Grupo de Hackers russos exploram vulnerabilidade do Windows para espionagem.

iSIGHT Partners empresa descobriu uma equipe de hackers russo apelidado Sandworm que estava executando uma campanha de espionagem cibernética na NATO e outras entidades governamentais.

De acordo com um novo relatório divulgado pela empresa de segurança cibernética iSIGHT Partners um grupo de hackers russos foi explorando uma falha até então desconhecida no sistema operacional Windows, da Microsoft para espionar NATO, o governo ucraniano , um investigador universitário dos EUA e muitas outras entidades. Os pesquisadores da iSight apelidado de Sandworm grupo de hackers por causa das referências descobertas em seu código para o romance de ficção científica "Duna".

Os especialistas da iSIGHT Partners têm trabalhado em estreita colaboração com a Microsoft durante a investigação, a empresa anunciou a descoberta de um zero-day vulnerabilidade que afeta todas as versões do Microsoft Windows e do Windows Server 2008 e 2012, a vulnerabilidade foi classificada com o código CVE -2014-4114, e de acordo com a revelação feita por iSight está tem sido explorado em operação espionagem cibernética em larga escala por uma equipe de hackers da Rússia, a natureza do alvo e as táticas, técnicas e procedimentos (TTP) adotou a liderança dos especialistas a acreditar que este é o trabalho de hackers patrocinados pelo Estado.

"Isso é consistente com a atividade de espionagem", disse iSight diretor sênior Stephen Ward. "Todos os indicadores de uma perspectiva de segmentação e iscas indicaria espionagem com os interesses nacionais russos."

Microsoft já está trabalhando em uma atualização de segurança para o CVE-2014-4114, que estará disponível nas próximas atualizações de patches no dia 14 de Outubro.

De acordo com o relatório emitido pela iSight, a APT está ativo desde pelo menos 2009, as metas estabelecidas, a recente campanha incluiu também uma empresa polaca de energia, uma agência europeia ocidental governo e também uma empresa francesa de telecomunicações.

iSIGHT_Partners sandworm timeline_13oct2014

Os especialistas começaram a investigação no final de 2013, quando a aliança da OTAN foi alvejado pela equipe de hackers Sandworm com excepção do zero-day exploits, mas eles descobriram que o crítico -dia zero  em agosto, quando o grupo alvo do governo ucraniano, na liderança -até a cimeira da NATO no País de Gales.

"No final de agosto, enquanto o rastreamento da Equipe Sandworm, iSight descobriu um spear-phishing campanha visando o governo ucraniano e pelo menos uma organização dos Estados Unidos. Notadamente, esses ataques-spear phishing coincidiu com a cimeira da NATO sobre a Ucrânia realizada no País de Gales. ", Afirma o relatório publicado pela iSight .

Especialistas em segurança especularam que a intensificação do conflito cibernético entre Ucrânia e Rússia  poderia ter aumentado a probabilidade de descobrir as operações que foram sob o radar por tanto tempo.

iSight Partners sandworm

Abaixo detalhes cronológicos fornecidos pelos pesquisadores sobre a atividade Sandworm:

A aliança da Otan foi alvo já em dezembro de 2013, com excepção do zero-day exploits
Participantes GlobSec foram alvo maio de 2014, com excepção do zero-day exploits
Junho 2014
Broad alvo contra um governo específico da Europa Ocidental
Segmentação de uma empresa de energia polaco usando CVE-2013-3906
Segmentação de uma empresa de telecomunicações francesa usando uma variante BlackEnergy configurado com uma referência codificada em Base64 para a empresa
A equipe de hackers Sandworm enviado e-mails spear-phishing com anexos maliciosos para comprometer a máquina da vítima, os atores de ameaças mencionou um fórum de segurança global na Rússia e uma lista de suposto terroristas russos.

Outro elemento que sugere a Rússia é responsável pela  espionagem cibernética  campanha são códigos descobertos no servidor C & C, localizada na Alemanha, que não tinha sido devidamente garantidos e que contém arquivos de computador em língua russa que haviam sido enviados por hackers.

"Eles poderiam ter fechado-lo, e eles não fizeram", disse ele sobre o servidor. "Foi falta de segurança operacional."

Os pesquisadores notaram que Sandworm aparentemente malwares re-engenharia anteriormente por outros APT provavelmente para mascarar suas campanhas.

Pierluigi Paganini

( Assuntos de Segurança  - Sandworm )