«В Microsoft группировку называют Strontium; она также известна под именами APT28, Tsar Team и Sednit

По словам Microsoft, 0-day, о существовании которой в понедельник сообщила Google, будет запатчена 8 ноября. Google заявила, что 21 октября уведомила об обеих уязвимостях Microsoft и Adobe в частном порядке; бреши использовались совместно в целевых атаках против неназванных жертв. Adobe срочно выкатила внеочередной патч для Flash Player 26 октября, но в Microsoft наличие уязвимости не подтвердили вплоть до обнародования отчета Google. Microsoft раскритиковала действия Google и предоставила скудные сведения об уязвимости и связанных с ней атаках в корпоративном блоге.

«Мы считаем, что ответственная ИТ-компания ставит интересы клиентов превыше всего, и поэтому в случае обнаружения уязвимостей требуется координировать усилия, — сказал Терри Майерсон (Terry Myerson), исполнительный вице-президент подразделения Windows и устройств в Microsoft. – Решение Google опубликовать информацию об уязвимостях до того, как были готовы и протестированы патчи, разочаровало нас. Кроме того, оно поставило пользователей под удар».

Microsoft добавила, что работа над патчем ведется при содействии Google и Adobe, и сейчас его тестируют партнеры по экосистеме. Патч будет включен в регулярное обновление Microsoft, назначенное на 8 ноября.

Microsoft сказала, что хакеры провели узконаправленную целевую фишинговую кампанию. Sofacy нацелилась на стратегически важные организации: правительственные структуры, дипломатические учреждения, подрядчиков оборонной сферы, а также НКО.

«По данным Microsoft, STRONTIUM располагает большим количеством эксплойтов уязвимостей нулевого дня, чем любая известная APT-группировка в 2016 году», — сказал Майерсон.

Правительство США обвиняет Sofacy в атаках на DNC, в связи с чем российское правительство подозревают в попытках манипулировать ходом президентских выборов в США.

В атаках использовалась комбинация из двух уязвимостей нулевого дня, которая позволяла получить продолжительный доступ к скомпрометированной системе, подчеркнули в Microsoft. Сначала злоумышленники эксплуатировали уязвимость во Flash – изъян в использовании высвобожденной памяти в коде среды исполнения программ ActionScript. Получив таким образом контроль над процессами в браузере, хакеры использовали второй эксплойт против уязвимости в ядре Windows, которая имеется в версиях ОС от Windows Vista до Windows 10; это позволило злоумышленникам повысить привилегии и осуществить «побег» из «песочницы» браузера. Потом хакеры устанавливали бэкдор и получали полный доступ к компьютеру жертвы, выводя похищенные данные на удаленный сервер.

Как пояснили в Microsoft, уязвимый компонент win32k был усовершенствован новыми средствами противодействия эксплойтам. Бэкдор же может быть заблокирован при условии использования строгих политик целостности кода, которые по умолчанию заданы в браузере Microsoft Edge. Увенчались ли предполагаемые атаки успехом – неизвестно.

«У нас нет гарантий того, что злоумышленники не воспользуются альтернативными методами обхода этих мер безопасности, но Microsoft планирует решить эту проблему в рамках комплексного обновления, которое будет доступно в скором времени», — сказал Майерсон...»