Április 13-án az amerikai FireEye IT biztonságtechnikai vállalat egyik ügyfelének kiszolgálásakor figyelt fel a furcsa tevékenységre, ami egy külföldi kormányzati ügynökség felé irányult, mely éppen tárgyalásokat folytatott az USA-val az Oroszország ellen tervezett szankciókról. A támadással a megvalósítás technikai részletei miatt azt a feltehetőleg Orosz kormány által támogatott ATM28 (Advanced Persistent Threat 28) csoportot kapcsolták össze, mely korábban az Észak-Atlanti Szövetséget, a grúz védelmi minisztériumot, illetve a lengyel és magyar kormányt is céltáblájára tűzte.

(forrás: Bloomberg)

A támadáshoz a Microsoft Windows és az Adoba Flash egy-egy nulladik napi sérülését (zero-day vulnerability) használták ki, melyeket a FireEye részletesen dokumentált. A hekkerek egy általuk vezérlet HTML/JS honlappal Flash exploit révén aktiválták a CVE-2015-3043 sebezhetőséget, amire az Adobe már reagált is. Ennek segítségével két kártékony kódot töltöttek le, amelyek a Windows CVE-2015-1701 jelölésű sérülékenységét kihasználva férnek hozzá a rendszer irányításához. A Microsoftnál is dolgoznak a hiba kiküszöbölésén, ami szerencsére a Windows 8-at és az ennél frissebb operációs rendszereket nem érinti.