Як повідомляють російські ЗМІ, невідомі проукраїнські кіберфахівці вивели з ладу ІТ-інфраструктуру великої російської промислової компанії, використовуючи вразливість Windows. Йдеться про нестачу взаємодії ОС із цифровими підписами драйверів. Розслідуючи цей інцидент у травні 2024 року, експерти центру дослідження кіберзагроз Solar 4RAYS ДК «Солар» з'ясували, що вразливість дозволила зловмисникам завантажити в мережу жертви шкідливий драйвер, який відключив антивірусне програмне забезпечення. Обійшовши захист, проукраїнські акери змогли зашифрувати низку корпоративних систем і частково зруйнували сервери віртуалізації, завдавши колосальних збитків компанії.
Хакери проникли до мережі промислової організації у квітні 2024 року через зламаний обліковий запис підрядника. З хоста підрядника за протоколом RDP (протокол віддаленого робочого столу) вони отримали доступ до низки систем. Але, перш ніж здійснювати деструктивні дії, хакери змогли відключити захисне програмне забезпечення, щоб їх дії неможливо було виявити і заблокувати.
Про дефект в роботі Microsoft, яким скористалися атакувальники, відомо давно. У 2022 році компанія ввела політику обов'язкового цифрового підпису програмного забезпечення, яке може потрапити в ядро системи, у тому числі і різних драйверів. Цей підпис можна отримати через спеціальний портал розробників. Якщо підпису немає, Windows 10, починаючи з версії 1607, просто не запустить новий драйвер. Цей захід ввели для безпеки: щоб у зловмисників було менше можливостей створювати шкідливе програмне забезпечення, підписане сертифікатами від легальних, але нечистих на руку сертифікаційних центрів.
Проте, щоб забезпечити сумісність зі старими драйверами (наприклад, із драйверами обладнання, яке більше не випускається), у Microsoft залишили кілька винятків із цієї політики. Одне з них — драйвер має бути підписано за допомогою кінцевого сертифікату (тобто сертифіката, виданого конкретній організації) не пізніше 29 липня 2015 року. Саме цей виняток використовували атакуючі, застосувавши техніку підміни тимчасових міток сертифікатів. Вони взяли сертифікат китайського виробника електроніки і «постаріли» його до потрібної дати, щоб не «викликати підозри» операційної системи.
Зазначається, що у процесі дослідження атакованих серверів компанії експерти Solar 4RAYS виявили два зразки шкідливого програмного забезпечення, один з яких шукав у системі ознаки присутності захисного рішення, а інший відключав його командою з режиму ядра. За підсумками розслідування всі шкідливі були видалені з інфраструктури, а компанія отримала рекомендації щодо подальших дій щодо закриття вразливостей, якими скористалися хакери.
Подібна техніка дозволяє кіберзлочинцям відключити взагалі будь-який софт (а не тільки антивірусне ПЗ) та безперешкодно розвинути атаку в цільовій інфраструктурі. Раніше подібні атаки практикували переважно кіберзлочинні угруповання з азіатського регіону, але тепер її активно застосувують інших атакувальники. Але якщо азіатські хакери здебільшого збирали дані, не руйнуючи інфраструктуру, то хакери зі Східної Європи часто націлені на деструктив, що посилює загрозу. Для того, щоб вчасно відловити подібну атаку, потрібно регулярно перевіряти працездатність встановлених в інфраструктурі захисних рішень. Якщо з якогось програмного забезпечення не йде телеметрія — це очевидний привід його перевірити.