέρον για την Αγκόλα “σύμφωνα με μυστικά έγγραφα με δελεαστικές ενδείξεις που υποδηλώνουν στόχους με εικαζόμενους δεσμούς με το λαθραίο πετρέλαιο, τη νομιμοποίηση εσόδων από παράνομες δραστηριότητες και άλλες παραβατικές πράξεις”.
Η ομάδα hacking έδειξε επίσης ιδιαίτερο ενδιαφέρον για διεθνείς ακτιβιστές και ομάδες που υπερασπίζονται τα ανθρώπινα δικαιώματα, σημειώνουν οι ερευνητές. Ο Kaspersky δήλωσε ότι μέχρι στιγμής έχουν παρατηρηθεί θύματα στη Ρωσία, το Ιράκ, το Αφγανιστάν, τη Σαουδική Αραβία, το Ιράν, τη Νιγηρία, τη Λιβύη, την Ιορδανία, την Τυνησία, το Μπαχρέιν, την Αγκόλα, το Ηνωμένο Βασίλειο και τις Κάτω Χώρες.
Οι ερευνητές πιστεύουν ότι η ομάδα BlackOasis εκμεταλλεύτηκε επίσης μια άλλη ευπάθεια με την κωδική ονομασία zero-day exploit – CVE-2017-8759 – το Σεπτέμβριο.
“Τέτοιου είδους επίθεση που χρησιμοποιεί το συγκεκριμένο εκμεταλλευόμενο τρωτό σημείο, δυστυχώς ανακαλύψαμε πρόσφατα πως είναι η τρίτη φορά που φέτος είδαμε τη διανομή του FinSpy να ξεδιπλώνεται μέσω εκμεταλλεύσεων”, ανέφερε ο Anton Ivanov, επικεφαλής αναλυτής κακόβουλου λογισμικού στη Kaspersky Lab.
“Προηγουμένως, οι φορείς που αναπτύσσουν αυτό το κακόβουλο λογισμικό στηρίχθηκαν σε κρίσιμα ζητήματα που είχαν άμεση σχέση με τα προϊόντα Microsoft Word και Adobe. Πιστεύουμε ότι ο αριθμός των επιθέσεων που βασίζονται στο λογισμικό FinSpy, υποστηριζόμενο από εκμεταλλεύσεις zero-day όπως αυτή που περιγράφεται εδώ, θα συνεχιστεί να αυξάνεται “.
Η Kaspersky ειδοποίησε την Adobe για την ευπάθεια και η εταιρεία έχει ήδη εκδώσει μια συμβουλευτική οδηγία και ταυτόχρονα μια ενημερωμένη έκδοση κώδικα για την αντιμετώπιση του ζητήματος που επηρέασε τα Chrome, το Edge της Microsoft, τα προγράμματα περιήγησης του Internet Explorer και τις εκδόσεις για υπολογιστές.
Η είδηση έρχεται μετά την ανακοίνωση της Adobe τον Ιούλιο ότι αποσύρει το κάποτε βασικό της Flash plugin μέχρι τα τέλη του 2020 που έχει αντικατασταθεί από προγραμματιστές ιστοσελίδων με εναλλακτικές λύσεις όπως HTML5 για την προβολή βίντεο και μέσων.
Το Flash player της Adobe έχει υποφέρει από μια πολυάριθμα σφάλματα λογισμικού τα τελευταία χρόνια που έχουν εκμεταλλευτεί επιτυχώς οι χάκερς κατά το παρελθόν.