نفوذگران روسی و سواستفاده از دو ضعف امنیتی جدید

شرکت امنیتی FireEye از انتشار محدود بدافزاری خبر داده است که از دو ضعف امنیتی، یکی در نرم افزار Adobe Flash – با شناسه CVE-2015-3043 – و دیگری در سیستم عامل Windows – با شناسه CVE-2015-1701 – سواستفاده می کند.

بر اساس تحقیقات این شرکت، آلودگی های ناشی از این بدافزا از 24 فروردین آغاز شده است. شرکت Adobe  ضعف امنیتی Flash را که در زمان انتشار بدافزار ناشناخته بود ترمیم کرده است. اما شرکت Microsoft هنوز اصلاحیه ای برای ضعف امنیتی مورد استفاده این بدافزار ارائه نکره است.

FireEye گروه APT28 را گرداننده این بدافزار می داند. در سال گذشته در یک مقاله تحقیقاتی FireEye اعلام کرد گروه APT28 از سال 2007 بارها نهادهای دولتی و نظامی اروپای شرقی و سازمان های امنیتی اروپایی همچون NATO و OSCE را هدف قرار داده است. بررسی های FireEye نشان می داد بدافزارهای این گروه با مترجم (Compiler)هایی با تنظیمات زبان روسی و در طی ساعات کاری که با منطقه زمانی شهرهای بزرگ روسیه همچون مسکو و سن پترزبورگ مطابقت دارد، ساخته شده اند. با در نظر گرفتن این موضوع و اهداف مورد حمله این گروه، می توان اینطور نتیجه گیری کرد که گروه APT28 با دولت روسیه ارتباطی نزدیک دارد.

بدافزار جدید این گروه با بکارگیری روش های مهندسی اجتماعی کاربر را تشویق به کلیک بر روی یک پیوند (link) مخرب می کند. در صورت کلیک کردن بر روی پیوند، کاربر به سایتی که حاوی یک ابزار بهره جو (Exploit) برای سواستفاده از ضعف امنیتی Flash است، هدایت می شود. با آلودن شدن دستگاه، بدافزار از ابزار بهره جوی دیگر که مربوط به سیستم عامل Windows است، برای ارتقای حق دسترسی خود استفاده می کند.

در صورت نصب بودن اصلاحیه شرکت Adobe، ابزار بهره جویی که بدافزار جدید از آن استفاده می کند، قادر به خرابکاری نخواهد بود.