Эксперты техасской компаний iSight Partners и Microsoft сообщили 14 октября об обнаружении уязвимости нулевого дня в Windows и Windows Server 2008 и 2012. По словам исследователей, брешь эксплуатируется в ходе шпионской кампании, проводимой Россией.

Эксплуатируя уязвимость, злоумышленники инфицировали вредоносным ПО Sandworm компьютерные системы НАТО, правительств Украины и Польши, ряда европейских промышленных компаний, а также ученых из США, передает SecurityLab.

"Мы можем подтвердить, что была затронута НАТО. Из нескольких источников нам известно, что жертвами стали множество организаций в Украине. Мы видели, что они (злоумышленники) использовали инфраструктуру Украины как часть своих атак", - сообщил старший менеджер по вопросам угроз кибершпионажа Джон Халтквист.

Он отметил, что применяемый злоумышленниками эксплоит очень высокотехнологический и сложный. Судя по всему, его разработчики потратили немало времени на создание подписей. Осуществляемая с помощью этого эксплоита атака не нарушает работу системы, благодаря чему остается незамеченной.

Исследователи из iSight назвали стоящую за атаками группировку Sandworm Team. Это связано с тем, что в URL и коде некоторых образцов вредоносного ПО встречаются отсылки к научно-фантастическому сериалу "Дюна". Эксперты следят за активностью группировки с конца прошлого года. Предполагается, что она начала свое существование еще в 2009 году.

Для распространения вредоносного ПО Sandworm Team рассылает жертвам фишинговые письма со вложенными вредоносными документами. Многие из этих сообщений касаются обострения политических отношений между Украиной и Россией. В ходе атак злоумышленники применяют различные методы - используют вредоносное ПО BlackEnergy, эксплуатируют две уязвимости одновременно, а также используют брешь нулевого дня в Windows.

Напомним, в августе еще одна американская компания сообщила о вирусной атаке на компьютеры 10 посольств Украины в разных странах, а также посольств еще как минимум девяти стран, среди которых Германия, Китай, Польша и Бельгия. Согласно этому отчету, для атаки использовался известный вирус Snake, который уже изучался аналитиками. На компьютеры жертв Snake попадает через фишинговые письма. Западные эксперты полагают, что этот вирус был написал по заказу российских спецслужб.