עם הניצול האחרון של אפס הימים עבור ג'אווה, אנו מכים את התוף "עדכן את ג'אווה עכשיו" ומשחקים את המילה "השבת ג'אווה לחלוטין" במצעד האבטחה . אם זה לא הספיק, החדשות האחרונות שמסע הפרסום להתקפת הסייבר באוקטובר עשה שימוש במנצל Java הן רק סיבה אחת נוספת לנקוט בצעד.
וקטור ההתקפה של ג'אווה התגלה על ידי Seculert והוכרז ביום שלישי בבלוג של החברה. בעוד שתוקפים רבים משתמשים בניצולי ג'אווה, זה שונה ממה שהיה ידוע בעבר על אוקטובר האדום. בדו"ח הראשוני על הקמפיין ממעבדות קספרסקי, אוקטובר האדום התאפיין בהסתמכות על התקפות דוא"ל חודשיות ממוקדות במיוחד עם קבצים נגועים.
"בצורה וקטורית, התוקפים שלחו דוא"ל עם קישור משובץ לדף אינטרנט PHP בעל מבנה מיוחד, " כותב Seculert. "דף אינטרנט זה ניצל פגיעות ב- Java (CVE-2011-3544), וברקע הוריד והוציא לפועל את התוכנה הזדונית באופן אוטומטי."
לא ניצול חדש
חשוב לציין כי מתקפת הג'אווה בה השתמש באוקטובר האדום אינה הניצול של יום אפס אותו סיקרנו. למעשה, Seculert כותב כי חלק זה מההתקפה של אוקטובר האדום נכתב בסביבות פברואר 2012, בעוד שהניצול בו הוא משתמש תוקן באוקטובר 2011. זו הסיבה שעליכם לשמור על תוכנת התוכנה מעודכנת ומעודכנת.
לאחר פרסום הידיעות על היבט ה- Java באוקטובר האדום, פרסמה קספרסקי מעקב עם מידע נוסף. "נראה כי הווקטור הזה לא היה בשימוש כבד על ידי הקבוצה", כותב קספרסקי. "כשהורדנו את ה- php האחראי על הגשת ארכיון הקוד הזדוני '.jar', הוסבר שורת הקוד המסירה את ניצולת הג'אווה."
קספרסקי מנסה לאפיין את ההיבט הזה של ההתקפה. קספרסקי לא מאמין שזה מעיד על גישה שונה של אוקטובר האדום. במקום זאת, הם מאמינים שזה תואם את ההתקפות השיטתיות והמחקירות היטב שהם הסימן המסחרי של רד אוקטובר.
מה זה אומר
"יכולנו להעלות השערה שהקבוצה העבירה בהצלחה את מטען התוכנה הזדונית שלהם ליעדים המתאימים למשך מספר ימים, ואז לא הייתה זקוקה למאמץ יותר", כתבה קספרסקי אתמול. "מה שאולי גם יגיד לנו שלקבוצה זו, שהתאימו ופיתחו בקפדנות את מערך הכלים האינסטגרציה והאיסוף שלהם לסביבת הקורבנות שלהם, היה צורך לעבור לג'אווה מטכניקות הדייג שלהם הרגילות בתחילת פברואר 2012."
קספרסקי המשיך וכתב כי כמה היבטים טכניים של מתקפה זו נבדלים מהתקפות אחרות באוקטובר האדום, מה שגורם לחברת האבטחה להאמין כי ניצול זה פותח למטרה ספציפית.
זו הקלה לשמוע שההיבט של ג'אווה באוקטובר האדום לא שימש למיקוד לחלל הקורבנות הרחב יותר. בעוד שמסע התקפות הסייבר הזה מפחיד את יעילותו, יוצריו התמקדו ביעדים ממשלתיים ודיפלומטיים בעלי פרופיל גבוה ולא למשתמשים יומיומיים. עם זאת, היא גם מדגימה כי ניצולי תוכנה רבים מוכרים היטב על ידי התוקפים, אשר ינצלו משתמשים עצלנים אשר מבטלים את עדכוניהם.
לפרטים נוספים ממקס עקבו אחריו בטוויטר @wmaxeddy.