Брешь эксплуатируется злоумышленниками в ходе шпионской кампании против НАТО, Украины и Польши. Во вторник, 14 октября, эксперты компаний iSIGHT Partners и Microsoft сообщили об обнаружении уязвимости нулевого дня в Windows и Windows Server 2008 и 2012. По словам исследователей, брешь эксплуатируется в ходе шпионской кампании, проводимой Россией. Эксплуатируя уязвимость, злоумышленники инфицировали вредоносным ПО Sandworm компьютерные системы НАТО, правительств Украины и Польши, ряда европейских промышленных компаний, а также ученых из США.

«Мы можем подтвердить, что НАТО была затронута. Из нескольких источников нам известно, что жертвами стали множество организаций в Украине. Мы видели, что они (ред. – злоумышленники) использовали инфраструктуру Украины как часть своих атак», — сообщил старший менеджер по вопросам угроз кибершпионажа Джон Халтквист (John Hultquist).

Эксперт отметил, что применяемый злоумышленниками эксплоит очень высокотехнологический и сложный. Судя по всему, его разработчики потратили немало времени на создание подписей. Осуществляемая с помощью этого эксплоита атака не нарушает работу системы, благодаря чему остается незамеченной.

Исследователи из iSIGHT назвали стоящую за атаками группировку Sandworm Team. Это связано с тем, что в URL и коде некоторых образцов вредоносного ПО встречаются отсылки к научно-фантастическому сериалу «Дюна». Эксперты следят за активностью группировки с конца прошлого года. Предполагается, что она начала свое существование еще в 2009 году.

Для распространения вредоносного ПО Sandworm Team рассылает жертвам фишинговые письма со вложенными вредоносными документами. Многие из этих сообщений касаются обострения политических отношений между Украиной и Россией. В ходе атак злоумышленники применяют различные методы – используют вредоносное ПО BlackEnergy, эксплуатируют две уязвимости одновременно, а также используют брешь нулевого дня в Windows (CVE-2014-4114).