Rosyjscy hakerzy wykorzystali lukę w Microsoft Office. Na komputerach dyplomatów znalazły się tylne furtki
Mimo że Microsoft wypuścił awaryjną poprawkę do pakietu Office w niespełna 48 godzin od zidentyfikowania luki, rosyjska grupa hakerów, znana m.in. jako Forest Blizzard, Sednit lub APT28, dokonała inżynierii wstecznej łatki i skorzystała z dziury w zabezpieczeniach, aby zainstalować tylną furtkę na komputerach należących do dyplomatów oraz przedstawili firm transportowych z kilku państw.
Jak dowodzi opisywana sytuacja, nawet szybka reakcja na odkrytą dziurę w zabezpieczeniach softu nie jest gwarantem tego, że owa luka nie zostanie wykorzystania przez osoby o niecnych zamiarach. Pod koniec ubiegłego miesiąca okazało się, że w pakiecie Microsoft Office zidentyfikowana została podatność sklasyfikowana jako CVE-2026-21509. Gigant z Redmond prężnie wkroczył do akcji, a stosowna poprawka została wypuszczona w ciągu dwóch dni. Szkopuł w tym, że rosyjska grupa hakerów rozłożyła świeżą aktualizację na czynniki pierwsze i na jej podstawie przygotowała niewidziane wcześniej oprogramowanie umożliwiające zamontowanie tylnej furtki na zainfekowanym komputerze.
Rosyjscy hakerzy wykorzystali lukę w Microsoft Office
Wedle informacji przytoczonych przez redakcję portalu Ars Technica, za ostatnimi wydarzeniami uwzględniającymi wykorzystanie dziury w Microsoft Office stoi grupa cyberprzestępców z Rosji, przedstawiająca się, w zależności od sytuacji, jako APT28, Fancy Bear, Forest Blizzard, Sednit, Sofacy lub UAC-0001. Udział tego zrzeszenia w incydencie potwierdzili zarówno badacze z firmy Trellix, jak i ukraiński CERT.
APT28 ma długą historię cyber-szpiegostwa i operacji wpływowych. Techniki wykorzystane w tej kampanii — wieloetapowe złośliwe oprogramowanie, rozbudowane zaciemnianie, nadużywanie usług w chmurze i atakowanie systemów poczty elektronicznej w celu uzyskania trwałości — odzwierciedlają dobrze wyposażonego, zaawansowanego przeciwnika, zgodnego z profilem APT28. Zestaw narzędzi i techniki również pasują do charakterystycznych cech APT28.
APT28 wykorzystało lukę w popularnym pakiecie biurowym do przeprowadzenia "wyrafinowanej kampanii szpiegowskiej" wymierzonej w instytucje wojskowe oraz rządowe europejskich państw. Sponsorowani przez Federację Rosyjską hakerzy najczęściej na cel obierali organizacje transportowe działające na terenie Polski, Ukrainy, Słowenii, Turcji, Grecji, a nawet Zjednoczonych Emiratów Arabskich.
Trellix podkreśliło, że rzeczona kampania charakteryzowała się wieloetapowym łańcuchem infekcji, a w jej toku zastosowano szereg sztuczek i pakiet złośliwego oprogramowania, wliczając w to niestandardową wstakę C++ o nazwie BeardShell. Jak podkreślono, osoby odpowiedzialne za atak wykorzystały oficjalną i legalną pamięć masową w chmurze (filen.io) w postaci infrastruktury dowodzenia oraz kontroli. Z jej pomocą normalny ruch generowany przez użytkowników był mieszany z tym złośliwym, za który to odpowiedzialni byli włamywacze.
Firma podkreśliła, że prędkość, z jaką APT28 udało się wykorzystać lukę w Officie dowodzi tego, iż to wspierane przez Rosjan ugrupowanie dysponuje pokaźnych rozmiarów arsenałem narzędzi. Korporacje muszą działać niesamowicie szybko, jeśli chcą zagwarantować bezpieczeństwo swoich produktów, albowiem już nawet niespełna 48 godzin na reakcję to zbyt szerokie okno na działanie.
Jakub Dmuchowski, redaktor pcformat.pl
