گروه لازاروس وابسته به دولت کره شمالی، از آسیب پذیری روز صفر در ویندوز AppLocker به همراه یک روتکیت جدید و بهبود یافته در حملات سایبری اخیر استفاده کردهاند.
مایکروسافت اخیراً اعلام کرد که یک اکسپلویت را در نرم افزار AppLocker برطرف کرده است، اما این اتفاق پس از آن میافتد که گروه لازاروس توانست از این نقص برای انجام یک حمله سایبری روت کیت استفاده کند.
گروه هکری لازاروس چه کسانی هستند؟
لازاروس، یک گروه هکری مرموز است که شواهدی بر ارتباط آنها با دولت کره شمالی وجود دارد. از سال ۲۰۰۹، آنها به حملات سایبری متعددی از جمله هک سونی پیکچرز در سال ۲۰۱۴ و حمله باجافزار WannaCry در سال ۲۰۱۷ مرتبط بودهاند. انگیزههای آنها از سرقت اطلاعات حساس و مختل کردن عملیات تا کسب درآمد برای کره شمالی متغیر است. با وجود ناشناس بودن، محققان این فعالیتها را به دلیل تکنیکها و اهداف منحصربهفردشان به گروه لازاروس نسبت میدهند. فعالیتهای مداوم این گروه، تهدیدی جدی برای امنیت سایبری در سراسر جهان به شمار میرود.
روت کیت به چه معناست؟
روت کیت یک برنامه نرمافزاری مخرب است که دسترسی غیرمجاز به یک سیستم کامپیوتری را میدهد و معمولاً برای پنهان کردن حضور و فعالیت خود از کاربر و نرم افزار امنیتی طراحی شده است. اصطلاح “rootkit” از کلمه “root” گرفته شده است که نام بالاترین امتیاز کاربری در سیستمهای مبتنی بر یونیکس است. این حساب دسترسی نامحدود به تمام فایلها و فرآیندهای سیستم دارد. روتکیتها می توانند برای اهداف مختلفی استفاده شوند، از جمله:
- سرقت اطلاعات حساس مانند رمز عبور، شماره کارت اعتباری و اطلاعات شخصی
- نصب بدافزار اضافی
- راه اندازی حملات انکار سرویس
- جاسوسی از فعالیت کاربر
شناسایی روتکیتها دشوار است، زیرا به گونهای طراحی شدهاند که مخفیانه باشند.
آسیبپذیری ویندوز اجازه دسترسی به کرنل را میدهد
محققان آواست آسیبپذیری روز صفر مایکروسافت را کشف کردند و توضیح دادند که این نقص به لازاروس اجازه میدهد تا از نسخه به روز شده بدافزار روتکیت اختصاصی خود به نام “FudModule” برای عبور از مرز ادمین به کرنل سیستم عامل استفاده کند.