Wygląda na to, że system Windows padł ofiarą cyberprzestępców z Korei Północnej. Udało się im wykorzystać błąd zero-day, by zainstalować groźnego oraz trudnego do wykrycia rootkita. Zakopuje się on w najgłębszych warstwach oprogramowania, co pozwala mu skutecznie ominąć wszystkie kluczowe zabezpieczenia. Tym samym doszło do poważnego incydentu mogącego naprawdę sporo namieszać – zarówno we wielu firmach, jak i na prywatnych komputerach.
Błąd systemu Windows narzędziem w rękach północnokoreańskich hakerów
Regularnie mamy do czynienia z implementacją najróżniejszych aktualizacji, które nie tylko wprowadzają dodatkową zawartość, ale i naprawiają najróżniejsze błędy. Dlatego tak ważne jest posiadanie najnowszej wersji systemu operacyjnego, bowiem jesteśmy wtedy znacznie mniej narażeni na atak ze strony złych aktorów. Czasami jednak nawet to nie pomoże, ponieważ zdarzają się luki wykorzystywane przez cyberprzestępców – wtedy złośliwe oprogramowanie może trafiać na sprzęt bez alarmowania użytkownika, jak i antywirusów.
- Sprawdź także: Google potwierdza: nie da się naprawić zegarka Pixel Watch 3
Dowiedzieliśmy się, że luka w zabezpieczeniach oznaczona jako CVE-2024-38193 została wykorzystana przez hakerów pracujących dla północnokoreańskiego rządu. Na szczęście dziurę już załatano, lecz wcześniej cyberprzestępcy bez problemu instalowali niestandardowe złośliwe oprogramowanie. Charakteryzowało się ono poziomem zaawansowania oraz trudnością odnalezienia wewnątrz systemu Windows. Naprawiony błąd pozwalał nadać atakującym maksymalne uprawnienia systemowe, co nie brzmi zbyt dobrze.
Technologiczny gigant niestety nie podał zbyt wielu szczegółów, lecz na szczęście zrobili to przedstawiciele firmy General, którzy stoją za odkryciem ataków i zgłoszeniem ich do Microsoftu. Hakerzy najprawdopodobniej należą do grupy Lazarus wspieranej przez północnokoreański rząd. Znaleziona przez nich luka pozwoliła uzyskać dostęp do najbardziej wrażliwych obszarów systemu, często ukrytych nawet dla większości administratorów. Oczywiście przeciętni konsumenci mogą spać spokojnie, głównym celem były podmioty zajmujące się lotnictwem bądź inżynierią kryptowalut. Chodziło bowiem o wykradzenie środków, by móc finansować dalsze akcje cyberprzestępców.
Wykrycie oprogramowania jest niezwykle trudne
Skuteczne ataki kończyły się instalowaniem złośliwego oprogramowania o nazwie FunModule odkrytego pierwotnie w 2022 roku. Jest ono zdolne do sprawnego działania w głębinach systemu oraz może bez problemu wyłączyć wewnętrzne, jak i zewnętrzne zabezpieczenia, przez co tak naprawdę żaden program nie wykrywa obecności wirusa. Nawet jeśli komuś się to uda – hakerzy szybko opracowują nową wersję rootkita. Często te procesy trwają po kilka miesięcy, Microsoft czasami nie spieszy się bowiem z łataniem poszczególnych luk.
Niestety nie wiadomo nic na temat momentu rozpoczęcia złośliwego wykorzystywania błędu CVE-2024-38193 ani liczby organizacji objętych zasięgiem hakerskiej kampanii. Pozostaje mieć nadzieję, że firmy zajmujące się cyberbezpieczeństwem zdołają opanować najnowszą odsłonę FunModule nadal krążącą po sieci.
- Przeczytaj również: Tak szybko jeszcze nie pisałeś maili. Gemini zdziała cuda
Brak możliwości wirusa obecnego w odmętach oprogramowania brzmi przerażająco. Trudno nawet wyobrazić sobie ile urządzeń jest obecnie zainfekowanych przez przeróżnej maści wirusy.
Źródło: Ars Technica / Zdjęcie otwierające: Microsoft