Šnipinėjimo atakomis pagarsėjusi programišių grupė „Sednit“ vėl sulaukė saugumo ekspertų dėmesio – praėjusį mėnesį ši grupuotė bandė įsilaužti į tuo metu dar tik kandidato į Prancūzijos prezidentus Emmanuelio Macrono duomenų bazes. Šįsyk nustatyta, kad tuo pačiu metu buvo vykdoma kita ataka, kuriai pasitelktas JAV prezidento Donaldo Trumpo vardas.
ESET kenksmingų programų tyrėjai nustatė „Sednit“ platinamus sukčiavimo el. laiškus, kurių turiniui panaudota plačiai žiniasklaidoje nušviesta JAV raketų ataka Sirijoje. Aukos buvo viliojamos atidaryti laiškuose prisegtus dokumentus, pavadintus „Trump’s_Attack_on_Syria_English.docx“, po kuriais slėpėsi jau žinomas šnipinėjimo įrankis „Seduploader“.
Šiam įrankiui įterpti „Sednit“ grupė kenksmingame dokumente naudojo du „nulinės dienos“ (angl. „zero day“ arba „0-day“) pažeidžiamumus išnaudojančius „exploitus“. Pirmasis, CVE-2017-0261, naudotas nuotolinio kodo pažeidžiamumui „Microsoft Word“, antrasis, CVE-2017-0263 – privilegijos eskalavimui „Windows“. ESET pranešė apie šiuos pažeidžiamumus „Microsoft“, kuri juos ištaisė su gegužės 9 d. išleistais saugumo naujinimais.
„Panašu, kad Sednit“ grupė dar nenutraukia savo veiklos. Nors programišiai ir pasitelkia jau žinomus atakos metodus ir naudoja tą patį kodą, nustatėme kelis patobulinimus, atliktus „Seduploader“ per pastaruosius kelis mėnesius“, – komentuoja ESET saugumo žvalgybos komandos vadovas Alexis Dorais-Joncas.
Šnipinėjimo grupė „Sednit“, dar žinoma „APT28“, „Fancy Bear“ ir „Sofacy“ pavadinimais, savo veiklą vykdo maždaug nuo 2004 m. Pagrindinis programišių tikslas – vogti konfidencialią informaciją iš specifinių, kruopščiai atrinktų taikinių.
