WinRAR - wykryty exploit służy do hakerskich ataków

Powiązani z irańskimi władzami hakerzy korzystają z luki w popularnym archiwizerze WinRAR do przeprowadzania ataków przy użyciu groźnego wirusa Shamoon.


Powiązana z władzami Iranu grupa hakerów o nazwie Elfin (lub APT33) została opisana przez Symantec jako jedna z najbardziej aktywnych na Bliskim Wschodzie. Jest odpowiedzialna za serię ataków na firmy w Arabii Saudyjskiej i USA, zwłaszcza w sektorze energetycznym i związanym z ruchem powietrznym. Ofiary to m.in. Saudi Arabian Oil Co. - atak spowodował skasowanie danych z twardych dysków kompanii, a śladem po ataku była wyświetlona animacja, prezentująca płonącą flagę USA. Elfin zmienił jednak sposób ataku - teraz zamiast kasować dane, korzysta z metod phisingowych oraz luk oprogramowania, aby wstrzykiwać do systemów operacyjnych malware.

Aktywnośc Elfin w poszczególnych krajach; źródło: Symantec

Aktywnośc Elfin w poszczególnych krajach; źródło: Symantec

Elfin próbuje także wykorzystać lukę w popularnym archiwizerze WinRAR. W spreparowanym mailu ofiara jest zachęcana do pobrania pliku o nazwie JobDetails.rar, a gdy użytkownik zaczyna go rozpakowywać, ten zamaskowany szkodnik próbuje wykorzystać znajdującą się w programie lukę CVE-2018-20250. Jeśli atak się powiedzie, haker może zainstalować w systemie dowolny plik.

Czego chce Elfin?

Jak donosi FireEye, Elfin/APT33 jest grupą istniejącą od 2013, ale aktywną od końca 2016 roku, kiedy przeprowadziła wspomniane wcześniej ataki za pomocą Shamoon. Istnieją jej powiązania z władzami Iranu, zaś głównym celem działania są firmy z Arabii Saudyjskiej i USA. Wśród używanych przez nich narzędzi hakerskich znajdują się m.in. otwierający backdoory Notestuk, Stonedrill czy Quasar RAT. Część z nich jest dostępna wyłącznie na czarnym rynku w Dark Webie. Raport FireEye podaje, że aktywność grupy sugeruje obecność jej członków w Iranie. Dodając do tego znany fakt niechęci władz Iranu do USA i Arabii Saudyjskiej, przypuszczenia o sponsorowaniu przez państwo nasuwają się same.

Ataki Elfin w latach 2016-2019

Ataki Elfin w latach 2016-2019

Symantec radzi, aby firmy zabezpieczały się poprzez wielowarstwowe systemy bezpieczeństwa oraz dbały o to, aby na bieżąco instalować patche oprogramowania publikowane przez ich producentów. W ciągu trzech ostatnich lat Elfin atakował głównie przedsiębiorstwa związane z energetyką oraz lotami (odnotowano 18 jego ataków na saudyjskie i południowokoreańskie firmy w tych sektorach), jednak ma "na celowniku" także branżę medyczną, chemiczną, inżynieryjną. Za pomocą specjalistycznych narzędzi Elfin skanuje sieć, wyszukując witryn z lukami w zabezpieczeniach, a także tworzy infrastrukturę C&C (command and control), wykorzystywaną po wpuszczeniu szkodnika do zainfekowanego komputera lub serwera.

Elfin a Shamoon

Elfin po raz pierwszy wykorzystał Shamoon do sabotażu Saudi Aramco. Grupa nie stworzyła tego modularnego szkodnika, jednak zmodyfikowała go tak bardzo, że nazywany jest Shamoon 2.0. Pierwszy raz aktualna jego wersja została użyta do ataku na włoską kompanię z branży naftowej - Saipem (która jest klientem Saudi Aramco) w grudniu 2018 roku. Następne próby ataku nastąpiły na takie firmy, jak Boeing, Alsalam Aircraft Company, Northrop Grumman i Vinnell. Podczas prób phishingu maile zazwyczaj były powiązane ze sprawami rekrutacji personelu.

Exploit w WinRAR będzie wykorzystany również przez innych

Elfin nie jest jedyną grupą, która wie o exploicie w WinRAR. Choć wykryta przez Checkpoint luka doczekała się łatki, archiwizera nie ma funkcji automatycznej aktualizacji. FireEye rapotuje, że większość firm nie zdaje sobie nawet sprawy z jej istnienia - odwrotnie niż cyberprzestępcy. Jak szacują eksperci, liczba ataków z użyciem exploita będzie wzrastać w kolejnych latach. Nie ma go wersja WinRAR 5.70 i zaleca się każdemu jej pobranie oraz instalację w miejsce każdej poprzedniej.