Проукраинские киберпреступники вывели из строя ИТ-инфраструктуру российской промышленной компании, используя изъян Windows. Речь идет об известном с 2022 года недостатке взаимодействия операционной системы с цифровыми подписями драйверов. Расследуя данный инцидент в мае 2024 года, эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» выяснили, что уязвимость позволила злоумышленникам загрузить в сеть жертвы вредоносный драйвер, который отключил антивирусное ПО. Обойдя защиту, хакеры смогли зашифровать ряд корпоративных систем и частично разрушили серверы виртуализации, нанеся колоссальный ущерб компании.
Злоумышленники проникли в сеть промышленной организации в апреле 2024 года через взломанную учетную запись подрядчика. С хоста подрядчика по протоколу RDP (протокол удаленного рабочего стола) они получили доступ к ряду систем. Но, прежде чем совершать деструктивные действия, хакеры смогли отключить защитное ПО, чтобы их действия невозможно было обнаружить и заблокировать.
О недостатке в работе Microsoft, которым воспользовались злоумышленники, известно давно. В 2022 году компания ввела политику обязательной цифровой подписи ПО, которое может попасть в ядро системы, в том числе и различных драйверов. Эту подпись можно получить через специальный портал разработчиков. Если подписи нет, то Windows 10, начиная с версии 1607, просто не запустит новый драйвер. Эту меру ввели для безопасности: чтобы у злоумышленников было меньше возможностей создавать вредоносное ПО, подписанное сертификатами от легальных, но нечистых на руку сертификационных центров.
Однако, чтобы обеспечить совместимость со старыми драйверами (например, с драйверами оборудования, которое больше не выпускается), в Microsoft оставили несколько исключений из этой политики. Одно из них — драйвер должен быть подписан с помощью конечного сертификата (то есть сертификата, выданного конкретной организации) не позднее 29 июля 2015 года. Именно это исключение использовали атакующие, применив технику подмены временных меток сертификатов. Они взяли сертификат китайского производителя электроники и «состарили» его до нужной степени, чтобы не «вызывать подозрения» у операционной системы.
В процессе исследования атакованных серверов компании эксперты Solar 4RAYS обнаружили два образца вредоносного ПО, один из которых искал в системе признаки присутствия защитного решения, а другой отключал его командой из режима ядра. По итогам расследования все вредоносны были удалены из инфраструктуры, а компания получила рекомендации о дальнейших действиях по закрытию уязвимостей, которыми воспользовались хакеры.
«Подобная техника позволяет киберпреступникам отключить вообще любой софт (а не только антивирусное ПО) и беспрепятственно развить атаку в целевой инфраструктуре. Раньше подобные атаки практиковали в основном киберпреступные группировки из азиатского региона, но теперь мы видим ее активное распространение и среди других злоумышленников. Но если азиатские хакеры в основном собирали данные, не разрушая инфраструктуру, то злоумышленники из Восточной Европы часто нацелены на деструктив, что усугубляет угрозу. Для того, чтобы вовремя «отловить» подобную атаку, нужно регулярно проверять работоспособность установленных в инфраструктуре защитных решений. Если с какого-то ПО не идет телеметрия — это очевидный повод его проверить. Кроме того, важно периодически проводить оценку компрометации. Такая проверка повышает шансы выявить атаку до наступления серьезных последствий», — сказал Иван Сюхин, руководитель группы расследований инцидентов Solar 4RAYS ГК «Солар».