Компании называют провоцируемый в результате открытия для загрузки файл троянцем MSUpdater, так как тот симулирует сообщение от системы обновления Windows Update. Однако в реальности троянец похищает данные пользователей, а также широкий спектр хранимых на компьютере документов.
С учетом того, что обнаруженная атака носит целевой характер, атакующие явно заинтересованы в получении файлов, хранящихся на компьютерах работников американского госсектора и компаний, с ним связанных. Ни Zscaler ни Seculert конкретных названий пострадавших компаний не разглашают. Технический директор Seculert Авив Рафф, полагает, что за данной атакой стоят так называемые "государственные хакеры", так как обычные злоумышленники вряд ли станут охотиться за гостайнами, предпочитая банально воровать номера кредиток пользователей и реквизитов систем онлайн-банкинга.
Обе компании говорят, что уязвимость в Reader, эксплуатируемая в этой атаке, была закрыта Adobe около года назад, поэтому хакеры, судя по всему, надеялись на нерасторопность ИТ-администраторов соответствующих ведомств.
Что привлекает внимание в этой атаке, говорят компании, так это дополнительная шифровка исходящего от троянца трафика. Это говорит о том, что хакеры не исключали возможности обнаружения троянца со стороны пользователей, однако чтобы последним было труднее отследить коммандный сервер, на который троянец передавал ворованные данные, зашифровали трафик. В Zcaler говорят, что троянец во время работы создавал вокруг себя виртуальную машину в миниатюре, которая должна была гарантировать защиту получателям краденных данных.
