imágenes falsas
En julio, los investigadores de seguridad revelaron un descubrimiento aleccionador: cientos de piezas de malware utilizadas por múltiples grupos de piratas informáticos para infectar dispositivos Windows habían sido firmadas digitalmente y validadas como seguras por la propia Microsoft. El martes, un grupo diferente de investigadores hizo un anuncio igualmente solemne: las claves digitales de Microsoft habían sido secuestradas para firmar aún más malware para su uso por un actor de amenazas previamente desconocido en un ataque a la cadena de suministro que infectó a aproximadamente 100 víctimas cuidadosamente seleccionadas.
El malware, informaron investigadores del equipo Threat Hunter de Symantec, fue firmado digitalmente con un certificado para su uso en lo que se conoce alternativamente como el Programa de desarrollo de hardware de Microsoft Windows y el Programa de compatibilidad de hardware de Microsoft Windows. El programa se utiliza para certificar que los controladores de dispositivos (el software que se ejecuta en lo más profundo del kernel de Windows) provienen de una fuente conocida y que se puede confiar en que accederán de forma segura a los rincones más profundos y sensibles del sistema operativo. Sin la certificación, los controladores no son elegibles para ejecutarse en Windows.
Secuestro de llaves del reino.
De alguna manera, los miembros de este equipo de hackers (al que Symantec llama Carderbee) lograron que Microsoft firmara digitalmente un tipo de malware conocido como rootkit. Una vez instalados, los rootkits se convierten esencialmente en una extensión del sistema operativo. Para obtener ese nivel de acceso sin alertar a los sistemas de seguridad de los terminales y otras defensas, los piratas informáticos de Carderbee primero necesitaban que su rootkit recibiera el sello de aprobación de Microsoft, que obtuvo después de que Microsoft lo firmara.
Con el rootkit firmado, Carderbee realizó otra hazaña audaz. Por medios que aún no están claros, el grupo atacó la infraestructura de Esafenet, un desarrollador de software con sede en China, conocido como Cobra DocGuard Client, para cifrar y descifrar software para que no pueda ser manipulado. Luego, Carderbee utilizó su nuevo control para enviar actualizaciones maliciosas a aproximadamente 2000 organizaciones que son clientes de Cobra DocGuard. Luego, los miembros del grupo de hackers enviaron el rootkit firmado por Microsoft a aproximadamente 100 de esas organizaciones. Los representantes de Esanet y su empresa matriz, NSFOCUS, no respondieron a un correo electrónico solicitando verificación.
«Parece claro que los atacantes detrás de esta actividad son actores pacientes y hábiles», escribieron los investigadores de Symantec. “Aprovechan tanto un ataque a la cadena de suministro como malware firmado para llevar a cabo su actividad en un intento de pasar desapercibidos. El hecho de que parezcan desplegar sólo su carga útil en un puñado de ordenadores a los que obtienen acceso también indica una cierta cantidad de planificación y reconocimiento por parte de los atacantes detrás de esta actividad”.
Microsoft implementó el programa obligatorio con el lanzamiento de Windows 10. Los atacantes habían utilizado durante mucho tiempo controladores en actividades posteriores a la explotación, es decir, después de piratear un sistema y obtener acceso administrativo. Si bien los atacantes ya podían instalar aplicaciones, robar contraseñas y tomarse otras libertades, ejecutar código en el kernel les permitió hacer cosas que de otro modo serían imposibles. Por ejemplo, podrían suprimir las advertencias de los sistemas de respuesta y detección de terminales y otras defensas. A partir de entonces, los controladores que necesitaban acceso al kernel debían estar firmados digitalmente.