Эксплойт, с помощью которого был атакованы российские компании, нацелен на уязвимости в VirtualBox. Известно, что ранее его использовала русскоязычная APT-группировка Turla, но Россия её целью не является.
Деятельность Turla была впервые описана «Лабораторией Касперского» в 2014 г. Её мишенями были дипучреждения, правительственные организации и частный бизнес в странах бывшего СНГ, в Европе, Азии, на Ближнем Востоке и в западном полушарии. Эксплойт, использовавшийся в рамках их кампании, изначально был нацелен на две уязвимости в системе виртуализации VirtualBox, из которых только одна была исправлена. Позднее эксплойт был доработан, и теперь использует некую неизвестную уязвимость в более новых версиях драйвера VirtualBoxVBoxDrv.sys.
Этой новой версией и пользуется неназванная группировка, которая атаковала российские организации. По сегодняшним данным с Turla она не связана.
«В феврале 2019 года Unit 42 (подразделение группы Palo Alto Network) выяснило, что некий еще не установленный актор, прежде неизвестный сообществу экспертов по безопасности, обнаружил, что вторая, неисправленная уязвимость может эксплуатироваться не только в драйвере Virtual Box VBox Drv.sys версии 1.6.2, но и во всех других версиях, вплоть до 3.0.0. Наше расследование показало, что неизвестный актор использовал драйвер версии 2.2.0 для атак как минимум на две разные российские организации в 2017 году, о чем мы сообщаем впервые... Мы предполагаем, что это было сделано потому, что об уязвимости в драйвере версии 2.2.0 не было известно, и поэтому его эксплуатация оставалась, скорее всего, вне поля зрения разработчиков средств безопасности», — говорится в публикации PaloAlto.
Эксплойт стал частью вредоносной программы AcidBox. Все известные компоненты вредоноса датированы 9 мая 2017 г.
«Вопрос в том, пользовались ли операторы Turla в последнее время новой версией эксплойта, или же неизвестный актор доработал его независимо от разработчиков оригинала, так что доступа у операторов Turla к нему не было, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SECConsultServices. — Эксперты PaloAlto воздержались от публичного раскрытия упомянутой неизвестной уязвимости, но, скорее всего, сообщили о своей находке в Oracle, а значит там уже вовсю работают над исправлениями. Остается выяснить, насколько высока вероятность того, что дополнительная модификация того же эксплойта сделает его эффективным против более новых версий VirtualBox».
.jpg)
