Operace RussianDoll: nebezpečný zeroday útok

Při sledování APT kampaně objevili bezpečnostní experti ze společnosti FireEye nebezpečnou hrozbu, která využívá zranitelností v OS ve Windows a některých programech od Adobe. Cílem této (dle expertů pravděpodobně ruské) špionážní akce byli dodavatelé bezpečnostních technologií a specialisté pracující pro NATO. Útok probíhal následujícím způsobem:

1. Uživatel kliknul na odkaz vedoucí na kompromitovaný web

2. www stránka pomocí javascriptu použije exploit využívající chybu v technologii Flash

3. Flash exploit (označený jako CVE-2015–3043) spustí další kód

4. Ten stáhne a spustí specializovaný malware

5. Malware eliminuje bezpečnostní mechanismy a pomocí eskalace práv (CVE-2015–1701) získá práva systému.

6. Malware v systému provádí úkoly, které mu sdělí řídicí server.

Útok funguje pouze na Windows 7 a starších systémech, zranitelnost produktů od Adobe se týká jak32, tak 64 bitové verze…

Další podrobnosti o útoku najdete na webu společnosti FireEye: https://www.fireeye.com/blog.html.