A Google fenyegetéseket elemző csoportja, a TAG bejelentette, hogy egy, az észak-koreai vezetés támogatását élvező hackercsoport folytatja a Microsoft Internet Explorer (IE) böngészőjében rendületlenül található rések kiaknázását. Ez azért érdekes teljesítmény, mert a redmondi óriásvállalat szinte teljes egészében az Edge-re cserélte az IE-t. Egy-két kivételtől eltekintve, így például a Word legmélyebb és változatlan bugyraiba behatoló illetéktelenek, mindig találnak támadási felületeket.
Legendák nyomában
A csoport neve APT37, és nem ez az első alkalom, hogy hallatnak magukról. Ráadásul nem is ők a Phenjan által anyagiakkal ösztönzött egyetlen cyberbűnöző közösség. Korábban a Lazarus Csoport, más néven a Béke Őrzői háborgatták előszeretettel leginkább dél-koreai és amerikai érdekeltségű online tereket, okoztak aszimmetrikus fenyegetéseikkel, adatlopásokkal biztonsági galibákat, gazdasági károkat. 2014-ben például a Sony Pictures-nek mentek neki, az akkori beszámolók szerint kifinomult és nagyon fejlett módszereket használtak, 2015-ben pedig ecuadori, vietnami, lengyel, mexikói, bangladesi és tajvani bankoktól tulajdonítottak el jelentős összegeket.
A Lazarus a számítógépes biztonsági megoldásokat kínáló (moszkvai) Kaspersky Lab által azonosított egyik alcsoportja, a Bluenoraff specializálódott a szerte a nagyvilágban kivitelezett pénzügyi műveletekre, és a Kaspersky – IP-cím formájában – kimutatta a csoport és az észak-koreai állam közötti közvetlen kapcsolatot. A későbbiekben zsarolóvírusokat (ransomware) is előszeretettel alkalmaztak.
Az APT37 eddig korlátozott, de sikerhez vezető IE-ösvényeken keresztül támadott dél-koreai újságírókat, aktivistákat, észak-koreai „elhajlókat.” Legutóbbi akciójuknak az északi szomszédról szóló híreket közlő szöuli Daily NK és az oldal látogatóköre voltak a célpontjai, „sikerüket” a Word és a WordPad sebezhetőségét hosszú ideje kihasználó vírussal, fertőzött Word.docx dokumentummal érték el. (Leginkább a Bluelight, Rokrat és a Dolphin malware-eket használják.)
A Microsoft ideiglenesen ugyan megoldotta a problémát, de valószínűsíthető, hogy a támadások veszélye mindaddig fennáll, amíg az Office és a WordPad lényegében az Explorert használja egyes fájlok HTML-es rendereléséhez.