Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » Noslēpumains hakeris trīs gadus tirgojis Windows nulles dienas ievainojamības dažādām spiegu grupām

Noslēpumains hakeris trīs gadus tirgojis Windows nulles dienas ievainojamības dažādām spiegu grupām

Kā Kaspersky Lab pētnieki informēja izdevumu ZDNet, trīs gadu laikā noslēpumains hakeris ir tirgojis Windows nulles dienas ievainojamību ekspluatējumus vismaz trīs kiberspiegošanas grupām Fancy Bear (tiek saistīta ar Kremļa dienestiem), FruityArmor un SandCat, kā arī kriminālnoziedznieku bandām.

 

 

Valdību atbalstītas kiberspiegošanas grupas (pazīstamas arī ar nosaukumu APT – Advanced Persistent Threats), par kuru mītnes reģionu tiek uzskatīta Krievija un Vidējie Austrumi, bieži vien ir pieķertas izmantojam nulles dienas ievainojamību ekspluatējumus, kurus izstrādājušas legālas kompānijas, kas izmanto ievainojamību brokerus valdības aģentūru vajadzībām.

Tomēr Kaspersky Lab neseni atklājumi liecina, ka APT grupas nebūt nekautrējas no iespējām paviesoties nelegālajos hakeru tīklos ar nolūku iegādāties ekspluatējumus, kurus kibernoziedznieku grupām izstrādājuši atsevišķi hakeri, ja radusies tāda vajadzība.

 

Kas notika ar BuggiCorp?

Hakeris, kurš pēc Kaspersky Lab ekspertu domām ir viens no visražīgākajiem nulles dienas ievainojamību piegādātājiem, tagad ir pazīstams ar vārdu Volodja. 2016. gadā, izmantojot iesauku BuggiCorp, hakeris nonāca virsrakstos pēc tam, kad bija izlicis pārdošanai Windows nulles dienas ievainojamību bēdīgi slavenajā forumā Exploit.in.

Tolaik šāds sludinājums izraisīja šoku, jo reti kad varēja redzēt šāda satura hakeru piedāvājumus šādos publiskos forumos tādēļ, ka lielākā daļa šādu darījumu tika veikti privātu kontaktu ceļā. Lai gan BuggiCorp nācās samazināt sākotnējo cenu no 95 000 līdz 85 000 ASV dolāru, viņš beigu beigās pārdeva nulles dienas ievainojamību kibernoziedznieku grupējumam un sludinājums viņam palīdzēja izveidot reputāciju.

BuggiCorp izmantoja iegūto popularitāti, lai izveidotu savu klientu loku un turpinātu pārdot citas nulles dienas ievainojamības jau privāti, cenai dažkārt sasniedzot pat 200 000 ASV dolāru – par to informēja Kostins Raiju, Kaspersky Lab Globālās izpētes un analīzes grupas (GReAT) – kompānijas elitārās APT izsekošanas vienības – direktors. Kopš tā brīža Kaspersky Lab GReAT grupa seko šim hakerim ar iesauku Volodja, kuru viņš dažkārt atstāj savu ekspluatējumu kodā.

 

Hakeris pārdeva nulles dienas ievainojamības vismaz trīs APT grupām

“Volodja ir ražīgs ekspluatējumu izstrādātājs un nulles dienas ievainojamību pārdevējs, kuru mēs turam uzmanības lokā jau kopš 2015. gada,” e-pasta sarakstē ZDNet informēja Raiju. “Šķiet, ka Volodja izstrādājis ekspluatējumu CVE-2019-0859, par kuru mēs 2019. gada martā informējām Microsoft.”

Šo nulles dienas ievainojamību, kura tagad ir novērsta, izmantoja vismaz divas APT grupas (FruityArmor un SandCat) – to stāsta GReAT grupas loceklis Visente Diazs, kurš nesenajā vebinārā iepazīstināja arī ar nulles dienas ievainojamību pārdošanu, ko veicis Volodja.

Lai gan lielākā daļa no šiem aizdomīgajiem darījumiem veikti privāti, Diazs pastāstīja, ka viņa Kaspersky Lab grupa izsekojusi Volodju, analizējot to ekspluatējumu kodu, kuri izmantoti pādējos uzbrukumos.

“[FruityArmor un SandCat] ir dažādi grupējumi, jo tiem atšķiras uzbrukuma virzieni, mērķi, tiem ir dažādas intereses”, Diazs pastāstīja Kaspersky Lab vebinārā, kurš bija veltīts APT tendencēm 2019. gada 1. ceturksnī. “Tomēr šķiet, ka viņiem ir viens un tas pats apgādnieks. Mūsu hipotēze ir tāda, ka viņi iegūst resursus no viena un tā paša avota [Volodjas].”

Skatiet vebināra ierakstu šeit: APT Trends in Q1, 2019 – the latest campaigns, tools and targets

CVE-2019-0859 ir pēdējā nulles dienas ievainojamība, kuras saikni ar Volodju Kaspersky Lab ir izdevies atklāt. Otra ir CVE-2016-7255, kas arī ir Windows ievainojamība, kuru gan Raiju, gan Trend Micro pētnieki saista ar bēdīgi slaveno APT Fancy Bear (zināmu arī kā APT28, Pawn Storm, Sednit, Sofacy vai Strontium).

Lasiet arī: Krievvalodīgā kiberspiegošanas grupējuma Sofacy mērķi ietver arī Latviju

Raiju pastāstīja ZDNet par to, ka CVE-2016-7255 ir tikai viena no vairākām nulles dienas ievainojamībām, kuras Volodja gadu laikā ir pārdevis APT grupām. Hakeris arī turpinājis sadarbību ar zemākas klases kibernoziedznieku grupām, kuras tieši tāpat ir pirkušas un izmantojušas dažas no šīm nulles dienas ievaojamībām.

Raiju informēja, ka papildus nulles dienas ievainojamību ekspluatējumiem Volodja izstrādā arī ekspluatējumus novērstajām ievainojamībām, piemēram, “viendienītes” vai ekspluatējumus vecākām ievainojamībām, kuras tiek uzskatītas par stabilām un var vēl tikt izmantotas datoros ar neatjauninātu operētājsistēmu.

Volodja varētu pat atrasties veselas izstrādātāju un ekspluatējumu izplatītāju grupas priekšgalā – šādu teoriju pagaidām atmest nevar, līdz netiks atklātas sīkākas detaļas.

Tiem, kuri paši grib dzirdēt Kostinu Raiju vai pat uzdot viņam kādu jautājumu, piedāvājam viņa vadītu vebināru jau šonedēļ.

 


Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

9 + 1 =

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu