Разделы

Безопасность Стратегия безопасности

«Солар»: хакеры зашифровали инфраструктуру промышленной компании с помощью неустранимого изъяна Windows

Проукраинские киберпреступники вывели из строя ИТ-инфраструктуру российской промышленной компании, используя изъян Windows. Речь идет об известном с 2022 г. недостатке взаимодействия операционной системы с цифровыми подписями драйверов. Расследуя данный инцидент в мае 2024 г., эксперты центра исследования киберугроз Solar 4Rays ГК «Солар» выяснили, что уязвимость позволила злоумышленникам загрузить в сеть жертвы вредоносный драйвер, который отключил антивирусное ПО. Обойдя защиту, хакеры смогли зашифровать ряд корпоративных систем и частично разрушили серверы виртуализации, нанеся колоссальный ущерб компании.

Злоумышленники проникли в сеть промышленной организации в апреле 2024 г. через взломанную учетную запись подрядчика. С хоста подрядчика по протоколу RDP (протокол удаленного рабочего стола) они получили доступ к ряду систем. Прежде чем совершать деструктивные действия, хакеры смогли отключить защитное ПО, чтобы их действия невозможно было обнаружить и заблокировать.

О недостатке в работе Microsoft, которым воспользовались злоумышленники, известно давно. В 2022 г. компания ввела политику обязательной цифровой подписи ПО, которое может попасть в ядро системы, в том числе и различных драйверов. Эту подпись можно получить через специальный портал разработчиков. Если подписи нет, то Windows 10, начиная с версии 1607, просто не запустит новый драйвер. Эту меру ввели для безопасности: чтобы у злоумышленников было меньше возможностей создавать вредоносное ПО, подписанное сертификатами от легальных, но нечистых на руку сертификационных центров.

Однако, чтобы обеспечить совместимость со старыми драйверами (например, с драйверами оборудования, которое больше не выпускается), в Microsoft оставили несколько исключений из этой политики. Одно из них — драйвер должен быть подписан с помощью конечного сертификата (то есть сертификата, выданного конкретной организации) не позднее 29 июля 2015 г. Именно это исключение использовали атакующие, применив технику подмены временных меток сертификатов. Они взяли сертификат китайского производителя электроники и «состарили» его до нужной степени, чтобы не «вызывать подозрения» у операционной системы.

Угрозы растут, продажи падают: какие проблемы волнуют российский кибербез
Безопасность

В процессе исследования атакованных серверов компании эксперты Solar 4Rays обнаружили два образца вредоносного ПО, один из которых искал в системе признаки присутствия защитного решения, а другой отключал его командой из режима ядра. По итогам расследования все вредоносны были удалены из инфраструктуры, а компания получила рекомендации о дальнейших действиях по закрытию уязвимостей, которыми воспользовались хакеры.

«Подобная техника позволяет киберпреступникам отключить вообще любой софт (а не только антивирусное ПО) и беспрепятственно развить атаку в целевой инфраструктуре. Раньше подобные атаки практиковали в основном киберпреступные группировки из азиатского региона, но теперь мы видим ее активное распространение и среди других злоумышленников. Но если азиатские хакеры в основном собирали данные, не разрушая инфраструктуру, то злоумышленники из Восточной Европы часто нацелены на деструктив, что усугубляет угрозу. Для того, чтобы вовремя «отловить» подобную атаку, нужно регулярно проверять работоспособность установленных в инфраструктуре защитных решений. Если с какого-то ПО не идет телеметрия — это очевидный повод его проверить. Кроме того, важно периодически проводить оценку компрометации. Такая проверка повышает шансы выявить атаку до наступления серьезных последствий», — сказал Иван Сюхин, руководитель группы расследований инцидентов Solar 4Rays ГК «Солар».