Programvaran AcidBox har hittills bara använts i riktade attacker vid enstaka tillfällen över de senaste åren. Men Palo Alto Networks meddelar nu att de upptäckt att den även använder ett sedan tidigare helt okänt säkerhetshål i Windows vilket gör den ovanligt svår att upptäcka för de som angrips.
AcidBox bygger vidare på en mycket uppmärksammad skadlig programvara som upptäcktes redan år 2014. Bakom denna stod en då okänd aktör som skapade nya hot, Turla Group. Enligt estniska säkerhetstjänsten är Turla en rysk grupp som arbetar åt FSB, den ryska säkerhetstjänsten.
Deras skadliga programvara var det första kända att använda en extern enhet för att sätta den så kallade Driver Signature Enforcement (DSE) ur funktion. DSE har varit en del av Windows sedan 2007 och ska förhindra okända enheter att få tillgång till operativsystemskärnan (även kallad kernel). Turla Group hittade alltså ett sätt att runda detta skydd.
Teckna din prenumeration på Aktuell Säkerhet här
Detta säkerhetshål består egentligen av två olika brister i DSE-programvaran, varav bara en senare lagades i samband med en säkerhetsuppdatering. Senare har Turla Group använt nya typer av skadlig programvara som utnyttjar det säkerhetshål som inte lagats.
Under början av 2019 upptäckte Palo Alto Networks att en ny, okänd grupp upptäckt det andra, ännu existerande säkerhetshålet. Detta har kunnat utnyttjas även för senare versioner av Windows. Den okända gruppen har utnyttjat detta för att attackera minst två olika ryska verksamheter i riktade attacker.
