Sámuel, Hajna
12 °C
23 °C

Bűnözők és kémek is kihasználták a Word hibáját

2017.04.13. 13:13

Kiberbűnözők és kémek is kihasználták január óta azt a sebezhetőséget a Microsoft Office-ban, amelyre csak a múlt héten derült fény, és a Microsoft kedden javította – írja a Hill nevű washingtoni lap.

Ahogy mi is megírtuk, az Office minden verzióját érintette az a hiba, amellyel teljesen átvehető volt az irányítás az áldozat gépe felett. Olyan Word-fájlokról volt szó, amelyek RTF formátumúak, de .doc kiterjesztésűek, és a megnyitás után egy távoli szerverhez kapcsolódva töltötték le a gépre a kártékony kódot. A sebezhetőséget a McAfee nevű biztonsági cég fedezte fel, és a Microsoft a héten a szokásos keddi frissítési turnusban ki is adta rá a javítást.

A Word minden verziója sebezhető

A McAfee talált egy új hibát, a Microsoft holnap javítja. Frissítsen! Tovább

Egy másik biztonsági cég, a FireEye most azt állítja, a nulladik napi, vagyis akkor még felfedezetlen sebezhetőséget január óta bűnözők és kémek is kihasználták, az áldozatok között pedig orosz és angol nyelvű célpontok is voltak. A cég szerint a támadók által használt kódokban felfedezhető hasonlóságok arra utalnak, hogy a bűnözők és a kémek ugyanabból a forrásból kapták meg a sebezhetőséget – ami nem annyira meglepő, hiszen nem ritka az összefonódás vagy átfedés a kémek és a kiberbűnözők világa között, Oroszországban például előszeretettel toboroznak kémeket az elfogott kiberbűnözők közül.

off2
Fotó: Microsoft

A FireEye elemzői kétféle támadást azonosítottak. Egyrészt a hiba kihasználásával a FinFisher vagy FinSpy néven ismert, kereskedelmi forgalomban kapható kémszoftverrel fertőzték meg az áldozatok gépét. Ez az a kémprogram, amelyről 2014 óta, egy hekkelés utáni szivárogtatásnak köszönhetően biztosan tudjuk, hogy a magyar állam is használta kémkedésre. (Akkoriban azt is megnéztük, mire képes ez a program.A támadásokhoz használt Word-dokumentum látszólag az orosz védelmi minisztériumtól származott, ezzel a trükkel vették rá a célpontokat, hogy megnyissák a fájlt.

A magyar titkosszolgálatnak még a kémprogram telepítése sem sikerült

Kiszivárgott a FinSpy nevű, állami szervek körében kedvelt kémprogram weboldalának tartalma. Kiderült, hogy magyar szolgálatokkal is leveleznek, akiknek sok a gondjuk. Bemutatjuk Zoltan, a kiberkém mindennapjait. Tovább

Márciusban pedig angol nyelvű célpontokat támadtak ugyanezen a sebezhetőségen keresztül, az ő gépeikre a Latentbot nevű kártevőt telepítették. Ezt jellemzően inkább pénzügyi haszonszerzésre szokták használni, például adatlopásra, hogy hozzáférhessenek az áldozat pénzéhez.

Mindkét kártevő célba juttatásához ugyanazt a kódot használták. Ez több dolgot is jelenthet:

  • az eladó kémeknek és bűnözőknek is eladta a sebezhetőséget;
  • egy bűnöző, adta el kémeknek, de emellett saját célra is felhasználta;
  • egy kém gondolta úgy, hogy összeszed vele egy kis mellékest.

Nem a FireEye egyébként az első, akik konkrét támadásokban azonosították a sebezhetőséget. Más kutatók még kedden, a hiba javítása előtt tették közzé, hogy ugyanezt használták ki hekkerek a Dridex nevű banki trójai terjesztéséhez. A FireEye szerint viszont azok a támadások már a hiba nyilvánosságra hozása után születettek, valószínűleg a McAfee bejelentéséből visszafejtve a sebezhetőséget.

A Microsoft elismerte, hogy már a McAfee bejelentése előtt is érzékeltek ilyen támadásokat, de szerintük az a lényeg, hogy most már javították a hibát.