- Eldergroup bak siste IE-sårbarhet

En dyktig gruppe hackere kalt Eldergroup skal ha funnet den nyeste zero-day sårbarheten.

Publisert Sist oppdatert

En gjeng Symantec kaller Eldergroup skal ha funnet den siste ulappede sårbarheten i Internet Explorer.

Denne kan kan gjøre så en ondsinnet nettside automatisk kan infisere en datamaskin, skriver Computerworlds nyhetstjeneste.

Angrepskoden som brukes for å utnytte sårbarheten har likheter med en annen kode brukt av Elderwood-gruppen til å dra nytte av zero-day sårbarheter i Microsofts programvare. Det skrev selskapet på sin blogg.

Heapspary

I et eksempel fant Symantec uttrykket ”Heapspary” i flere prøver av angrepskoden.

- HeapSpary er mest sannsynlig en skrivefeil som skulle være Heap Spray, et vanlig angreps-steg brukt av utnyttelse av sårbarheter. I tillegg til denne likheten er det mange andre symboler til felles mellom filene. Det skriver Microsoft videre.

I september publiserte Symantec en forskningsrapport hvor de skrev at Elderwood-gruppen så ut til å ha ”ubegrenset tilførsel av zeroday-sårbarheter”. Såkalte zeroday-sårbarheter er svært sjeldne og verdifulle for hackere. Dette betyr ar at sårbarheten ikke har blitt lappet av leverandøren enda.

Distribuert gjennom phising-angrep

Elderwood-gruppen kan ha stått for så mange som ni typer zeroday-utnyttelser siden 2009, da Symantec først staret etterforskningen av gruppen. Angrepskodene deres kan ha blitt distribuert gjennom målrettet epost (nettfiske), og plantet på ulike hackede nettsteder.

Når noen med en sårbar nettleser besøker en slik hacket nettside, blir den ondsinnede programvaren levert. Elderwood-gruppen skal ha plantet sin malware på nettsteder, som indikerer at de er ute etter en viss type brukere - noe Symantec kaller et ”watering hole”-angrep.

Elderwood-gruppen ser ut til å favorisere mål som er knyttet til entrepenører, menneskerettighetsgrupper, frivillige organisasjoner, og it-leverandører. Nettsiden til Amnesty International i Hong Kong ble angrepet i mai 2012.

En utnyttelse av IE siste sårbarhet ble oppdaget i forrige måned på nettsiden til Council on Foreign Relations, samt Capstone Turbine Corporation, et amerikansk produsent av gass-mikroturbiner brukt til kraft-produksjon.