Ce n’est pas la première fois que le groupe Lazarus s’introduit dans le système de Windows. Le pirate informatique nord-coréen a déjà introduit des pilotes qui permettent d’attaquer le disque dur. Cette fois-ci, il a profité de la vulnérabilité CVE-2024-21338 d’AppLocker. Microsoft a appliqué un correctif pour résoudre le problème. Cela ne garantit toutefois pas que Lazarus cessera ses tentatives.
Lazarus est l’un des pirates informatiques les plus redoutés. Ce groupe APT est connu pour être affilié au gouvernement nord-coréen. Des sources rapportent qu’à travers le cyber-espionnage, il collecte des fonds pour soutenir le régime. Il a dernièrement profité de la faille zero day AppLocker pour améliorer son rootkit.
Son principal objectif est d’atteindre le noyau de Windows pour faire des manipulations. Lazarus a déjà lancé différentes attaques sur le système dans le passé et revient aujourd’hui avec un outil modernisé. Son atout est le rootkit FudModule qu’il utilise à la fois sur le noyau Windows et Linux. Les experts ont souligné les avancées du groupe dans leur rapport.
Une faille corrigée à temps
Microsoft a corrigé une faille sur le noyau Windows courant février 2024. Il a utilisé le patch Tuesday pour cela. Les chercheurs d’Avast estiment que cette action va affecter les tentatives de sabotage de Lazarus. Un dysfonctionnement informatique important aurait pu perturber la gestion administrative au sein des entreprises.
Les représentants d’Avast ont expliqué :
« Même si la vulnérabilité ne répond que très partiellement aux critères de sécurité de Microsoft, nous pensons que l’application d’un correctif était le bon choix et nous tenons à remercier Microsoft d’avoir finalement résolu ce problème ».
Le risque de sécurité était de 7,8/10 sur l’échelle CVSS selon Microsoft. Lazarus a profité des pilotes vulnérables pour introduire leur rootkit. Ce qui a alerté les experts était justement le nombre élevé d’autorisations d’accès au noyau. Ce sont ensuite les experts d’Avast qui ont fait le rapprochement avec le groupe Lazarus. Celui-ci a réussi à s’infiltrer comme disposant des privilèges du noyau.
Les pilotes ayant accès au noyau ont donc été listés afin de bloquer l’accès aux sources inconnues. Les défenses ne sont cependant pas suffisantes pour que la barrière de sécurité soit inviolable. Ce serait induire les utilisateurs en erreur concernant la sécurité de leur système. Les efforts montrent cependant la voie vers les points faibles à améliorer pour performer la barrière admin-to-kernel.
Des attaques plus ciblées
Certains chercheurs estiment que le groupe Lazarus possède des sous-groupes qui mettent à l’épreuve le système de sécurité informatique. Il est également appelé APT38 et fait partie des pirates impliqués dans différentes cyberattaques. Les entreprises devront renforcer la sécurité de leur système informatique pour protéger leurs données. Un piratage pourrait gêner le bon fonctionnement de la gestion administrative des sociétés.
Auparavant, les pirates se servaient de la technique BYOVD (Bring Your Own Vulnerable Driver). Cela consiste à faire valider son pilote tiers pour obtenir des privilèges. Différentes entreprises de cybersécurité ont identifié le rootkit FudModule en 2022. Ce rootkit de données affaiblit les mécanismes de défense de Windows en réécrivant le noyau. Le système devient alors plus lent à détecter les menaces externes.
Les chercheurs d’Avast rapportent :
« Le rootkit FudModule en est le dernier exemple et il représente l’un des outils les plus complexes que Lazarus possède dans son arsenal ».
Le rootkit FudModule s’attaque à différents points :
- Les rappels de registre ou les modifications sur celui-ci ;
- Les rappels d’objet ou l’exécution des codes ;
- Les rappels sur les processus ou les vérifications ;
Même si les modifications sont mineures, elles sont suffisantes pour affaiblir les défenses du noyau. Lazarus a déjà introduit des pilotes pour effacer le disque dans ses précédentes attaques. Microsoft a alors renforcé la sécurité du noyau en déployant des applications comme DES (Driver Signature Enforcement) et HVCI (Hypervisor-Protected Code Integrity).
