مایکروسافت اخیراً اعلام کرد که یک اکسپلویت را در نرم افزار AppLocker برطرف کرده است، اما این اتفاق پس از آن میافتد که گروه لازاروس توانست از این نقص برای انجام یک حمله سایبری روت کیت استفاده کند.
گروه هکری لازاروس چه کسانی هستند؟
لازاروس، یک گروه هکری مرموز است که شواهدی بر ارتباط آنها با دولت کره شمالی وجود دارد. از سال ۲۰۰۹، آنها به حملات سایبری متعددی از جمله هک سونی پیکچرز در سال ۲۰۱۴ و حمله باجافزار WannaCry در سال ۲۰۱۷ مرتبط بودهاند. انگیزههای آنها از سرقت اطلاعات حساس و مختل کردن عملیات تا کسب درآمد برای کره شمالی متغیر است. با وجود ناشناس بودن، محققان این فعالیتها را به دلیل تکنیکها و اهداف منحصربهفردشان به گروه لازاروس نسبت میدهند. فعالیتهای مداوم این گروه، تهدیدی جدی برای امنیت سایبری در سراسر جهان به شمار میرود.
روت کیت به چه معناست؟
روت کیت یک برنامه نرمافزاری مخرب است که دسترسی غیرمجاز به یک سیستم کامپیوتری را میدهد و معمولاً برای پنهان کردن حضور و فعالیت خود از کاربر و نرم افزار امنیتی طراحی شده است. اصطلاح “rootkit” از کلمه “root” گرفته شده است که نام بالاترین امتیاز کاربری در سیستمهای مبتنی بر یونیکس است. این حساب دسترسی نامحدود به تمام فایلها و فرآیندهای سیستم دارد. روتکیتها می توانند برای اهداف مختلفی استفاده شوند، از جمله:
- سرقت اطلاعات حساس مانند رمز عبور، شماره کارت اعتباری و اطلاعات شخصی
- نصب بدافزار اضافی
- راه اندازی حملات انکار سرویس
- جاسوسی از فعالیت کاربر
شناسایی روتکیتها دشوار است، زیرا به گونهای طراحی شدهاند که مخفیانه باشند.
آسیبپذیری ویندوز اجازه دسترسی به کرنل را میدهد
محققان آواست آسیبپذیری روز صفر مایکروسافت را کشف کردند و توضیح دادند که این نقص به لازاروس اجازه میدهد تا از نسخه به روز شده بدافزار روتکیت اختصاصی خود به نام “FudModule” برای عبور از مرز ادمین به کرنل سیستم عامل استفاده کند.
این آسیب پذیری در روز 13 فوریه به عنوان بخشی از بهروزرسانی فوریه مایکروسافت برطرف شد و آواست جزئیات آن را در 29 فوریه منتشر کرد.
شایان ذکر است، تحلیلگران آواست گزارش دادند که FudModule با قابلیتهای جدیدی مجهز شده است، از جمله ویژگیای که فرآیندهای محافظتی PPL موجود در پلتفرمهای مایکروسافت را به حالت تعلیق در میآورد.
علاوه بر این، گروه لازاروس تاکتیک قبلی خود را کنار گذاشت تا تکنیک «درایور آسیبپذیر (BYOVD)» را برای پرش از ادمین به کرنل با استفاده از رویکرد اکسپلویت روز صفر انجام دهد.
گزارش آواست میگوید: «اگرچه تاکتیکها و تکنیکهای آنها (گروه لازاروس) تاکنون به خوبی شناخته شدهاند، هنوز هم گاهی اوقات موفق میشوند ما را با یک پیچیدگی فنی غیرمنتظره غافلگیر کنند.» روت کیت FudModule به عنوان آخرین نمونه عمل میکند و یکی از پیچیدهترین ابزارهای لازاروس را نشان میدهد.