Microsoft v piatok uviedol, že vyšetruje incident, pri ktorom sa ukázalo, že ovládač podpísaný spoločnosťou bol škodlivý Windows rootkit, ktorý bol pozorovaný pri komunikácii s príkazovými a riadiacimi (C2) servermi umiestnenými v Číne.
Ovládač s názvom „Netfilter“ sa údajne zameriava na herné prostredia, konkrétne vo východoázijskej krajine, pričom spoločnosť so sídlom v Redmonde poznamenáva, že „cieľom herca je použiť ovládač na sfalšovanie ich geografickej polohy na podvádzanie systému a hrať odkiaľkoľvek.”
„Malvér im umožňuje získať výhodu v hrách a prípadne zneužiť iných hráčov kompromitovaním ich účtov prostredníctvom bežných nástrojov, ako sú keyloggery,“ uviedlo Centrum bezpečnostných reakcií spoločnosti Microsoft (MSRC).
Stojí za to zdôrazniť, že Netfilter tiež odkazuje na legitímny softvérový balík, ktorý umožňuje filtrovanie paketov a preklad sieťových adries pre systémy založené na Linuxe.
Spoločnosť Microsoft nazvala malvér „Retliften“, pričom sa zmieňuje o „netfilter“, ale je napísané opačne, pričom pridanie škodlivého ovládača môže zachytiť sieťovú prevádzku, pridať nové koreňové certifikáty, nastaviť nový proxy server a upraviť nastavenia internetu bez súhlasu používateľa.
Nečestné podpisovanie kódu si všimol Karsten Hahn, analytik malvéru v nemeckej spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou G Data, ktorý zdieľal ďalšie podrobnosti o rootkite vrátane kvapkadla, ktoré sa používa na nasadenie a inštaláciu Netfilteru v systéme.
Po úspešnej inštalácii sa zistilo, že ovládač nadviazal spojenie so serverom C2 na získanie informácií o konfigurácii, ktorý okrem iného ponúkal množstvo funkcií, ako je presmerovanie adresy IP, okrem iného aj možnosti získania koreňového certifikátu a dokonca aj vlastnej aktualizácie malvéru.
Najstaršia vzorka Netfilter zistená na VirusTotal pochádza zo 17. marca 2021, povedal Hahn.
Microsoft poznamenal, že herec predložil ovládač na certifikáciu cez Windows Program kompatibility hardvéru (WHCP) a že ovládače vytvorila tretia strana. Spoločnosť odvtedy pozastavila účet a skontrolovala, či sa v jeho odoslaniach nenachádzajú ďalšie známky škodlivého softvéru.
The Windows tvorca tiež zdôraznil, že techniky používané pri útoku sa vyskytujú po vykorisťovaní, čo si vyžaduje, aby protivník už predtým získal oprávnenia správcu, aby mohol nainštalovať ovládač počas spúšťania systému alebo oklamať používateľa, aby to urobil v jeho mene.
Okrem toho spoločnosť Microsoft uviedla, že má v úmysle vylepšiť svoje zásady prístupu pre partnerov, ako aj proces overovania a podpisovania, aby sa ešte viac zlepšila ochrana.
„Bezpečnostné prostredie sa naďalej rýchlo vyvíja, pretože aktéri hrozieb nachádzajú nové a inovatívne metódy na získanie prístupu k prostrediam naprieč širokou škálou vektorov,“ povedal MSRC a opäť zdôraznil, ako môžu aktéri hrozieb využiť dôveru spojenú s podpísanými ovládačmi na uľahčenie. rozsiahle softvérové útoky na dodávateľský reťazec.
