Η technologia Automatyczne zapobieganie exploitom firmy Kaspersky Lab - który jest zintegrowany z większością rozwiązań bezpieczeństwa firmy dla terminali - wykrył szereg ukierunkowanych ataków cyfrowych. Ataki zostały przeprowadzone przez nowe złośliwe oprogramowanie, które wykorzystywało szeroko rozpowszechnioną lukę dnia zerowego w systemie operacyjnym Microsoft Windows 10. Intencją cyberprzestępców było uzyskanie pełnego dostępu do systemów ofiar na Bliskim Wschodzie. Ta luka została naprawiona przez Microsoft 9 października.
Atak dnia zerowego jest jedną z najniebezpieczniejszych form cyberzagrożeń, ponieważ polega na wykorzystaniu luki w zabezpieczeniach, która nie została jeszcze odkryta i zidentyfikowana. W przypadku wykrycia przez agenta zagrożeń luka zero-day może zostać wykorzystana do stworzenia exploita, który może dać dostęp do całego systemu komputerowego firmy atakującego. Ta forma ataku jest szeroko rozpowszechniona wśród zaawansowanych agentów atakujących ART i została wykorzystana również w tym przypadku.
Exploit wykryty w oprogramowaniu Microsoft Windows dotarł do ofiar przez backdoora PowerShell. Exploit został następnie przeprowadzony w celu uzyskania przez nadawcę niezbędnych uprawnień do obecności w systemach ofiar. Kod złośliwego oprogramowania był wysokiej jakości i napisany w celu ułatwienia efektywnego działania jak największej liczby różnych systemów Windows.
Ataki cyfrowe były wymierzone w mniej niż tuzin znanych organizacji na Bliskim Wschodzie w ciągu ostatniego lata. Uważa się, że drużyna stojąca za atakiem to FruityArmor – ponieważ backdoor PowerShell był w przeszłości używany wyłącznie przez ten zespół. Natychmiast po wykryciu eksperci z Kaspersky Lab natychmiast zgłosili usterkę firmie Microsoft.
Produkty firmy Kaspersky Lab wykryły tego exploita profilaktycznie przy użyciu następujących technologii:
- Za pośrednictwem Kaspersky Lab Behavior Detection Engine i Auto Prevention Spread Tools dostępnych we wszystkich produktach zabezpieczających firmy.
- Poprzez Advanced Sandboxing i mechanizm Antimalware dostępny na platformie Kaspersky Anti Targeted Attack.
Jak stwierdził Anton Iwanow, specjalista ds. bezpieczeństwa Kaspersky Lab,
„Jeśli chodzi o luki dnia zerowego, ważne jest, aby aktywnie monitorować krajobraz zagrożeń pod kątem nowych exploitów. W firmie Kaspersky Lab ciągłe poszukiwania inteligentnych zagrożeń pomagają nam nie tylko znajdować nowe ataki, ale także kierować różne zagrożenia cyfrowe. Zamierzamy również dowiedzieć się, jakich złośliwych technologii używają ci przestępcy. „W wyniku naszych badań dysponujemy potężnym narzędziem do wykrywania technologii, które pozwala nam zapobiegać atakom — takim jak to, które miało na celu wykorzystanie tej luki”.
Aby uniknąć exploitów zero-day, Kaspersky Lab zaleca następujące środki techniczne:
- Unikaj używania oprogramowania, o którym wiadomo, że jest podatne na ataki lub które zostało niedawno użyte w atakach cyfrowych.
- Upewnij się, że oprogramowanie używane przez Twoją firmę jest regularnie aktualizowane do najnowszych wersji. Produkty zabezpieczające z funkcjami oceny luk w zabezpieczeniach i zarządzania poprawkami mogą pomóc zautomatyzować te procesy.
- Korzystaj z potężnego rozwiązania zabezpieczającego, takiego jak Kaspersky Endpoint Security for Business, które jest wyposażone w funkcje wykrywania opartego na zachowaniu, zapewniające skuteczną ochronę przed znanymi i nieznanymi zagrożeniami, w tym przed zagrożeniami.
