Киберпреступники Elderwood используют беспрецедентное количество уязвимостей нулевого дня

Компания Symantec сообщила о том, что ее специалистам удалось выявить беспрецедентную угрозу, заключаемую в широкомасштабных целевых атаках, которые осуществляются в рамках активности под названием Elderwood Project

В частности, было установлено, что некая группировка использует уязвимости нулевого дня и, вероятно, имеет неограниченный доступ к информации о них. Хакеры похищают данные с компьютеров выбранных жертв, заражая их троянской программой через часто посещаемые ими сайты. Как стало известно, главной целью мошенников является внутренняя информация компаний оборонной промышленности.

Напомним, что в 2009 году данная группировка впервые привлекла к себе внимание специалистов. Тогда злоумышленники осуществили атаку на Google, а также другие организации, используя при этом троянскую программу под названием Hydraq (Aurora).

В течение трех лет осуществляемые атаки направлялись на предприятия разных секторов промышленности и на негосударственные организации. В качестве жертв выбирались преимущественно американские и канадские компании. Также в список стран попали Китай, Гонконг, Австралия и еще несколько европейских и азиатских стран.

По словам представителей компании, последние атаки показали смещение интереса киберпреступников в сторону предприятий, занимающихся выпуском компонентов вооружений, а также оборонительных систем. В частности, данную группировку интересуют компании, производящие электронные или механические компоненты вооружений и систем, которые затем продаются ведущим оборонным корпорациям. Отмечается, что одним из основных рабочих сценариев является проникновение через организаций-партнеров, входящих в цепочку поставок.

Эксперты компании выявили неоднократное повторное использование ими компонентов платформы Elderwood Platform, которая обеспечивает быстрое применение эксплойтов к уязвимостям нулевого дня. Методология подобных проводимых атак, как правило, подразумевает использование фишинговых писем, однако сейчас к ним добавились и атаки класса «watering hole» – компрометация сайтов, вероятнее всего посещаемых жертвой. Учитывая единую платформу проводимых атак, а также масштаб и квалификацию злоумышленников, эксперты Symantec решили выделить эту активность из общей массы и назвали ее Elderwood Project.

Также заметим, что серьезные уязвимости нулевого дня, которые предоставляют несанкционированный доступ к широко используемым программным компонентам, встречаются в свободном доступе очень редко. Например, в рамках известного проекта Stuxnet их было использовано всего 4, в то время как в Elderwood Project их применяется уже 8. Ранее ни одна группировка не демонстрировала ничего подобного, а использование такого количества эксплойтов к уязвимостям нулевого дня говорит об очень высоком уровне подготовки.

Для того чтобы выявить подобные уязвимости, хакерам необходимо иметь доступ к исходному коду ряда широко используемых программных приложений или же провести их декомпиляцию, а для этого требуются очень серьезные ресурсы. Похоже, что группировка обладает чуть ли не безграничным количеством уязвимостей нулевого дня. Эти уязвимости используются по требованию – одна за другой, и часто одна заменяет другую, если предыдущая уже закрыта.