به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان شرکت امنیت سایبری پالوآلتونتورک (Palo Alto Networks) با انتشار گزارشی اعلام کردند هکرها با بهرهگیری از یک بدافزار پیچیده دو سازمان روسیه را هدف قرار دادهاند.
به گفته کارشناسان این شرکت، بدافزاری که مهاجمان از آن بهره بردهاند، «AcidBox» نام دارد و احتمال میرود بخشی از مجموعه بزرگی از ابزارهای هک باشد. گروهی که این بدافزار را توسعه داده است، فعال بوده و حملات هدفمند انجام میدهد.
مهاجمان در این حمله از آسیبپذیریهایی استفاده کردهاند که پیشتر گروه تورلا (Turla) از آن بهره برده است. خاستگاه این گروه که به نامهای «Waterbug» ،«Venomous Bear» و «KRYPTON» نیز شناخته میشود، از سوی سرویس اطلاعات خارجی استونی، روسیه معرفیشده است.
طبق گزارش پالوآلتونتورک، تورلا اولین گروهی بود که توانست با بهرهگیری از درایور سیستم شخص ثالث، مکانیسم امنیتی تشخیص امضای درایورها (DSE) را غیرفعال سازد. این مکانیسم امکان نصب درایورهایی را میدهد که توسط مایکروسافت تأییدشدهاند و از بارگذاری درایورهای امضا نشده در هسته مرکزی ویندوز جلوگیری میکند.
آسیبپذیریای که تورلا از آن بهره برده است، با شناسه «CVE-2008-3431» شناخته میشود و همین آسیبپذیری در درایور ویرچوال باکس (VBoxDrv.sys v1.6.2) به مهاجمان این امکان را داده است مکانیسم تأییدیه امضای درایورها را غیرفعال سازند. حمله به دو سازمان روسیه نیز از طریق همین آسیبپذیری انجامشده است.
