Уязвимость нулевого дня IE используется торговцами кибер-оружием и китайскими хакерами

13.11.2013 | 11:48 Экономика

FireEye и Symantec независимо друг от друга обнаружили связь между недавно обнаруженной уязвимостью нулевого дня в IE с несколькими хакерскими операциями.

Независимые исследования нескольких компаний из области компьютерной безопасности предоставляют новые доказательства того, что только что закрытые Microsoft уязвимости нулевого дня активно использовались профессиональными наёмными хакерами из КНР, а также продавались «торговцами кибер-оружием».

Названная «the diskless 9002 RAT» (RAT — Remote Access Trojan) и не признаваемая до 11 ноября компанией Microsoft уязвимость активно использовалась вплоть до последнего времени. 11 ноября было объявлено, что появился патч, который будет предоставлен пользователям с 12 ноября. «Бездисковым» этот троян назван потому, что в отличие от большинства зловредов, этот не записывается на диск – он загружается в оперативную память и запускается, но не сохраняется после перезагрузки.

Такой троян гораздо сложнее определить обычными методами, и ещё сложнее – зафиксировать. Выполнив поставленную задачу, троян исчезает без следа.

В соответствии с техническим анализом использования этой уязвимости, компания FireEye связывает её с недавней атакой на Bit9, извеcтной также как Operation DeputyDog. Эта атака была организована китайской командой наёмных хакеров, названной Hidden Lynx, как утверждает Symantec. В качестве доказательства причастности группы Hidden Lynx к использованию позднейшей уязвимости нулевого дня выступает исследование Symantec об атаках группы с использованием принадлежащего Hidden Lynx командно-управляющего сервера. IP-адрес этого сервера соответствует двум раздельным учётным записям одной и той же группировки хакеров.

Symantec предполагает, что несколько других атак были осуществлены одной и той же группировкой, и легко понять — почему: использовались одни и те же инструменты взлома, элементы кода, бинарные файлы с общими временными метками и одними и теми же цифровыми подписями. Однако FireEye пересмотрел свидетельства нескольких подобных атак и пришёл  несколько иному выводу.

В своём докладе на эту тему эксперты по безопасности из FireEye предполагают, что наиболее вероятным объяснением сходства между атаками является использование общей разработки и логистики, поддерживающей хакерские акции.

«Разработка и логистика такого рода наиболее полно может описываться как «цифровой интендант». Его миссия — всячески поддерживать и снабжать инструментами и средствами кибер-шпионаж. Этот цифровой интендант может быть своего рода продавцом кибер-оружия, поставщиком инструментов, используемых для проведения атак и определения уязвимых мест в целевых системах», – говорится в докладе.

Именно эта версия считается экспертами FireEye наиболее вероятной, в отличие от идеи о деятельности единственной группировки злоумышленников.

Уязвимость нулевого дня была закрыта во вторник в течение традиционного для Microsoft релиза патчей.