*Watering hole * to całkiem dobrze obmyślana forma cyberataku przeciwkokonkretnym grupom społecznym, które wydają się odporne na zwykłyphishing czy nawet spear phishing. Realizuje się go w trzechetapach: wpierw ustala się, z których witryn WWW korzysta danagrupa, następnie próbuje się zarazić daną witrynę szkodliwymoprogramowaniem, wreszcie zaś czeka, aż ktoś z członków grupyzostanie zarażony (i przeniesie dalej malware do pozostałych, np. wzałącznikach do wiadomości e-mail, znacznie chętniej przecieżotwieranych, gdy towarzyszą wiadomościom przesłanym przezkolegów). Taki właśnie atak, odkryty przez firmę FireEye, zostałwyprowadzony przeciwko weteranom wojskowym w USA, najprawdopodobniejprzez chińskich hakerów.
Jak informuje FireEye, napastnicyzdołali umieścić w witrynie organizacji US Veterans of ForeignWars (VFW) pływającą ramkę, która otwierała w tle stronęzawierającą ładunek z exploitem wcześniej nieznanej luki typu*use-after-free *(alokacjipamięci do wskaźnika po tym, jak została ona przez programzwolniona) w Internet Explorerze 10. Dzięki temu, że w ten sposóbnapastnik może zmodyfikować pamięć pod dowolnym adresem,systemowe zabezpieczenie ASLR nic w tym wypadku nie daje. Pozaładowaniu złośliwego kodu do przeglądarki, uruchamiany jestobiekt Flasha, przez który realizowana jest dalsza część ataku.
Ładunek szkodnika instaluje wsystemie furtkę ZXShell,która natychmiast po uruchomieniu łączy się z serwerem dowodzeniai kontroli, któregoadres prowadzi do Hong Kongu. W ten sposób mogli przejąćloginy i hasła ofiar, wykorzystywać ich komputery do ataków DDoS,uruchamiać zdalnie dowolne oprogramowanie.
Atak pozwolić miał nazinfiltrowanie nie tylko weteranów, ale też wielu aktywnychżołnierzy armii USA, których wielu w dniu ataku korzystało zwitryny VFW – 17 lutego jest dniem urodzin Jerzego Waszyngtona,federalnym świętem w Stanach Zjednoczonych. W tym czasie wielupracowników federalnych było wysłanych do domów, ze względu nasrogie warunki pogodowe.
To nie pierwsza taka operacja chińskich hakerów – w ten sposóbzaatakowano niezależny think-tank Council on Foreign Relations iwitryny kilku powiązanych z nim amerykańskich korporacji, późniejzaś atak przeprowadzono przeciwko hostowanym na serwerach Harvarduwitrynom grup dyskusyjnych zajmujących się kwestiami praw człowiekana Dalekim Wschodzie. FireEye twierdzi też, że napastnicy wcześniejatakowali innymi metodami liczne amerykańskie i japońskie firmy iinstytucje rządowe.
Na razie nie wiadomo, kiedywydana zostanie łatka dla luki CVE-2014-0322, Microsoft nie zdążyłjeszcze skomentować sprawy. Warto jednak podkreślić, że jeśliużytkownik IE10 korzysta z Zestawu narzędzi rozszerzonegośrodowiska ograniczającego ryzyko (EMET),exploit nie zdoła uruchomić złośliwego kodu – dlatego, jeślikorzystacie z Windows, zalecamy by EMET zainstalować (chroni on nietylko Internet Explorera, ale też praktycznie wszystkie inneaplikacje dla systemu Microsoftu).
