ESET: Lazarus-hackers vielen defensiebedrijf aan door bekende bug in Dell-driver

De Lazarus-hackers die deze zomer een Nederlands defensiebedrijf binnenkwamen, deden dat via een kwetsbaarheid in een Dell-driver. Daarvoor was al een patch beschikbaar, schrijft beveiligingsbedrijf ESET. De hackers vielen een luchtvaartbedrijf en een Belgische journalist aan.

ESET heeft voor het eerst meer technische details bekend gemaakt over een aanval op een Nederlands defensiebedrijf dat eerder dit jaar plaatsvond. Het beveiligingsbedrijf maakte toen bekend dat hackers van de Lazarus-groep een Nederlands defensiebedrijf succesvol hadden aangevallen. ESET doet in het onderzoek geen attributie, maar experts linken Lazarus aan het Noord-Koreaanse regime. Het is nog steeds niet bekend welk defensiebedrijf precies werd geïnfiltreerd, maar ESET zegt nu wel dat het gaat om 'een luchtvaartbedrijf'. Ook zegt ESET dat een Belgisch politiek journalist op die manier is aangevallen. Het is niet bekend wie dat was.

Het bedrijf en de journalist konden worden aangevallen door een spearphishingcampagne. Aanvallers deden zich voor als medewerkers van Amazons Project Kuiper-satellietproject. Nu is ook voor het eerst bekend wat er na dat eerste contact gebeurde. De aanvallers maakten specifiek gebruik van de kwetsbaarheid CVE-2021-21551. Dat is een bug in de Dell-driver dbutil_2_3.sys. Die werd ingeladen via een Word-document met een sjabloon erin. "De aanvallers gebruikten vervolgens hun schrijftoegang tot het kernelgeheugen om zeven mechanismen uit te schakelen die het Windows-besturingssysteem biedt om zijn acties te controleren, zoals register, bestandssysteem, procesaanmaak en event tracing, etc., waardoor beveiligingsoplossingen in feite op een zeer generieke en robuuste manier werden verblind en de aanval niet opmerkten", schrijft ESET.

Amazon eset

Daarna plaatsten de hackers een remote access trojan als achterdeur op een pc met Windows 10. Daarmee kon informatie van de pc worden gedownload, maar het was ook mogelijk die te uploaden, te herschrijven en bestanden te verwijderen. Ook konden de aanvallers screenshots maken. Volgens ESET was het belangrijkste doel van de aanvallers om data te stelen.

Opvallend is dat voor de kwetsbaarheid in de Dell-driver al een update beschikbaar was sinds mei 2021. De aanval vond eind 2021 plaats.

Reacties (27)

Polydeukes 30 september 2022 14:05

Als het goed is, heeft dit bedrijf conform ABDO geen staatsgeheimen op het netwerk of apparaten staan die rechtstreeks verbonden zijn met het internet. Dus de vraag is of de aanvallers echt waardevolle informatie hebben kunnen buitmaken, al zullen we dat waarschijnlijk nooit te weten komen.

[Reactie gewijzigd door Polydeukes op 26 juli 2024 14:58]

Iblies @Polydeukes • 30 september 2022 14:27

Daarmee kon informatie van de pc worden gedownload, maar het was ook mogelijk die te uploaden, te herschrijven en bestanden te verwijderen. Ook konden de aanvallers screenshots maken.

Het is best naïef om te denken dat wanneer iemand heeft ingebroken de conclusie te trekken dat er niet “echt waardevolle informatie” is buitgemaakt.

De persoon in kwestie is een puzzel in het geheel en moet uit voorzorg tijdelijk op non-actief worden gesteld.

Je weet wie die persoon is, waar die woont, wie zijn familie is, wat die doet, etc, etc. en met die gegevens ben je een paar stappen.

Polydeukes @Iblies • 30 september 2022 14:30

Je weet wie die persoon is, waar die woont, wie zijn familie is, wat die doet, etc, etc. en met die gegevens ben je een paar stappen.

Deze gegevens waren (waarschijnlijk) al bekend, want er was sprake van spear fishing. Met wat social engineering zijn die gegevens relatief eenvoudig te achterhalen.

In dit specifieke geval gaat het er vooral om wat die persoon wel en niet of zijn/haar machine had staan aan vertrouwelijke informatie (incl bijv. verzonden en ontvangen mail, Word-documenten, afbeeldingen, etc). Als de regels gevolgd zijn, is dat beperkt tot hooguit Departementaal Vertrouwelijk en dus geen Staatsgeheim Confidentieel, Geheim of Zeer Geheim.

surfin @Iblies • 30 september 2022 15:04

Als het bedrijf zich netjes aan de ABDO regels heeft gehouden zal er niets waardevols uitgemaakt zijn.

Maarja, Nederland en regeltjes..
Wij hebben zo ongeveer de uitzonderingen bedacht.

swhnld

30 september 2022 16:21

De echte grote vraag is natuurlijk waarom dit lek niet gepatcht was door het bedrijf.
Kwam de fix niet mee in de updates, was het bewust geblokkeerd, of was de gehele patch cyclus niet onder controle?

Inbraak via een Zero day is een ding, maar via een oud lek... Zijn er lessen geleerd waar wij ook wat aan kunnen hebben?

Boeshnl @swhnld • 30 september 2022 17:59

Ja. Optijd patchen.

SVMartin @Boeshnl • 30 september 2022 18:57

Ik zou graag willen weten wat de procedures waren die ingericht zijn om te patchen, en waarom die niet hebben geholpen. Misschien maak ik wel dezelfde vergissing.

Boeshnl @SVMartin • 30 september 2022 23:11

Dan heb ik het makkelijk

. Is er een update. Direct doorvoeren. Geen ingewikkeld proces nodig.

mrmrmr @Boeshnl • 1 oktober 2022 02:32

Ironisch is dat door Dell updateprogramma's te gebruiken je juist de kwetsbaare driver kan hebben geinstalleerd.

You may be impacted if you:

have applied a BIOS, Thunderbolt, TPM, or dock firmware update to your system; or
currently or have previously used Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, Dell BIOS Flash Utility or Dell SupportAssist for PCs (Home and Business)

Ik kan me voorstellen dat niet iedereen denkt aan het zich abonneren op beveiligingswaarschuwingen per email van Dell.

Uiteraard is wel wel een proces nodig voor patch management.

Darkstriker @mrmrmr • 2 oktober 2022 09:33

Ik mag aannemen dat als je Dell systemen of hardware in dermate beveiligingskritische omgeving toepast dat je wel degelijk op dat soort newsletters geabonneerd bent.

Fluttershy @Boeshnl • 1 oktober 2022 23:05

Is er een update. Direct doorvoeren. Geen ingewikkeld proces nodig.

Todat kritiek systeem X er uit ligt want die nieuwe drivers bieden functionaliteit Y niet meer aan, waar X van afhankelijk is.

Boeshnl @Fluttershy • 2 oktober 2022 08:57

Dat is het risico wat we nemen.

BeosBeing @Boeshnl • 3 oktober 2022 11:46

Dat is het risico wat we nemen.

Dat is heel leuk als het bedrijf juist daardoor failliet gaat.

robertlinke 30 september 2022 14:17

1: attack vector via een word sjabloon, really? hoe werkt dat nog? kom op...
2: ik neem aan dat Lazarus en Lapsus 2 verschillende groepen zijn?

en is er niet maar 1 groot nederland luchtvaart bedrijf namelijk Fokker Aerospace?
of zijn er meer de ik niet ken?

Polydeukes @robertlinke • 30 september 2022 14:21

Het is waarschijnlijk wel de grootste, maar zeker niet de enige:
https://aerospaceexport.c...20in%20netherlands-state/

Kecin

@Polydeukes • 30 september 2022 21:55

Het bedrijf waar het om gaat staat niet in die lijst.

phantom09 30 september 2022 21:33

En wat als de gebruiker geen admin rechten heeft? Werkt dit dan nog wel?

mrmrmr @phantom09 • 1 oktober 2022 02:15

Het is user space. Voor het laden van DLL zijn geen admin rechten nodig.

FONfanatic 30 september 2022 16:12

Bij Lazarus (= Noord-Korea) weten ze wel meer kwetsbaarheden uit te buiten.
https://www.zdnet.com/art...D&cid=%7B%24contact_id%7D

G_Dragon 30 september 2022 15:36

De grote vraag is de aanvallers echt waardevolle informatie hebben kunnen buitmaken, al zullen we dat waarschijnlijk nooit te weten komen. Blijf het wel telkens heel knap vinden hoe ze dit allemaal uitzoeken en dan in de praktijk dit weten uit te voeren, zo zie je maar weer dat je als bedrijf altijd je systemen up-to-date moet houden.

AV-Hans @G_Dragon • 30 september 2022 15:54

In dit geval was niet zozeer het systeem, maar de gebruiker de belangrijkste zwakke schakel. Dat er vervolgens gebruik is gemaakt van een (bestaande) kwetsbaarheid is alleen gelukt omdat de medewerker een bijlage heeft geopend die deze niet had mogen openen. Je kunt 100% up-to-date zijn, maar zolang phishing slaagt, ben je kansloos tegen professionele hackers.

nullbyte @AV-Hans • 30 september 2022 16:46

Je kan e-mail ook in een VM of sandbox openen. Zoals al wordt aangegeven door Polydukes, er zijn verschillende rubriceringen. Als het goed is dan wordt een e-mail client die op het internet zit niet geopend op een (Virtuele) machine met confidentieel / staatsgeheim gerubriceerde informatie er op.

JonPalle 1 oktober 2022 15:20

Er zijn nog steeds bedrijven die denken dat overkomt mij niet

kimborntobewild 1 oktober 2022 20:40

Dat is een bug in de Dell-driver dbutil_2_3.sys. Die werd ingeladen via een Word-document met een sjabloon erin.

Wat heeft een 3rd-party driver in vredesnaam in een tekstverwerker te zoeken? M.a.w: waarom wordt het door Word toegestaan een driver te laden?

mangahuisman @kimborntobewild • 3 oktober 2022 10:58

[...]

Wat heeft een 3rd-party driver in vredesnaam in een tekstverwerker te zoeken? M.a.w: waarom wordt het door Word toegestaan een driver te laden?

Ben ook benieuwd hoe dit in elkaar steekt

zalazar @kimborntobewild • 3 oktober 2022 16:14

Even wat verder lezen misschien. De driver is al lang geladen en vanuit Word wordt alleen met de driver gecommuniceerd. De driver is niet goed geschreven en heeft geen ACL checks waardoor deze ook verzoeken van non-privileged users.accepteert.
https://www.sentinelone.c...ivilege-escalation-flaws/

kimborntobewild @zalazar • 7 oktober 2022 16:49

Even wat verder lezen misschien. De driver is al lang geladen en vanuit Word wordt alleen met de driver gecommuniceerd. De driver is niet goed geschreven en heeft geen ACL checks waardoor deze ook verzoeken van non-privileged users.accepteert.
https://www.sentinelone.c...ivilege-escalation-flaws/

Als ik 't goed begrijp, heeft Microsoft dus in 12 jaar (dus verdeeld over meerdere Windows-versies) tijd nooit de betreffende Dell-drivers goed bekeken, of automatisch gecontroleerd.
Verblindt en onterecht vertrouwd zonder checks, omdat Dell zo'n groot bedrijf is?
Je zou verwachten dat elke driver op zijn minst door automatische checks gaat.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (27)

Sorteer op:

Weergave: