Wygląda na to, iż system Windows padł ofiarą cyberprzestępców z Korei Północnej. Udało się im wykorzystać błąd zero-day, by zainstalować groźnego oraz trudnego do wykrycia rootkita. Zakopuje się on w najgłębszych warstwach oprogramowania, co pozwala mu skutecznie ominąć wszystkie najważniejsze zabezpieczenia. Tym samym doszło do poważnego incydentu mogącego naprawdę sporo namieszać – zarówno we wielu firmach, jak i na prywatnych komputerach.
Błąd systemu Windows narzędziem w rękach północnokoreańskich hakerów
Regularnie mamy do czynienia z implementacją najróżniejszych aktualizacji, które nie tylko wprowadzają dodatkową zawartość, ale i naprawiają najróżniejsze błędy. Dlatego tak ważne jest posiadanie najnowszej wersji systemu operacyjnego, bowiem jesteśmy wtedy znacznie mniej narażeni na atak ze strony złych aktorów. Czasami jednak choćby to nie pomoże, ponieważ zdarzają się luki wykorzystywane przez cyberprzestępców – wtedy złośliwe oprogramowanie może trafiać na sprzęt bez alarmowania użytkownika, jak i antywirusów.
- Sprawdź także: Google potwierdza: nie da się naprawić zegarka Pixel Watch 3
Dowiedzieliśmy się, iż luka w zabezpieczeniach oznaczona jako CVE-2024-38193 została wykorzystana przez hakerów pracujących dla północnokoreańskiego rządu. Na szczęście dziurę już załatano, ale wcześniej cyberprzestępcy bez problemu instalowali niestandardowe złośliwe oprogramowanie. Charakteryzowało się ono poziomem zaawansowania oraz trudnością odnalezienia wewnątrz systemu Windows. Naprawiony błąd pozwalał nadać atakującym maksymalne uprawnienia systemowe, co nie brzmi zbyt dobrze.
Technologiczny gigant niestety nie podał zbyt wielu szczegółów, ale na szczęście zrobili to przedstawiciele firmy General, którzy stoją za odkryciem ataków i zgłoszeniem ich do Microsoftu. Hakerzy najprawdopodobniej należą do grupy Lazarus wspieranej przez północnokoreański rząd. Znaleziona przez nich luka pozwoliła uzyskać dostęp do najbardziej wrażliwych obszarów systemu, często ukrytych choćby dla większości administratorów. Oczywiście przeciętni konsumenci mogą spać spokojnie, głównym celem były podmioty zajmujące się lotnictwem bądź inżynierią kryptowalut. Chodziło bowiem o wykradzenie środków, by móc finansować dalsze akcje cyberprzestępców.
Wykrycie systemu jest niezwykle trudne
Skuteczne ataki kończyły się instalowaniem złośliwego systemu o nazwie FunModule odkrytego pierwotnie w 2022 roku. Jest ono zdolne do sprawnego działania w głębinach systemu oraz może bez problemu wyłączyć wewnętrzne, jak i zewnętrzne zabezpieczenia, przez co tak naprawdę żaden program nie wykrywa obecności wirusa. choćby jeżeli komuś się to uda – hakerzy gwałtownie opracowują nową wersję rootkita. Często te procesy realizowane są po kilka miesięcy, Microsoft czasami nie spieszy się bowiem z łataniem poszczególnych luk.
Niestety nie wiadomo nic na temat momentu rozpoczęcia złośliwego wykorzystywania błędu CVE-2024-38193 ani liczby organizacji objętych zasięgiem hakerskiej kampanii. Pozostaje mieć nadzieję, iż firmy zajmujące się cyberbezpieczeństwem zdołają opanować najnowszą odsłonę FunModule przez cały czas krążącą po sieci.
- Przeczytaj również: Tak gwałtownie jeszcze nie pisałeś maili. Gemini zdziała cuda
Brak możliwości wirusa obecnego w odmętach systemu brzmi przerażająco. Trudno choćby wyobrazić sobie ile urządzeń jest w tej chwili zainfekowanych przez przeróżnej maści wirusy.
Źródło: Ars Technica / Zdjęcie otwierające: Microsoft
