Спецпроекты

Знаменитое хакерское ПО начало атаку на российские компании

2267
Безопасность Бизнес ИТ в госсекторе Маркет

Эксплойт, использованный для атак как минимум на две российские компании, нацелен на уязвимости в VirtualBox. Ранее им пользовалась русскоязычная APT-группировка Turla, но она не атакует организации в России.

Таинственный баг

Ряд российских организаций был атакован новой разновидностью вредоносной программы AcidBox, которая использует вариант знаменитого эксплойта, прежде известного в качестве одного из инструментов APT-группировки Turla.

Киберкампания Turla была впервые описана «Лабораторией Касперского» в 2014 г. Однако сама по себе кампания, также известная как Snake, Uroburos, Waterbug, VenomousBear и Krypton, была активна примерно с 2007 г. Большую часть ее целей составляют дипломатические учреждения, правительственные организации и частный бизнес в странах бывшего СНГ, в Европе, Азии, на Ближнем Востоке, а также на обоих американских континентах. По данным «Касперского», операторы Turla — русскоязычные.

Эксплойт, использовавшийся в рамках этой кампании, изначально был нацелен на две уязвимости в системе виртуализации VirtualBox (в старых версиях — SunxVMVirtualBox, теперь — продукт Oracle), из которых только одна была исправлена. Позднее эксплойт был доработан, и теперь использует некую неизвестную уязвимость в более новых версиях драйвера VirtualBoxVBoxDrv.sys.

Этой новой версией пользуется некая неизвестная группировка, которая атаковала российские организации. С Turla она, судя по всему, не связана, хотя подробностей о ней очень мало.

haker600.jpg
Кибергруппировка модифицировала чужой эксплойт для атак на российские компании

«В феврале 2019 года Unit 42 (подразделение группы Palo Alto Network) выяснило, что некий еще не установленный актор, прежде неизвестный сообществу экспертов по безопасности, обнаружил, что вторая, неисправленная уязвимость может эксплуатироваться не только в драйвере Virtual Box VBox Drv.sys версии 1.6.2, но и во всех других версиях, вплоть до 3.0.0. Наше расследование показало, что неизвестный актор использовал драйвер версии 2.2.0 для атак как минимум на две разные российские организации в 2017 году, о чем мы сообщаем впервые... Мы предполагаем, что это было сделано потому, что об уязвимости в драйвере версии 2.2.0 не было известно, и поэтому его эксплуатация оставалась, скорее всего, вне поля зрения разработчиков средств безопасности», — говорится в публикации PaloAlto.

Таинственный набор

Эксплойт стал частью вредоносной программы AcidBox; по мнению экспертов, она использовалась для узконаправленных атак, поскольку в системах других жертв той же группировки обнаружить ее не удавалось. Все известные на данный момент компоненты вредоноса датированы 9 мая 2017 г. Более новых обнаружить пока не удалось, как не удалось выяснить ничего и про другие операции этой группировки.

Зато теперь известно, что эксплойт Turla (а эта кампания по-прежнему активна) может быть использован не только для атак на старые версии VirtualBox.

В исследовании PaloAltoNetworks указывается, что AcidBox является частью более крупного набора инструментов. Пока, однако, его не удалось установить.

«Вопрос в том, пользовались ли операторы Turla в последнее время новой версией эксплойта, или же неизвестный актор доработал его независимо от разработчиков оригинала, так что доступа у операторов Turla к нему не было, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SECConsultServices. — Эксперты PaloAlto воздержались от публичного раскрытия упомянутой неизвестной уязвимости, но, скорее всего, сообщили о своей находке в Oracle, а значит там уже вовсю работают над исправлениями. Остается выяснить, насколько высока вероятность того, что дополнительная модификация того же эксплойта сделает его эффективным против более новых версий VirtualBox.