Pierwsze ataki z wykorzystaniem nowego exploitu wykryte zostałyprzez sieć Kasperskiego już 9 kwietnia. Próbki trafiły do badaczykilka dni później – były to dwa pliki .swf z nieskompresowanymwideo we Flashu. Wiaczesław Zakorzewski z Kaspersky Lab podkreśla,że oba ataki są w stanie obejść mechanizmy ochronne Flash Playerai Windows (w tym Windows 8). Jeden z nich został specjalnieprzystosowany do infekowania maszyn, na których zainstalowanoMeetingPlace Express AddIn – dodatek do oprogramowania Cisco dowideokonferencji, pozwalający na wyświetlanie dokumentów (iprawdopodobnie wykorzystany do pobrania bojowego ładunku przez tomalware). Każe to sądzić, że atak był wymierzony w niewielką,precyzyjnie wybraną grupę ofiar, tak by nie przyciągnąć uwagisieci ochronnych producentów oprogramowania zabezpieczającego.
Interesujące w ataku tej skali jest wykorzystanie wcześniejnieznanej luki w niewspieranymjuż komponencie PixelBender Flasha, występującej we wszystkichwersjach odtwarzacza Adobe – nie tylko dla Windows, ale też dlaOS-a X, Linuksa i Pepper API (Google Chrome). Najwyraźniej autorzyexpoita liczyli na to, że programiści Adobe nie będą specjalniesię przyglądali porzuconemu komponentowi i podatność na atakutrzyma się dłużej. Choć ten konkretny atak działał wyłączniena Windows 8 (malware testowało wersję systemu operacyjnego), niejest wykluczone, że teraz, gdy jego szczegóły są znane, niepojawią się w Sieci nowe złośliwe pliki SWF, spreparowane przezinne grupy napastników.
Dlatego oznaczona jako CVE-2014-1776 luka we Flash Playerzezostała już załatana przez Adobe w wersjach wtyczki dla wszystkichsystemów operacyjnych. Użytkownicy Google Chrome oraz InternetExplorera 10 i 11 otrzymają poprawioną wersję automatycznie,pozostali powinni zrobić to ręcznie. Po szczególy odsyłamy dobiuletynubezpieczeństwa Adobe.
Odkrycie to pokazuje jednak, że cyberataki, za którymi stojąjuż nie tyle zwykli cyberprzestępcy, co sponsorowaniprzez instytucje państwowe napastnicy, stają się coraz częstsze iwychodzą poza relacje chińsko-amerykańskie. Wykorzystanienieznanego wcześniej 0-daya dla Flash Playera świadczy o gotowościtych osób do wydania nawet setek tysięcy dolarów na czarnym rynku,by zaatakować raptem siedem osób (o takiej liczbie ofiar ostatniegoataku mówi Wiaczesław Zakorzewski). Nie dziwi więc, że firmytakie jak francuski VUPEN Security otwarcie przyznają się, żewiedza o lukach zdobyta przez ich ekspertów jest dostępna dlakażdego – ale tylko za odpowiednie pieniądze. Wraz z rosnącąliczbą dysponujących niezłym budżetem rządowych klientów, cenaluk 0-day może więc tylko wzrosnąć.
