W ostatnim czasie świat cyberbezpieczeństwa zadrżał w wyniku odkrycia poważnej luki w systemie Windows, oznaczonej jako CVE-2024-38193, która została wykorzystana przez hakerów powiązanych z północnokoreańską grupą Lazarus. Microsoft załatał tę lukę w ramach comiesięcznej aktualizacji zabezpieczeń, ale zanim to nastąpiło, atakujący zdążyli już zainstalować zaawansowane złośliwe oprogramowanie na zainfekowanych systemach.
Luka CVE-2024-38193: Czym jest i jak działa?
Luka CVE-2024-38193 to tzw. „zero-day”, co oznacza, że była znana lub aktywnie wykorzystywana zanim Microsoft zdążył ją załatać. Znajdowała się w pliku binarnym AFD.sys, który pełni funkcję pomocniczą w systemie Windows oraz działa jako punkt wejścia do jądra dla interfejsu API Winsock. Eksploatacja tej luki umożliwiała atakującym zdobycie najwyższych uprawnień systemowych, co w praktyce oznaczało możliwość wykonywania dowolnego kodu na zainfekowanym urządzeniu.
Atak Lazarusa: Jak hakerzy wykorzystali lukę?
Za odkryciem tej luki stoi firma Gen, znana z produktów takich jak Norton czy Avast. To właśnie jej badacze ustalili, że cyberprzestępcy, którzy ją wykorzystali, to członkowie grupy Lazarus, hakerskiego zespołu wspieranego przez rząd Korei Północnej. Luka pozwoliła im zainstalować wyrafinowane złośliwe oprogramowanie znane jako FudModule.
FudModule: Czym jest to złośliwe oprogramowanie?
FudModule to rodzaj rootkita, złośliwego oprogramowania, które potrafi ukrywać swoje działanie przed systemem operacyjnym oraz narzędziami zabezpieczającymi. Rootkity, takie jak FudModule, mają zdolność do przejęcia kontroli nad najgłębszymi warstwami systemu, co czyni je niezwykle niebezpiecznymi. Zostały one wcześniej wykryte i zanalizowane przez firmy AhnLab i ESET, a ich wyjątkowa zdolność do unikania wykrycia sprawiła, że były trudne do zwalczenia.
Metody ataku: Przynieś własny podatny sterownik
Jednym z mechanizmów instalacji FudModule była technika „przynieś własny podatny sterownik”. Hakerzy instalowali legalny, ale podatny na ataki sterownik, co umożliwiało im zdobycie dostępu do jądra systemu Windows. W jednym z wariantów FudModule, odkrytym przez firmę Avast, Lazarus wykorzystał lukę w sterowniku appid.sys, który jest kluczowy dla działania usługi Windows AppLocker.
Ochrona i skutki ataku
Choć Microsoft w końcu załatał lukę, zajęło to aż sześć miesięcy od momentu zgłoszenia jej przez firmę Avast. W tym czasie Lazarus mógł kontynuować swoje działania, instalując złośliwe oprogramowanie na systemach ofiar. Brakuje jednak szczegółowych informacji dotyczących skali ataków, liczby zainfekowanych organizacji oraz skuteczności wykrywania najnowszego wariantu FudModule przez narzędzia do ochrony punktów końcowych.
Atak Lazarusa na systemy Windows przy wykorzystaniu luki CVE-2024-38193 jest kolejnym dowodem na rosnące zagrożenie ze strony zaawansowanych grup hakerskich działających na zlecenie rządów. Pomimo załatania luki przez Microsoft, fakt, że takie ataki mogą pozostawać niewykryte przez długi czas, podkreśla konieczność ciągłego monitorowania i aktualizowania systemów bezpieczeństwa, zwłaszcza w organizacjach działających w wrażliwych sektorach, takich jak lotnictwo czy kryptowaluty.