Rosyjski czerw pustyni zinfiltrował komputery NATO i UE. Łatka od Microsoftu już dzisiaj

Rosjanie pod względem poziomu zaawansowania swoich cyberbroni nieustępują Stanom Zjednoczonym ani Izraelowi – przekonują naseksperci z firmy iSight, którzy wykryli lukę 0-day, oznaczoną jakoCVE-2014-4114i ochrzczoną barwną nazwą „czerwia pustyni”. Zagrożone byływszystkie komputery działające pod kontrolą Windows – od VistySP2 i Servera 2008 po aktualne wersje desktopowych i serwerowych„okienek”. Lukę wykorzystano do ataków na systemy NATO i UniiEuropejskiej, a także firmy z sektora energetycznego itelekomunikacyjnego (w tym polskie).

Możliwość zdalnego uruchomienia dowolnego kodu tym razemMicrosoft zapewnił poprzez lukę w menedżerze pakietów OLE.Windows pozwala mu na pobieranie i uruchamianie plików INF. Wwykorzystującym ten błąd exploicie, osadzonym w spreparowanychplikach PowerPointa, obiekty Package OLE mogły się odnosić dodowolnych zewnętrznych plików INF z niezaufanych źródeł. Byłyone pobierane, uruchamiając określone przez napastników polecenia.Oprócz tego exploit korzystał z kilku innych, znanych jużwcześniej luk w Windows.

Odkrycie iSight to zasługa analizy działań hakerskiej grupyTsar Team, uważanej za bezpośrednio powiązaną z Kremlem iprowadzącej swoje operacje od przynajmniej 2008 roku. Stała onam.in. za atakami spear-phishingowymi wymierzonymi w ministrów rząduUkrainy oraz członków niewymienionej z nazwy amerykańskiejorganizacji, podczas szczytu NATO poświęconego ukraińskiemukryzysowi. Nie wiadomo, jakie dane udało się wykraść napastnikom,ale eksperci przekonani są, że wykorzystanie tak poważnej luki0-day musiało przynieść efekty. Zmilitaryzowane dokumentyPowerPointa pozwolić miały napastnikom na dostanie się dokomputerów praktycznie wszystkich ofiar.

iSight o swoim odkryciu poinformowało Microsoft tak szybko, jakto tylko możliwe. Łatka usuwająca lukę w menedżerze OLE znajdujesię w zestawie przygotowanych na dzisiaj biuletynów bezpieczeństwa.Dlaczego jednak „czerw pustyni” (ang. „Sandworm”)? W kodzieexploita znaleziono kilka odniesień do słynnej „Diuny” FrankaHerberta, w której ogromne czerwie pustyni, Szej-huludy, byłyobiektem kultu ludności pustynnej planety Arrakis i postrachemprzybyszy z innych światów.

Oczywiście na bezpośrednie zaangażowanie władz FederacjiRosyjskiego w działania Tsar Team nie ma żadnych dowodów, ekspercijednak uważają, że nasz wschodni sąsiad od lat doskonali swojecyberbronie. Znalazły one swoje zastosowanie już podczas pierwszejwojny czeczeńskiej, a potem w działaniach przeciwko NATO podczasataków Paktu Północnoatlantyckiego na Serbię, w operacjachprzeciwko Estonii i Gruzji. Nie wydaje się więc zaskakujące, że wobecnym konflikcie na wschodzie Ukrainy cyberbronie ponownie znajdujązastosowanie, jako uzupełnienie klasycznych metod szpiegowskich.