O grupo APT 28 já atacou sistemas governamentais e a FireEye recomenda a actualização do Flash.
A FireEye revelou no último sábado que o grupo de hackers APT 28 atacou uma “entidade governamental internacional” a 13 de Abril, aproveitando duas falhas de software recentemente divulgadas, uma das quais ainda sem correcção. Mas o mecanismo de exploração utilizado não funciona se os utilizadores actualizarem os seus equipamentos com a versão mais recente do Flash, lançada na última terça-feira.
O esquema procura levar as vítimas a clicarem num link direccionado para um site no qual o computador é atacado. O grupo tira proveito de uma vulnerabilidade no leitor Flash, a “CVE-2015-3043”, e depois usa uma falha ainda não corrigida no Windows, a “CVE-2015-1701”, para obter privilégios de gestão elevados sobre os equipamentos.
Num documento divulgado durante o ano passado, a FireEye revelou como o APT 28 conduziu ataques contra organizações políticas e militares, pelo menos desde 2007. Na referida ofensiva, os cibercriminosos -há muito conhecidos e suspeitos de estarem ligados à Rússia – fizeram pouco para mascarar a sua actividade.
O malware introduzido no último ataque é muito semelhante ao Cshopstick, um dispositivo de entrada (“backdoor”) conhecido por ser usado pelo APT 28. Foi até usada a mesma chave de cifra, RC4, segundo a FireEye.
A empresa sustenta ainda que o malware mais recente está na mesma infra-estrutura de comando e controle usado pelo APT 28. Muitos grupos de hackers, mesmo os mais sofisticados, reutilizam infra-estruturas ou componentes e isso facilita a investigação dos ataques.