Kiberbűnözők és kémek is kihasználták január óta azt a sebezhetőséget a Microsoft Office-ban, amelyre csak a múlt héten derült fény, és a Microsoft kedden javította – írja a Hill nevű washingtoni lap.
Ahogy mi is megírtuk, az Office minden verzióját érintette az a hiba, amellyel teljesen átvehető volt az irányítás az áldozat gépe felett. Olyan Word-fájlokról volt szó, amelyek RTF formátumúak, de .doc kiterjesztésűek, és a megnyitás után egy távoli szerverhez kapcsolódva töltötték le a gépre a kártékony kódot. A sebezhetőséget a McAfee nevű biztonsági cég fedezte fel, és a Microsoft a héten a szokásos keddi frissítési turnusban ki is adta rá a javítást.
Egy másik biztonsági cég, a FireEye most azt állítja, a nulladik napi, vagyis akkor még felfedezetlen sebezhetőséget január óta bűnözők és kémek is kihasználták, az áldozatok között pedig orosz és angol nyelvű célpontok is voltak. A cég szerint a támadók által használt kódokban felfedezhető hasonlóságok arra utalnak, hogy a bűnözők és a kémek ugyanabból a forrásból kapták meg a sebezhetőséget – ami nem annyira meglepő, hiszen nem ritka az összefonódás vagy átfedés a kémek és a kiberbűnözők világa között, Oroszországban például előszeretettel toboroznak kémeket az elfogott kiberbűnözők közül.
A FireEye elemzői kétféle támadást azonosítottak. Egyrészt a hiba kihasználásával a FinFisher vagy FinSpy néven ismert, kereskedelmi forgalomban kapható kémszoftverrel fertőzték meg az áldozatok gépét. Ez az a kémprogram, amelyről 2014 óta, egy hekkelés utáni szivárogtatásnak köszönhetően biztosan tudjuk, hogy a magyar állam is használta kémkedésre. (Akkoriban azt is megnéztük, mire képes ez a program.) A támadásokhoz használt Word-dokumentum látszólag az orosz védelmi minisztériumtól származott, ezzel a trükkel vették rá a célpontokat, hogy megnyissák a fájlt.
Márciusban pedig angol nyelvű célpontokat támadtak ugyanezen a sebezhetőségen keresztül, az ő gépeikre a Latentbot nevű kártevőt telepítették. Ezt jellemzően inkább pénzügyi haszonszerzésre szokták használni, például adatlopásra, hogy hozzáférhessenek az áldozat pénzéhez.
Mindkét kártevő célba juttatásához ugyanazt a kódot használták. Ez több dolgot is jelenthet:
Nem a FireEye egyébként az első, akik konkrét támadásokban azonosították a sebezhetőséget. Más kutatók még kedden, a hiba javítása előtt tették közzé, hogy ugyanezt használták ki hekkerek a Dridex nevű banki trójai terjesztéséhez. A FireEye szerint viszont azok a támadások már a hiba nyilvánosságra hozása után születettek, valószínűleg a McAfee bejelentéséből visszafejtve a sebezhetőséget.
A Microsoft elismerte, hogy már a McAfee bejelentése előtt is érzékeltek ilyen támadásokat, de szerintük az a lényeg, hogy most már javították a hibát.