NATO angrepet med Windows-hull

Nulldagssårbarhet skal ha vært utnyttet siden 2009.

Myndigheter i EU-land, NATO, europeiske tele- og kraftselskaper, samt en akademisk institusjon i USA er blant ofrene for en avansert hackerkampanje som har utnyttet et tidligere ukjent Windows-hull, ifølge iSight Partners, som ikke kan avvise at flere er berørt. Sporene leder tilbake til Russland.
Myndigheter i EU-land, NATO, europeiske tele- og kraftselskaper, samt en akademisk institusjon i USA er blant ofrene for en avansert hackerkampanje som har utnyttet et tidligere ukjent Windows-hull, ifølge iSight Partners, som ikke kan avvise at flere er berørt. Sporene leder tilbake til Russland.
15. okt. 2014 - 10:24

Microsoft sendte i går ut en større pakke med sikkerhetsoppdateringer som blant annet inneholder lappesaker mot en tidligere ukjent sårbarhet, en såkalt nulldagssårbarhet, i Windows.

Alle utgaver av Windows fra Vista (servicepakke 2) til og med nyeste Windows 8.1, samt serverutgavene 2008 og 2012 er berørt.

Angrep NATO

Sårbarheten skal helt siden 2009 ha vært utnyttet i en pågående hackerkampanje med angrep mot NATO, EU-land, Ukraina, europeiske teleselskaper og energisektoren.

Det opplyser det amerikanske IT-sikkerhetsselskapet iSight Partners, som etter å ha oppdaget forholdet har samarbeidet tett med Microsoft.

Russisk «sandorm»

iSight føler seg sikre på at angrepet stammer fra russiske hackere. De har indentifisert fem ulike grupperinger som utnytter såbarheten, som er gitt løpenummeret CVE-2014-4114.

Angrepskampanjen er døpt «Sandworm» etter funn av flere referanser til science fiction-klassikeren Dune i både skadevare og tilhørende URLer brukt av angripernes kommando- og kontrollservere.

Det er verdt å merke seg at navnet er misvisende. Skadevaren som er brukt er ingen dataorm. Snarere skal angriperne ha plantet trojanere på ofrenes pc-er.

En foretrukket metode, som iallfall én av de identifiserte grupperingene skal ha benyttet, er såkalt spearphishing, der ofrene får tilsendt vedlegg i epost med ondsinnet kode innebygget.

– Mange av tilfellene ser ut til å ha klare forbindelser til Ukrainas konflikt med Russland og til bredere russiske geopolitiske forhold. Nylig har gruppen brukt flere angrepsmetoder inkludert Black Energy-trojaneren, utnyttelse av to tidligere kjente sårbarheter på en gang, samt denne nyoppdagede nulldagssårbarheten i Windows, skriver iSight i kunngjøringen.

Forgiftede Powerpoint-filer er observert i flere av disse angrepene, som fremstår som svært målrettet.

Viktig - ikke kritisk

Microsoft har ikke utstyrt nevnte nulldagssårbarhet med sin høyeste sikkerhetsgradering, kritisk, som er forbehold tilfeller der en angriper kan skaffe seg systemprivilegier med angrep over et nettverk.

I feilfiksen de sendte ut tirsdag fremgår det at nivået er definert som "viktig". Utnyttelse av feilen kan resultatere i kjøring av vilkårlig kode, ved at ofrene lures til å åpne Office-dokumenter med et spesielt utformet OLE-objekt (Object Linking and Embedding).

– Dersom brukeren (offeret) er pålogget med administrative rettigheter, så kan angriperen installere programmer, lese, endre og slette data, eller skape nye brukerkontoer med fulle rettigheter. Kunder med kontoer som er konfiguert med færre rettigheter på systemet er mindre utsatt enn de som opererer med administrator-rettigheter, opplyser Microsoft.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.