×
windows-logo-glitched.png
Voor de afgelopen drie jaar, een mysterieuze hacker is de verkoop van Windows zero-dagen ten minste drie cyber-spionage groepen, evenals cyber-misdaad, onderzoekers van Kaspersky Lab hebben verteld ZDNet.
De hacker activiteit versterkt recente evaluaties die door de regering gesteunde cyber-spionage-groepen-ook bekend als APTs (advanced persistent threats)– zal regelmatig kopen van zero-day exploits van derden entiteiten, naast het ontwikkelen van hun eigen in-house tools.
APT groepen verondersteld om te werken uit Rusland en het Midden-Oosten hebben vaak gespot met behulp van zero-days is ontwikkeld door real-world bedrijven die fungeren als verkopers van surveillance software en exploiteren makelaars voor overheidsinstanties.
Echter, Kaspersky ‘ s recente onthullingen tonen aan dat APT groepen niet uit de weg te dompelen hun tenen in de ondergrondse hacking scene te verwerven exploits in eerste instantie ontwikkeld door lone hackers voor cyber-crime groepen, als dat ooit nodig is.
Wat is er gebeurd met BuggiCorp?
De hacker die Kaspersky Lab experts zeggen is een van de meest productieve verkoper van zero-dagen is bekend als Volodya, maar bij sommige van onze lezers zullen hem herkennen van een vorige bijnaam de dreiging acteur gebruikt circa 2016.
Toen, met de bijnaam BuggiCorp, de hacker gemaakt heaadlines in tech news sites na het zetten voor de verkoop van een Windows zero-day op de beruchte Exploit.in cyber-crime forum.
Op het moment, de advertentie was een schok, want je zou zien zelden een hacker adverteren Windows zero-dagen op zo een openbaar forum, met de meeste van deze transacties gebeuren in de privé.
Afbeelding: Trustwave
×
windows-zero-day-2016-ad.png
Terwijl BuggiCorp had dalen zijn initiële vraagprijs meerdere keren, vanaf $95,000 $85,000 hij uiteindelijk verkocht de zero-day naar een cyber-criminaliteit van de groep, en de ad hielp de ontwikkelaar het vestigen van een reputatie.
BuggiCorp gebruikt deze reputatie van een specifiek cliënteel en blijven verkopen andere zero-dagen in een eigen, sommige met prijzen gaan zo ver als de $200.000, volgens Costin Raiu, Directeur van het Global Research and Analysis Team (GReAT) Kaspersky Lab, het bedrijf elite APT tracking-eenheid.
Sindsdien Kaspersky is Geweldig team is het bijhouden van de hacker onder de codenaam “Volodya,” een bijnaam die de hacker soms achter in het exploit code.
Hacker verkocht zero-dagen ten minste drie APTs
“Volodya is een zeer productief benutten ontwikkelaar en zero-day verkoper die we volgen sinds 2015,” Raiu vertelde ZDNet in een e-mail gesprek vorige week.
“Volodya is de afkorting voor ‘Volodimir,’ dat is de naam die wordt weergegeven in sommige van zijn werken,” Raiu zei. “Onze waarnemingen wijzen Volodya is vloeiend russisch, hoewel waarschijnlijk van oekraïense afkomst. Volodimir is ook niet een russische naam, maar het oekraïens.”
“Volodya lijkt te zijn van de auteur van de exploit voor CVE-2019-0859, dat we aan Microsoft gerapporteerd in Maart 2019,” de Kaspersky-onderzoeker toegevoegd.
Deze zero-day, nu gepatched, werd misbruikt door ten minste twee APTs –namelijk FruityArmor en SandCat– volgens collega-team lid Vicente Diaz, die ook geraakt op Volodya de geschiedenis van de verkoop van zero-dagen in een recente webinar.
Terwijl de meeste van deze schaduwrijke omgang heeft waarschijnlijk plaatsgevonden in privé, Diaz zei de Kaspersky team is het bijhouden van Volodya door het analyseren van de exploit code die ze hebben gezien tijdens de recente aanvallen.
“[FruityArmor en SandCat] zijn verschillende groepen, omdat we hen zien met verschillende targeting, verschillende doelen, verschillende belangen,” Diaz zei in een Kaspersky webinar over 2019 Q1 APT trends van gisteren.
“Maar het lijkt alsof ze hebben dezelfde provider. Onze hypothese hier is dat waarschijnlijk dat ze krijgen van hun middelen uit dezelfde leverancier [dwz, Volodya],” Diaz zei.
Maar CVE-2019-0859 is gewoon de nieuwste zero-day dat Kaspersky heeft vastgezet op Volodya. Ook is het CVE-2016-7255, ook een Windows kwetsbaarheid, die zowel Raiu en Trend Micro onderzoekers verbonden aan de activiteiten van de beruchte Zin Dragen russische APT (ook bekend als APT28, Pion Storm, Sednit, Sofacy, of Strontium), vooral bekend als één van de twee russische hacking groepen die gepleegd in 2016, DNC hack.
Raiu vertelt ZDNet dat CVE-2016-7255 is slechts één van de vele andere zero-dagen dat Volodya heeft verkocht over de jaren APT groepen, maar dat de hacker heeft ook blijven werken met low-end cybercrime groepen, die ook al het kopen en gebruiken van sommige van deze zero-dagen.
Volodya gekoppeld aan one-day exploits en
Bovendien Raiu zei dat “in aanvulling op nul dagen, Volodya is ook het ontwikkelen van exploits voor de gepatchte kwetsbaarheden, zoals de one-dagen, of exploits voor oudere kwetsbaarheden, die worden beschouwd als stabiel en betrouwbaar te zijn en kan nog werk voor ongepatchte computers.”
Voor alle doeleinden, Volodya lijkt te hebben gemaakt van zero-day en benutten voor de ontwikkeling van een carrière keuze en is aangesloten heel de portefeuille op zijn naam staan.
Bovendien, met een prijskaartje van $200.000 voor een lokale Windows-privilege escalation zero-day en een vastgelegde lijst van klanten variërend van overheid inlichtingendiensten en cyber-misdaad, Volodya zou heel goed in de leiding van zijn eigen team van ontwikkelaars of te exploiteren-makelaarsbedrijf, een theorie die niet kan worden ontslagen op dit punt, in het ontbreken van meer voelbaar details.
Gerelateerde malware en cybercriminaliteit dekking:
Donker web van criminaliteit markten gericht door terugkerende DDoS-attacksAnother donkere web marketplace bijt in het stof –Wall Street MarketAn binnen kijken hoe identificatie vulling activiteiten workSource code van Carbanak trojan gevonden op VirusTotalRecent Oracle WebLogic zero-day gebruikt voor het infecteren van servers met ransomwareCartoon Netwerk websites gehackt te tonen arabisch memes en Braziliaanse man strippersHow om te voorkomen dat document-gebaseerde malware-aanvallen TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters