iSight Partners ha rivelato che un gruppo di hacker russi ha eseguito diversi attacchi contro la NATO, il governo ucraino, agenzie governative dell’Unione Europea, organizzazioni accademiche degli Stati Uniti e aziende del settore energetico e di telecomunicazioni europee. Per le attività di cyberspionaggio, iniziate a fine 2013, è stata sfruttata una vulnerabilità zero-day presente in tutte le versioni di Windows attualmente supportate. Microsoft ha collaborato insieme alla società di sicurezza e ha rilasciato una patch (MS14-060) che risolve il problema.
Il gruppo di cybercriminali, chiamato Sandworm Team, è stato costituito nel 2009, ma solo negli ultimi mesi ha iniziato a lasciare tracce del suo operato. All’inizio di settembre, iSight Partners ha scoperto una campagna di spionaggio contro il governo ucraino e i membri della NATO che hanno partecipato al summit in Galles, durante il quale sono stati discussi i piani per fronteggiare l’invasione russa. L’attacco è stato eseguito attraverso la tecnica dello spear phishing. Sfruttando la vulnerabilità zero-day di Windows, il team ha cercato di accedere a documenti riservati.
Il bug era presente nel package manager OLE (Object Linking and Embedding), che consente di scaricare ed eseguire file INF. In questo caso, il packager permette ad un oggetto OLE di scaricare un file da una fonte esterna e di eseguire codice remoto. I cybercriminali hanno usato metodi di social engineering per convincere gli utenti ad aprire un file infetto (una presentazione PowerPoint).
Fortunatamente, la diffusione dell’exploit è limitata, in quanto il bug è stato sfruttato solo dal Sandworm Team. Tuttavia, considerato che la vulnerabilità è presente in tutte le versioni di Windows, il problema interessa un numero enorme di utenti. Per questo motivo è necessario procedere all’installazione immediata della patch.