ESETi teadlased teatasid ülimalt sihitud nullpäeva rünnakust Ida-Euroopas. Turvaauk kasutas Microsoft Windowsi lokaalse privileegi eskaleerumise haavatavust. Meie teadlased on suutnud tuvastada ka toimepanijad – kurikuulus Buhtrap APT ja küberkuritegevuse grupp, mis keskendub spionaažioperatsioonidele Ida-Euroopas ja Kesk-Aasias. ESET nägi esimest korda nullpäeva rünnaku kasutamist antud grupi poolt.

Buhtrapi grupp on tuntud nii finantsasutuste kui ka Venemaa ettevõtete sihtimise poolest. Ent alates 2015. aasta lõpust oleme olnud tunnistajaks grupi traditsiooniliste sihtmärkide profiilide muutustele. Grupp on täiustanud puhtalt rahalise kasu eesmärgil küberkuritegevuse meetodeid uute, spionaažiks kasutatava pahavaraga.

“Teatud tegevust on alati raske omistada konkreetsele tegijale, juhul kui nende tööriistade lähtekood on veebis vabalt kättesaadav. Kuna aga sihtmärgi muutus toimus enne lähtekoodi lekkimist, oli meie hinnangul  valitsusasutustele suunatud rünnaku taga ka esimese, ettevõtete ja pankade vastu suunatud Buhtrapi pahavara rünnakuga seotud inimesed”, ütleb ESETi juhtiv teadlane Jean-Ian Boutin. “On ebaselge, kas üks või mitu antud rühma liiget ja mis põhjusel otsustasid muuta fookust, kuid eeldatavasti näeme taolisi käike ka edaspidi”, lisas ta.

Olulised sündmused Buhtrapi ajaskaalal

Kuigi nende arsenali lisati uusi vahendeid ja vanu vahendeid uuendati, näitas ESETi uuring, et Buhtrapi rünnakutes kasutatud taktikad, tehnikad ja protseduurid ei ole aastate jooksul oluliselt muutunud.

Pahatahtlike failide edastamiseks kasutatavad dokumendid on sageli kaasas healoomuliste peibutusdokumentidega, et vältida kahtlustuste teket ohvrites enne pahavara avamist. Nende peibutusdokumentide analüüs annab teadlastele vihjeid võimalikke sihtmärkide osas. Spionaaži toimingutes kasutatavad tööriistad olid väga sarnased ettevõtete ja finantsasutuste vastu kasutatud vahenditega.

Selle konkreetse rünnaku puhul sisaldas pahavara paroolivarast, mis püüdis koguda e-posti klientide, brauserite jne salasõnu ning saata need juhtimis- ja kontrolliserverisse. Pahavara andis oma operaatoritele täieliku juurdepääsu ka ohustatud süsteemile.

ESET teavitas rünnakust Microsoft Security Response Centre`it, mis kinnitas haavatavuse ja teostas parandused.

Lisateabe saamiseks Buhtrapi ja selle viimase rünnaku kohta Buhtrap group uses zero-day in espionage campaigns lugege WeLiveSecurity.com-s.