Przez lukę 0-day w IE10 chińscy hakerzy zajrzeli do komputerów żołnierzy USA

Mimo wszystkich starań Microsoftu, nawet w najnowszych wersjachInternet Explorera regularnie odkrywane są noweluki, pozwalające napastnikom na zdalne ataki, w tymuruchamianie złośliwego kodu na komputerze ofiary. Redmond łata jew miarę regularnie, tak że osoby korzystające z aktualnych wersjisystemu i przeglądarki nie powinny się szczególnie martwić –ale czasem zespół odpowiedzialny za bezpieczeństwo InternetExplorera zostaje przyłapany z „opuszczonymi spodniami”. Takwłaśnie się stało teraz, gdy weterani armii USA padają ofiarąexploita wykorzystującego lukę CVE-2014-0322.

*Watering hole * to całkiem dobrze obmyślana forma cyberataku przeciwkokonkretnym grupom społecznym, które wydają się odporne na zwykłyphishing czy nawet spear phishing. Realizuje się go w trzechetapach: wpierw ustala się, z których witryn WWW korzysta danagrupa, następnie próbuje się zarazić daną witrynę szkodliwymoprogramowaniem, wreszcie zaś czeka, aż ktoś z członków grupyzostanie zarażony (i przeniesie dalej malware do pozostałych, np. wzałącznikach do wiadomości e-mail, znacznie chętniej przecieżotwieranych, gdy towarzyszą wiadomościom przesłanym przezkolegów). Taki właśnie atak, odkryty przez firmę FireEye, zostałwyprowadzony przeciwko weteranom wojskowym w USA, najprawdopodobniejprzez chińskich hakerów.

Jak informuje FireEye, napastnicyzdołali umieścić w witrynie organizacji US Veterans of ForeignWars (VFW) pływającą ramkę, która otwierała w tle stronęzawierającą ładunek z exploitem wcześniej nieznanej luki typu*use-after-free *(alokacjipamięci do wskaźnika po tym, jak została ona przez programzwolniona) w Internet Explorerze 10. Dzięki temu, że w ten sposóbnapastnik może zmodyfikować pamięć pod dowolnym adresem,systemowe zabezpieczenie ASLR nic w tym wypadku nie daje. Pozaładowaniu złośliwego kodu do przeglądarki, uruchamiany jestobiekt Flasha, przez który realizowana jest dalsza część ataku.

Ładunek szkodnika instaluje wsystemie furtkę ZXShell,która natychmiast po uruchomieniu łączy się z serwerem dowodzeniai kontroli, któregoadres prowadzi do Hong Kongu. W ten sposób mogli przejąćloginy i hasła ofiar, wykorzystywać ich komputery do ataków DDoS,uruchamiać zdalnie dowolne oprogramowanie.

Atak pozwolić miał nazinfiltrowanie nie tylko weteranów, ale też wielu aktywnychżołnierzy armii USA, których wielu w dniu ataku korzystało zwitryny VFW – 17 lutego jest dniem urodzin Jerzego Waszyngtona,federalnym świętem w Stanach Zjednoczonych. W tym czasie wielupracowników federalnych było wysłanych do domów, ze względu nasrogie warunki pogodowe.

To nie pierwsza taka operacja chińskich hakerów – w ten sposóbzaatakowano niezależny think-tank Council on Foreign Relations iwitryny kilku powiązanych z nim amerykańskich korporacji, późniejzaś atak przeprowadzono przeciwko hostowanym na serwerach Harvarduwitrynom grup dyskusyjnych zajmujących się kwestiami praw człowiekana Dalekim Wschodzie. FireEye twierdzi też, że napastnicy wcześniejatakowali innymi metodami liczne amerykańskie i japońskie firmy iinstytucje rządowe.

Na razie nie wiadomo, kiedywydana zostanie łatka dla luki CVE-2014-0322, Microsoft nie zdążyłjeszcze skomentować sprawy. Warto jednak podkreślić, że jeśliużytkownik IE10 korzysta z Zestawu narzędzi rozszerzonegośrodowiska ograniczającego ryzyko (EMET),exploit nie zdoła uruchomić złośliwego kodu – dlatego, jeślikorzystacie z Windows, zalecamy by EMET zainstalować (chroni on nietylko Internet Explorera, ale też praktycznie wszystkie inneaplikacje dla systemu Microsoftu).