Хакеры лезут в окна: киберпреступники пользуются изъянами Windows

Вложились в добычу

Как рассказали Forbes в ГК «Солар» (входит в «Ростелеком», работает в сфере информбезопасности), весной 2024 года хакеры безвозвратно зашифровали инфраструктуру крупной промышленной компании из сектора добывающей промышленности. Для этого они использовали недостаток Windows, причем не совсем уязвимость, а именно изъян логики, уточнили в компании. Этот изъян позволил злоумышленникам загрузить в сеть жертвы вредоносный драйвер, который отключил антивирусное ПО.

Обойдя защиту, хакеры смогли зашифровать ряд корпоративных систем и частично разрушили серверы виртуализации, нанеся колоссальный ущерб компании, рассказали в ГК «Солар», отказавшись раскрыть название атакованной компании. «В результате атаки компания простаивала около недели и была вынуждена дополнительно тратить время и другие ресурсы на восстановление утраченной инфраструктуры», — говорит руководитель группы расследований инцидентов Solar 4RAYS ГК «Солар» Иван Сюхин.

Согласно данным расследования, злоумышленники проникли в сеть промышленной организации в апреле 2024 года через взломанную учетную запись подрядчика. С хоста подрядчика по протоколу RDP (протокол удаленного рабочего стола) они получили доступ к ряду систем. Но прежде чем совершать деструктивные действия, хакеры смогли отключить защитное ПО, чтобы их действия невозможно было обнаружить и заблокировать. «В атаках применяется набор инструментов, подобная комбинация которых в основном используется проукраинскими кибергруппировками», — поясняет Иван Сюхин.

Старая история

Примечательно, что о недостатке в работе Microsoft, которым воспользовались злоумышленники, известно давно. В 2022 году компания ввела политику обязательной цифровой подписи ПО, которая может попасть в ядро системы, в том числе и различных драйверов. Эту подпись можно получить через специальный портал разработчиков. Если подписи нет, то Windows 10, начиная с версии 1607, просто не запустит новый драйвер. Эту меру ввели для безопасности, чтобы у злоумышленников было меньше возможностей создавать вредоносное ПО, подписанное сертификатами от легальных, но нечистых на руку сертификационных центров, поясняют в ГК «Солар».

Однако чтобы обеспечить совместимость со старыми драйверами (например, с драйверами оборудования, которое больше не выпускается), в Microsoft оставили несколько исключений из этой политики. Одно из них — драйвер должен быть подписан с помощью конечного сертификата (то есть сертификата, выданного конкретной организации) не позднее 29 июля 2015 года. Именно это исключение использовали атакующие, применив технику подмены временных меток сертификатов. Они взяли сертификат китайского производителя электроники и «состарили» его до нужной степени, чтобы не «вызывать подозрения» у операционной системы, сообщили в ГК «Солар».

В процессе исследования атакованных серверов компании эксперты Solar 4RAYS обнаружили два образца вредоносного ПО, один из которых искал в системе признаки присутствия защитного решения, а другой отключал его командой из режима ядра. Как поясняют в ГК «Солар», подобная техника позволяет киберпреступникам отключить вообще любой софт (а не только антивирусное ПО) и беспрепятственно развить атаку в целевой инфраструктуре: «Раньше подобные атаки практиковали в основном киберпреступные группировки из азиатского региона, но теперь мы видим ее активное распространение и среди других злоумышленников. Но если азиатские хакеры в основном собирали данные, не разрушая инфраструктуру, то злоумышленники из Восточной Европы часто нацелены на деструктив, что усугубляет угрозу».

«Гибкий ситуационный подход»

Опрошенных экспертов в сфере кибербезопасности инцидент не удивляет. «Хактивисты внимательно следят за выходом POC по различным уязвимостям (Proof of Concept, демонстрация осуществимости того или иного метода) и активно используют их в атаках на компании, которые не успели пропатчить свои системы. Это гибкий ситуационный подход к проведению атаки», — сообщили Forbes в лаборатории цифровой криминалистики компании F.A.C.C.T.

По словам руководителя отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies Дениса Гойденко, IT-инфраструктура не уничтожается одной техникой, поскольку хакерские атаки — комплексное явление: «Существует множество техник проникновения и развития атаки, и указанная техника — одна из составляющих. В ряде кейсов наша команда по расследованию инцидентов PT ESC Positive Technoligies действительно встречала такие техники с драйверами, и раньше злоумышленники их применяли заметно реже». Злоумышленники часто находят незащищенные узлы без средств защиты информации (СЗИ) в сетях, через них получают привилегированные учетные записи, используя их для массового централизованного отключения СЗИ и запуска шифровальщиков, в том числе через серверы управления СЗИ, говорит Гойденко.

Злоумышленники действительно все чаще используют вредоносные драйверы и технику «принеси свой драйвер» в атаках, подтверждает ведущий эксперт Kaspersky GReAT Борис Ларин. Согласно данным «Лаборатории Касперского», во II квартале 2024 года количество систем на базе Windows, атакованных с использованием уязвимых драйверов, увеличилось почти на 23% по сравнению с I кварталом. Такие техники позволяют хакерам совершать попытки отключить защитные решения в системе и повышать привилегии. Это, в свою очередь, дает им возможность, например, внедрять программы-вымогатели или закрепляться в системе для шпионажа или саботажа, проводить сложные целевые атаки.

В конкретном случае уязвимостью это, пожалуй, считать нельзя, так как Microsoft сама подробно описывает это и другие исключения на своем портале для разработчиков, рассуждает он. «Это исключение (имеется в виду то, что новые требования Microsoft не касаются сертификатов, выпущенных до 29 июля 2015 года) — не единственный способ, который позволяет злоумышленникам запускать вредоносное ПО, — продолжает Ларин. — Наиболее часто злоумышленники используют уязвимости в подписанных легитимных драйверах для обхода проверки подписи и загрузки своих вредоносов. К счастью, в обоих случаях злоумышленникам нужно сначала принести драйвер на атакуемую систему, и самым важным является то, что для его запуска злоумышленникам необходимо обладать правами администратора. Использование аккаунта без привилегий администратора, ограничение использования и защита аккаунта администратора обезопасят от подобного сценария атаки».