„Podwójne zabójstwo”: Chińczycy ostrzegają przed superatakiem na Windowsa

W zeszłym roku doszło do dwóch potężnych ataków, które sparaliżowały infrastrukturę informatyczną na całym świecie. Teraz eksperci z Chin ostrzegają przed nowym zagrożeniem. Ofiarami mogą stać się posiadacze komputerów z Windowsem.

Coraz więcej cyberataków wyprowadzanych przez grupy hakerskieewidentnie pracujące na zlecenie potężnych sponsorów – niebójmy się powiedzieć tego otwarcie – prowadzących między sobąglobalną grę mocarstw. Tymczasem czołowi producenci oprogramowaniażyją wciąż w minionej epoce, dostarczając łatki w regularnychcyklach. Dysponując cenną luką 0-day warto więc zaczekać nawydanie świeżych biuletynów bezpieczeństwa, a następnie uderzyćw bezbronny cel. Zanim pojawi się łatka, mogą minąć tygodnie.Tak właśnie zrobiono w wypadku cyberataku „Shuang sha” –„podwójne zabójstwo”, przed którym ostrzegają ekspercichińskiego producenta oprogramowania antywirusowego Qihoo 360.

Z dość lakonicznych informacji udostępnionychna firmowym mikroblogu na platformie Weibo wynika, że atakprzeprowadzany jest poprzez uzłośliwiony dokument Microsoft Office,w którym osadzono przechowywaną na zewnętrznym serwerze stronęinternetową. Z niej ładowany jest kod exploita wykorzystującegolukę w silniku skryptowym Internet Explorera, a następnieuruchamiany (i to najwyraźniej z uprawnieniami systemowymi) ładunekbojowy.

Dlaczego mowa o potężnych sponsorach? Zdaniem chińskichbadaczy, którzy odtworzyli całą logikę ataku, nie jest to zwykły atak malware, lecz zagrożenie klasy AdvancedPersistent Threat (APT), czyli wymierzona w konkretne organizacjeuporczywa operacja hakerska, stosująca najbardziej zaawansowanetechniki ataku.

W tym wypadku oprócz exploitu 0-day na silnik Internet Explorerazastosowano dodatkowo ominięcie mechanizmu kontroli kontaużytkownika (UAC), i to bez pozostawiania śladów w systemie plików. Zmniejszono w ten sposób prawdopodobieństwo wykrycia.Uruchamianie pobranego z sieci ładunku bojowego wykorzystujetechnikę zdalnego wstrzykiwania biblioteki DLL w już działający,sprawdzony przez antywirusy proces. Sama zaś komunikacja z serweremdowodzenia i kontroli (CC) zabezpieczona jest steganograficznie (szkodnik i serwer CC wymieniają między sobą obrazki, w którychzakodowano informację).

Niestety, badacze Qihoo 360 zbyt wiele poza opisanym po chińskudiagramem logiki ataku nie przedstawili. Skontaktowali się za to zMicrosoft Security Response Center (MSRC), informując o tym gorącymataku 0-day. Microsoft zareagował wstrzemięźliwie, ani niezaprzeczając, ani nie potwierdzając. Stwierdzono jedynie, żeMicrosoft proaktywnie aktualizuje zagrożone urządzenia takszybko jak to tylko możliwe. Klientom poleca się używanie Windowsa10 i Microsoft Edge w celu uzyskania najlepszej ochrony. Nasząstandardową polityką jest dostarczanie poprawek poprzez wtorkoweaktualizacje.

Najbliższa wtorkowa aktualizacjaprzypada na 8 maja 2018 roku. Stojący za tym APT mają więc jeszczesporo czasu. Póki co możemy tylko radzić to, co zwykle się radzi:nie otwierajcie podejrzanych dokumentów w pakiecie Microsoft Office– kto wie czy chiński cyberatak nie zostanie szybko odtworzonyprzez inne grupy. Oczywiście nie otwierajcie też żadnych stron wInternet Explorerze. Czy można robić to w Microsoft Edge, jaktwierdzi Microsoft? No cóż… pewnie można, ale na własnąodpowiedzialność.