EFF, tedy Electronic Frontier Foundation, najdete na www.eff.org a je to jedna z organizací, která velmi bedlivě sleduje a řeší svobody internetu a jeho uživatelů. Nejenom proto se stala cílem útočné kampaně, kterou ti, kteří ji objevili, spojují přímo s ruskou vládou a snahou nakazit malwarem počítače lidí, kteří by pro ně mohli být užitečným cílem. Samozřejmě malwarem, který bude získávat hesla, data a odposlouchávat.
Posloužit k tomu měl web na www.electronicfrontierfoundation.org, který se vydával za skutečnou EFF a cíleně napadal počítače návštěvníků. Podle Trend Micro se útočná kampaň pojmenovaná Pawn Storm rozeběhla už někdy v říjnu loňského roku. Cílem byla americká armáda, ambasády, dodavatelé pro obranu, ale také ruští disidenti a mezinárodní mediální organizace.
Ještě máte v počítači Javu? Divný nápad
Minulý měsíc kampaň nasadila těžší kalibr, 0day zranitelnost v Java pluginu od Oraclu (ještě stále máte v počítači zbytečnou Javu?) a podle informací od EFF bylo tímto způsobem možné napadnout Windows, MAC i Linux.
Ve Windows případné napadení vede k instalaci keyloggeru a dalších modulů umožňujících získávat z počítače informace. K potenciální oběti se dostává e-mailem (klasický „spear-phishing“ mechanismus) s unikátní adresou, která vede k přesměrování na další unikátní adresu pokoušející se o zneužití zranitelnosti. Pokud se to povede, unikátní adresy přestávají fungovat, takže je obtížné později zjistit, co/kde se dělo.
Falešný web fungoval ještě minulý týden, než se podařilo ho zrušit a následně přesměrovat přímo na eff.org. 0day zranitelnost v Javě byla sice Oraclem opravena několik dní poté, co se na ni přišlo, ale jak víme, aktualizace něčeho jako Java je uživateli silně podceňovaná a zanedbávaná.
Pořád máte Flash?
Trend Micro uvádí, že Operation Pawn Storm původně používali spear-phishingové maily přímo s přílohami, využití webů se objevilo až v dalších fázích a electronicfrontierfoundation.org není jediným zneužitým webem, byla jich celá řada. Většinou ale útočníci využívali stejný mechanismus, buď překlep nebo nějakou variantu originálního webu. V jedné z dalších kampaní útočníci používali škodlivý kód přes IFRAME vsouvaný do, například, polských vládních webů.
Instalovaný malware jménem Sednit je zajímavý i tím, že jeho autoři velmi rychle přidali do útočného arzenálu kód získaný z úniku po hacku Hacking Team. Jedním z dalších útočných mechanismů byla i 0day zranitelnost ve Flashi (CVE-2015–5119) opravená 8. července – nasaditelná a zneužitelná nejen ve většině prohlížečů, ale také prostřednictvím Microsoft Office dokumentů.
Proto i zde, stejně jako u Javy, platí, že pokud zcela bezpodmínečně nutně nepotřebujete v počítači Flash, tak je nejlepší ho kompletně odstranit.