קבוצת האקרים רוסית הצליחה לעקוף את חתימת מנהל ההתקנים של 'חלונות'

קבוצת Turla ניצלה את מנהל ההתקן המאומת VirtualBox כדי להשבית את DSE ולהעמיס אחר כך את מנהלי ההתקן הלא מאומתים שלו

bigstock

כשהחלו להתפרסם הידיעות, בשנת 2014 על קבוצת תוקפים חדשה ומתוכחמת בשם Turla, שלדעת שירות הביון האסטוני מקורה ברוסיה ופעלה מטעם שירותי הביטחון הרוסיים ה-FSB, התוכנות הזדוניות שלה היו גם הפעם הראשונה בה נחשף שימוש לרעה במנהל התקן (driver) של צד שלישי על מנת להשבית את מנגנון אכיפת חתימת מנהל ההתקנים (Driver Signature Enforcement - DSE).

מנגנון אבטחה זה הוצג בחלונות ויסטה כדי למנוע טעינה של מנהלי התקנים אל קוד המקור (kernal). קבוצת Turla ניצלה את מנהל ההתקן המאומת VirtualBox כדי להשבית את DSE ולהעמיס אחר כך את מנהלי ההתקן הלא מאומתים שלו. עם זאת, ישנו בלבול בנוגע לקוד הניצול (exploit) זה מכיוון שלרוב מכונים אותו CVE-2008-3431. 

הקוד בו השתמשה קבוצת Turla עושה שימוש לרעה בשתי חולשות, שרק אחת מהן תוקנה אי פעם ב-CVE הנ"ל. קוד אחר נמצא על ידי Turla ומשמש בגירסה הראשונה שלהם, יחד עם CVE-2008-3431. הגרסה השנייה לניצול שלהם, שככל הנראה הוצגה בשנת 2014 של תוכנות זדוניות המנצלת את קוד המקור (kernelmode) משתמשת רק בחולשות שלא נחסמו - ובה אנו מתרכזים.

בפברואר 2019, חטיבת המחקר של פאלו אלטו נטוורקס Unit 42 גילתה כי קבוצת תוקפים שטרם נודעה ואינה ידועה על קהילת infosec איתרה שהחולשה השנייה, שלא נחסמה, יכולה לנצל לא רק את מנהל ההתקנים VirtualBox VBoxDrv.sys v1.6.2, אלא גם את כל הגרסאות האחרות עד לגרסה v3.0.0. 

יתרה מזאת, המחקר מראה לראשונה שתוקפים בלתי ידועים אלה ניצלו את גרסת מנהל ההתקן של VirtualBox בגרסה 2.2.0 בכדי להתמקד בתקיפה של לפחות שני ארגונים רוסיים שונים בשנת 2017. אנו צופים שהדבר נעשה מכיוון שגרסת מנהל ההתקנים 2.2.0 לא הייתה ידועה כפגיעה ולכן ככל הנראה לא נמצאת על הרדאר של חברות האבטחה. "מכיוון שטרם נמצאו קורבנות אחרים, אנו מאמינים כי מדובר בתוכנה זדונית נדירה ביותר המשמשת להתקפות ממוקדות בלבד", אומרים החוקרים. 

התוקפים השתמשו במשפחת תוכנות זדוניות שלא נודעו בעבר, כינו אותה בשם AcidBox מכיוון שהחלק הראשון היה שעשוע לשון של שם מנהל ההתקן של התוכנה הזדונית והחלק השני נלקח מ-VirtualBox. בגלל המורכבות והנדירות של התוכנות הזדוניות והעובדה שהיא חלק ממערך כלים גדול יותר, החוקרים מאמינים שהיא נוצלה על ידי קבוצת תוקפים מתקדמת לביצוע התקפות ממוקדות וסביר להניח כי תוכנה זדונית זו משמשת גם היום אם התוקף עדיין פעיל.

עם זאת, אנו צופים שהקוד נכתב מחדש במידה מסוימת. בהתבסס על המידע שיש לנו, אנו לא מאמינים שהתוקפים הלא ידועים הללו קשורים ל-Turla למעט החידוש של התוכנות הזדוניות שלהם. לקוחות פאלו אלטו נטוורקס מוגנים מאיום זה. פלטפורמת מניעת האיומים שלנו עם WildFire מזהה תוכנה זדונית זו. לקוחות AutoFocus יכולים לעקוב אחר פעילות תוכנות זדוניות באמצעות התג  AcidBox.

הסבר טכני מפורט