Błąd w sterownikach sprzętowych DELL wykorzystywany przez hakerów do atakowania komputerów z Windows w firmach

BYOVD ulubioną metodą hakerów

BYOVD (Bring Your Own Vulnerable Driver), czyli „przynieś swój ulubiony sterownik” to jedna z najchętniej wykorzystywanych metod ataku, ponieważ w łatwy sposób pozwala ona hakerom przejąć kontrolę nad komputerem ofiary.

Opisywany dzisiaj atak z wykorzystaniem tej metody został niedawno zauważony przez ekspertów z firmy ESET. Północnokoreańska grupa hakerska Lazarus zainstalowała rootkita dla systemu Windows, który wykorzystywał sterownik sprzętowy firmy Dell.

Hakerzy wykorzystujący błąd sterownika od Dell

W ramach prowadzonej kampanii hakerzy zaatakowali wielu użytkowników w Unii Europejskiej. Wysyłali oni swoim ofiarom fałszywe oferty pracy, tym razem podszywając się pod pracowników Amazona.

„Kampania rozpoczęła się od e-maili typu spear phishing, które zawierały złośliwe dokumenty związane z Amazonem i były skierowane do pracownika firmy lotniczej w Holandii oraz dziennikarza politycznego w Belgii” – powiedział badacz ESET Peter Kálnai.

Kampania hakerska rozpoczęła się jesienią 2021 i jej głównym celem była kradzież danych oraz prowadzenie działań szpiegowskich. W tym roku hakerzy będą jeszcze prawdopodobnie wykorzystywać fałszywe oferty pracy w ramach swojej kampanii w formie sztuczki socjotechnicznej. Twierdzą tak sami badacze z ESET, ale świadczy o tym również fakt, że w Holandii zaatakowany został podłączony do sieci firmowej komputer z systemem Windows 10 – za pośrednictwem wiadomości na LinkedIn skontaktowano się z pracownikiem w sprawie rzekomej oferty pracy, a następnie wysłano mu wiadomość e-mail z załącznikiem do dokumentu.

Infekcja komputera spowodowana otwarciem dokumentu dostarczonego przez hakerów wiąże się z wprowadzeniem do systemu następujących elementów:

• programów ładujących złośliwe oprogramowanie,
• instalacji złośliwych narzędzi do pobierania danych,
• konfiguracji niestandardowych backdoorów.

Według raportu powyższe elementy są pobierane z zakodowanego na stałe adresu i wykorzystywane do dalszego infekowania komputera.

Luka CVE-2021-21551

Grupa Lazarus wykorzystywała szeroką gamę narzędzi, ale jednym z najciekawszych było to o nazwie FudModule – zupełnie nowe narzędzie do rootkitów. Używa ono luki w sterowniku sprzętu Dell z techniką BYOVD, co jest pierwszym zastosowaniem tej techniki.

Hakerzy dostarczali wyróżniający się na tle pozostałych moduł trybu użytkownika. Prawidłowy sterownik Dell został skompromitowany przez lukę CVE-2021-21551, która umożliwiła modułowi odczytywanie i zapisywanie informacji w jądrze komputera na najwyższych uprawnieniach.

Po uzyskaniu dostępu do pamięci jądra atakujący wyłączali siedem mechanizmów (komponentów) systemu operacyjnego Windows pozwalających śledzić i zapisywać aktywność w systemie w miejscach takich jak:

• rejestr systemowy,
• system plików,
• logi z tworzenia procesów,
• śledzenie zdarzeń w logach.

Od strony bardziej technicznej, atak wykorzystywał lukę w odkrytym jako podatny sterowniku sprzętowym o nazwie „dbutil_2_3.sys” i numerze CVE-2021-21551. To legalny sterownik firmy Dell, usunięty przez „FudModule.dll” i jest on potencjalnie zagrożony.

Co ciekawe, wykorzystując po raz pierwszy na wolności lukę CVE-2021-21551, hakerzy byli w stanie wyłączyć na Windows wszystkie rozwiązania bezpieczeństwa jednocześnie.

Poniżej wymieniamy wszystkie złośliwe oprogramowania, narzędzia, droppery oraz programy ładujące używane przez hakerów z Lazarus w tym ataku:

• HTTP(S) backdoor: BLINDINGCAN,
• HTTP(S) downloader,
• HTTP(S) uploader,
• FudModule Rootkit,
• Trojanized lecui,
• Trojanized FingerText,
• Trojanized sslSniffer.

Szczegóły na temat powyższych narzędzi znajdziecie tutaj.