Проукраинские киберпреступники вывели из строя ИТ-инфраструктуру российской промышленной компании, используя изъян Windows. Речь идет об известном с 2022 года недостатке взаимодействия операционной системы с цифровыми подписями драйверов. Расследуя данный инцидент в мае 2024 года, эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» выяснили, что уязвимость позволила злоумышленникам загрузить в сеть жертвы вредоносный драйвер, который отключил антивирусное ПО. Обойдя защиту, хакеры смогли зашифровать ряд корпоративных систем и частично разрушили серверы виртуализации, нанеся колоссальный ущерб компании.

Злоумышленники проникли в сеть промышленной организации в апреле 2024 года через взломанную учетную запись подрядчика. С хоста подрядчика по протоколу RDP (протокол удаленного рабочего стола) они получили доступ к ряду систем. Но, прежде чем совершать деструктивные действия, хакеры смогли отключить защитное ПО, чтобы их действия невозможно было обнаружить и заблокировать.

О недостатке в работе Microsoft, которым воспользовались злоумышленники, известно давно. В 2022 году компания ввела политику обязательной цифровой подписи ПО, которое может попасть в ядро системы, в том числе и различных драйверов. Эту подпись можно получить через специальный портал разработчиков. Если подписи нет, то Windows 10, начиная с версии 1607, просто не запустит новый драйвер. Эту меру ввели для безопасности: чтобы у злоумышленников было меньше возможностей создавать вредоносное ПО, подписанное сертификатами от легальных, но нечистых на руку сертификационных центров.

Однако, чтобы обеспечить совместимость со старыми драйверами (например, с драйверами оборудования, которое больше не выпускается), в Microsoft оставили несколько исключений из этой политики. Одно из них — драйвер должен быть подписан с помощью конечного сертификата (то есть сертификата, выданного конкретной организации) не позднее 29 июля 2015 года. Именно это исключение использовали атакующие, применив технику подмены временных меток сертификатов. Они взяли сертификат китайского производителя электроники и «состарили» его до нужной степени, чтобы не «вызывать подозрения» у операционной системы.

В процессе исследования атакованных серверов компании эксперты Solar 4RAYS обнаружили два образца вредоносного ПО, один из которых искал в системе признаки присутствия защитного решения, а другой отключал его командой из режима ядра. По итогам расследования все вредоносны были удалены из инфраструктуры, а компания получила рекомендации о дальнейших действиях по закрытию уязвимостей, которыми воспользовались хакеры.

«Подобная техника позволяет киберпреступникам отключить вообще любой софт (а не только антивирусное ПО) и беспрепятственно развить атаку в целевой инфраструктуре. Раньше подобные атаки практиковали в основном киберпреступные группировки из азиатского региона, но теперь мы видим ее активное распространение и среди других злоумышленников. Но если азиатские хакеры в основном собирали данные, не разрушая инфраструктуру, то злоумышленники из Восточной Европы часто нацелены на деструктив, что усугубляет угрозу. Для того, чтобы вовремя «отловить» подобную атаку, нужно регулярно проверять работоспособность установленных в инфраструктуре защитных решений. Если с какого-то ПО не идет телеметрия — это очевидный повод его проверить. Кроме того, важно периодически проводить оценку компрометации. Такая проверка повышает шансы выявить атаку до наступления серьезных последствий», — сказал Иван Сюхин, руководитель группы расследований инцидентов Solar 4RAYS ГК «Солар».

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Хакеры теряют связь — «Солар» запускает проактивного блокировщика киберугроз в DNS-трафике

Хакеры теряют связь — «Солар» запускает проактивного блокировщика киберугроз в DNS-трафике

Узнать больше
Ростех определил лучших киберзащитников по итогам CTF-турнира на платформе CyberMir

Ростех определил лучших киберзащитников по итогам CTF-турнира на платформе CyberMir

Узнать больше
Сложнее взломать, проще защитить: «Солар» первым в РФ запускает бесплатную защиту от DDoS-атак для cайтов среднего и малого бизнеса

Сложнее взломать, проще защитить: «Солар» первым в РФ запускает бесплатную защиту от DDoS-атак для cайтов среднего и малого бизнеса

Узнать больше
«Солар» усиливает защиту корпоративных сетей: представлена новая версия SWG-системы Solar webProxy 4.3.1

«Солар» усиливает защиту корпоративных сетей: представлена новая версия SWG-системы Solar webProxy 4.3.1

Узнать больше
«Солар»: хакеры наращивают интенсивность атак и запугивают устаревшими утечками данных

«Солар»: хакеры наращивают интенсивность атак и запугивают устаревшими утечками данных

Узнать больше
Аналитика ГК «Солар»: потребление сервисов информационной безопасности малым и средним бизнесом в России может удвоиться к 2030 году до 35-37 млрд рублей

Аналитика ГК «Солар»: потребление сервисов информационной безопасности малым и средним бизнесом в России может удвоиться к 2030 году до 35-37 млрд рублей

Узнать больше
PROF-IT GROUP и «Солар» начинают сотрудничество в сфере кибербезопасности для промышленных предприятий

PROF-IT GROUP и «Солар» начинают сотрудничество в сфере кибербезопасности для промышленных предприятий

Узнать больше
Тонкие настройки прав доступа в новом релизе IdM-системы Solar inRights

Тонкие настройки прав доступа в новом релизе IdM-системы Solar inRights

Узнать больше
«Солар» расширяет пул разработчиков OCR-технологий

«Солар» расширяет пул разработчиков OCR-технологий

Узнать больше