Следы «песчаного червя» ведут в Россию

Специалисты iSIGHT Partners сообщают о разоблачении кибершпионской кампании, направленной против целей в США, Западной Европе, Польше и Украине. Целями ее стали компьютеры НАТО, официальных структур Евросоюза, правительственных и академических организаций, а также компаний энергетического и телекоммуникационного секторов. В атаках, продолжавшихся, предположительно с 2009 года, использовалась уязвимость нулевого дня CVE-2014-4114, присущая всем версиям операционных систем Windows.

Изначально злоумышленники организовывали высокоточные фишинговые атаки, убеждая потенциальных жертв открыть вложения в сообщения. Чаще всего это был документ в формате PowerPoint, однако вредоносный код мог быть встроен в любой документ пакета Microsoft Office. При его загрузке компьютер инфицировался опасным трояном Black Energу, способным, в частности, похищать документы, ключи шифрования SSL и сертификаты цифровых подписей. Эксперты iSIGHT Partners назвали шпионскую кампанию Sandworm («Песчаный червь» - видимо, отсылка к фантастическим существам из романа Фрэнка Герберта «Дюна»). По их сведениям, за ней стоят российские хакеры, возможно, поддерживаемые на правительственном уровне. В то же время эксперт «Лаборатории Касперского» Александр Гостев находит подобные выводы преждевременными. «Киберпреступники могут умышленно оставлять следы, намекая на свой язык или этническую принадлежность, чтобы затруднит расследование, - отмечает он. – Кроме того, русский часто является основным языком общения специалистов технологического сектора во многих постсоветских странах».

Обнаружив уязвимость CVE-2014-4114, компания iSIGHT Partners известила о ней Microsoft. Выпущенный вчера плановый пакет обновлений от Microsoft ликвидирует в том числе и эту уязвимость.