Kaspersky Lab včera přinesla zprávu o vysoce promyšleném útoku využívajícím nedávno odhalenou (ale už opravenou) zranitelnost ve čtečce PDF. Z pohledu sociálního inženýrství odvedli útočníci skvělou práci na přípravě věrohodných a dobře zacílených PDF. Vyrobili například informační leták ke smyšlenému semináři o lidských právech anebo dokument probírající vyhlídky Ukrajiny na členství v NATO.
Útočníci byli aktivní ještě těsně před vydáním opravy, uvádí Kaspersky.
Na vysoké úrovni je i sám malware. V Kaspersky Lab z něj mají pocit, jako by se po deseti letech spánku probudili hackeři „ze staré školy“. Kromě toho malware umí rozpoznat přítomnost antivirové detekce a ihned zastavit svou činnost.
Při otevření záškodného PDF se nenápadný malware uloží do počítače a spustí při dalším rebootu. S řídícími servery potom komunikuje přes falešné účty na Twitteru, skrze zdánlivě běžné spammerské hlášky, obsahující však kódy. Popřípadě umí využít i vyhledávání od Googlu. Malware kromě toho manipuluje se soubory v počítači.
Kaspersky se dostali k některým řídícím serverům a získali z nich logy. V nich našli — podle včerejší zprávy — 59 napadených z 23 zemí, včetně blíže nejmenovaného vládního úřadu (anebo úřadů) z České republiky. Blíže to prozradit odmítají.
Jako obranu doporučují jednak opatření běžná: instalaci posledních záplat pro Javu, pro Adobe Reader, pro Microsoft Office. (Javu popřípadě odstranit, není‑li potřebná.) A ovšemže doporučují nainstalovat bezpečnostní software, například Kaspersky Internet Security, a neotevírat podezřelé dokumenty, anebo je otevírat za zvláštních opatření, předjímajících jejich nebezpečnost.
Ve zprávě uvádějí také konkrétní servery a IP adresy, které lze zamezit. (To ovšem není opatření obecné, které by pomohlo i příště.)
Prohlášení NBÚ
Národní centrum kybernetické bezpečností, působící v rámci Národního bezpečnostního úřadu, k případu dnes vydalo prohlášení, že „nemá v tuto chvíli potvrzeno, že by v České republice došlo k úniku utajovaných informací ze státní sféry. Certifikované informační systémy, které v České republice statní instituce používají ke zpracovávání utajovaných informací, tento způsob útoku dokonce vylučují. Jsou fyzicky oddělené od veřejných sítí a proti takovým zásahům zvenčí dostatečně chráněné.“