Специалисты компании Symantec опубликовали отчет (.pdf), согласно которому, группа хакеров Black Vine, известная, в частности, крупной атакой на медицинскую страховую компанию Anthem, охотно использует 0day-уязвимости совместно с другими киберпреступниками. В нормальных условиях хакеры конкурируют между собой, но Black Vine готовы объединить усилия против крупных игроков индустрии.
Ранее в этом году Black Vine взломали медицинскую страховую компанию Anthem, в результате чего данные о 80 млн ее клиентов были скомпрометированы. Утечка коснулась имен, дат рождения, физических и email адресов, медицинских ID и даже номеров социального страхования. Впрочем, Anthem настаивала, что медицинские данные клиентов остались в сохранности.
Группа Black Vine известна с 2012 года, и за это время успела отметиться атаками на предприятия в областях энергетики, финансов, медицинского страхования, а также на компании, занятые аэрокосмическими, военными и оборонными разработками.
Специалисты Symantec рассказывают о почерке хакеров в своем отчете: «В своих кампаниях Black Vine стараются скомпрометировать легитимные веб-сайты, которые лежат в сфере интересов их жертвы. Они стараются использовать эксплоиты на посетителях сайта. Если один из 0day эксплоитов срабатывает против уязвимого ПО на машине жертвы, хакеры забрасывают жертве кастомизированную малварь собственного авторства, которая предоставляет им удаленный доступ к ПК жертвы».
Кастомная малварь, о которой рассказывается в отчете, это вредоносы Hurix и Sakurei (оба определяются как Backdoor.Mivast), а также Mivast, который определяется как Trojan.Sakurel.
В ходе исследования деятельности хак-группы, в Symantec заметили, что Black Vine использовали ряд 0day эсплоитов (в том числе Hidden Lynx) одновременно с другими хакерами. Последовал вывод, что разные группы хакеров имеют разные цели для атак, но связаны неким единым «фреймворком дистрибуции 0day», слишком уж синхронно они использую одни и те же эксплоиты.
Данная сеть распространения впервые попала на экраны радаров три года назад и тогда получила имя Elderwood platform. Сеть постоянно пополняется новыми 0day, с ней точно были соотнесены эксплоиты для уязвимостей Hidden Lynx, Vidgrab, Icefog и Sakurel.
Корни Elderwood platform, по данным экспертов, уходят в Китай, и этот конгломерат используется для направленных фишинговых и watering-hole атак против крупных представителей оборонной и IT индустрии, а также против компаний борющихся за права человека.
В заключение Symantec называют Black Vine и их «коллег» чумой мира кибербезопасности. Эти группы имеют доступ к огромным ресурсам, которые постоянно обновляются. Благодаря этому хакеры получают возможность модифицировать свои разработки, дабы избежать обнаружения антивирусными компаниями и специалистами в сфере информационной безопасности.
Фото: brianklug@flickr