Jak skutecznie zainfekować komputery osób, prowadzących badania nad technologiami jądrowymi? Najlepiej użyć błędu typu 0day i witryny, którą kiedyś odwiedzą – na przykład oficjalną listę chorób popromiennych i lokalizacji, w których występują.
30. kwietnia firma Invincea otrzymała informację, że jeden z serwisów amerykańskiego Departamentu Pracy serwuje użytkownikom złośliwy kod. Okazało się, że zaatakowana strona zawiera listę chorób związanych z narażeniem na promieniowanie jądrowe, powiązanych z lokalizacjami Departamentu Energii, w których prowadzone są prace nad bronią jądrową. Jej najczęstszymi gośćmi byli oczywiście pracownicy tego departamentu, pracujący nad bronią atomową.
Zainfekowana witryna (źródło: Invincea)
Wstrzyknięty do strony skrypt JS przekierowywał odwiedzających witrynę do innego adresu, gdzie czekał już kod serwujący exploit dla IE8 (wcześniej sprytnie sprawdzający system pod katem obecności znanych antywirusów). Początkowo sądzono, że w ataku wykorzystano znany błąd CVE-2012-4792. Dopiero kilka dni później badaczom udało się potwierdzić, że atakujący przeglądarkę kod nie był wcześniej znany. Okazało się, że błąd (CVE-2013-1347), wykorzystywany w tym ataku, występuje w IE8 (inne wersje nie są podatne) w systemach Windows XP, Vista czy Windows 7 (kod atakował jednak tylko Windowsa XP).
W przypadku udanego wykonania złośliwego kodu w przeglądarce użytkownika, w kolejnym kroku pobierał na dysk, dodawał do autostartu i uruchamiał kod wykonywalny, zidentyfikowany jako odpowiednio spreparowana wersja narzędzia Poison Ivy (w momencie odkrycia była wykrywana tylko przez 2 z 46 antywirusów). Poison Ivy nasłuchuje połączeń na portach 53 i 8080 oraz łączy się z serwerem C&C. Charakterystyka użytych narzędzi i metody ataku nosi symptomy podobieństwa do ataków opisanych przez firmę CrowdStrike i przypisywanych grupie o nazwie Deep Panda.
Odkryty błąd w IE8 nie doczekał się jeszcze łaty, chociaż Microsoft opisał wskazówki, jak skonfigurować przeglądarkę, by uniknąć infekcji. Jeśli zastanawiacie się, kto jeszcze używa IE8 – odpowiedź jest prosta: część użytkowników Windowsa XP, dla którego nie wypuszczono IE9. Zapewne był to jeden ze sposobów, dla których Microsoft stara się „zachęcić” użytkowników do przejścia na nowszą wersję systemu, jednak użytkownicy zawsze mogą po prostu zmienić przeglądarkę. Niestety w niektórych środowiskach, szczególnie korporacyjnych, stare aplikacje mogą ciągle pracować jedynie z IE…
Na zakończenie proponujemy obejrzenie bezsensownego filmu autorstwa Malwarebytes, pokazującego działanie exploita (czyli minuta filmu o tym jak wygląda awaria IE8).
