Kradli dane na skalę przemysłową? Luka w popularnym antywirusie jednak niewykorzystana

[Artykuł zaktualizowany] Otrzymaliśmy informacje, że luka w ESET mogła umożliwić włamania i masową kradzież danych. Eksperci potwierdzili jednak, że nie zarejestrowali przypadku wykorzystania tej, już naprawionej, luki.

Narzędzie miało być wykorzystywane przez chińską grupęAPT ToddyCat. Złośliwe oprogramowanie o nazwie TCESB służyło cyberprzestępcom do włamywania się do sieci i kradzieży ogromnych ilości danych.

Początkowe doniesienia mówiły o tym, że luka w produkcie zabezpieczającym ESET umożliwiła grupie ToddyCat wdrażanie na urządzeniach ofiar 64-bitowej biblioteki DLL – złośliwego narzędzia TCESB. Komponent złośliwego kodu miał znajdować się w tym samym folderze co plik wykonywalny „ecls”, należący do skanera linii komend ESET.

Firma zapewniła jednak, że problem został załatany i już nie występuje..

Złośliwy kod nowej generacji

TCESB to zaawansowane narzędzie stworzone do omijania mechanizmów wykrywania, ukrytego wykonywania ładunków i trwałego utrzymania się w systemie ofiary. Najbardziej niepokojącą funkcją TCESB jest jego zdolność do modyfikacji struktur jądra systemu Windows w celu wyłączenia powiadomień o zdarzeniach systemowych. Narzędzie wykorzystuje technikę BYOVD (Bring Your Own Vulnerable Driver), instalując podatny na atak sterownik Dell DBUtilDrv2.sys (CVE-2021-36276) przy użyciu specjalnie spreparowanego pliku INF. Dzięki temu może „wtopić się” w system i działać w tle praktycznie niewykrywalnie.

Po zainstalowaniu sterownika, TCESB co dwie sekundy sprawdza, czy w danym folderze pojawił się określony plik ładunku. To mechanizm kontroli i synchronizacji – operatorzy ataku mogą w ten sposób bezpiecznie przesyłać dane, mając pewność, że narzędzie działa poprawnie.

Kradzież danych na skalę przemysłową

Grupa ToddyCat nie jest nowicjuszem w świecie hakerskim. Znana jest m.in. z ataku na organizacje rządowe i przemysł obronny w regionie Azji i Pacyfiku. Głównym celem tych działań jest pozyskiwanie poufnych informacji – a procesy ekstrakcji są w pełni zautomatyzowane, co czyni działania ToddyCat szczególnie groźnymi.

EDR-y, czyli systemy wykrywania i reagowania na zagrożenia, nie są wolne od luk. Jak podkreśla, poleganie wyłącznie na tych narzędziach bez odpowiedniej strategii wielowarstwowej ochrony może prowadzić do katastrofalnych skutków.

ESET zareagował w porę

Jakiekolwiek osłabienie zaufania do rozwiązań antywirusowych może mieć długofalowe skutki zarówno dla producentów, jak i dla użytkowników korporacyjnych. Dlatego warto zaznaczyć, że pierwotnie raportowany wyciek nie doszedł do skutku.

Eksperci apelują, by wszystkie firmy pilnie przeprowadzały audyty wewnętrzne i zaktualizowały wszystkie komponenty zabezpieczeń.

AKTUALIZACJA 11.04.2025

Dodatkowo, przedstawiamy stanowisko przedstawiciela firmy ESET: 

Nieprawdą jest sugerowanie jakoby rozwiązania ESET umożliwiły masowe ataki i kradzież danych. Nie ma o tym mowy w publikacji źródłowej badaczy firmy Kaspersky. Sama firma ESET, podkreśla, że nie zarejestrowała przypadku wykorzystania wskazanej luki.

Dla oddania pełnego kontekstu sytuacji należy wskazać, że do realizacji ataku, za pośrednictwem opisywanej w artykule luki, konieczne są uprawnienia administratora (CVE: Common Vulnerabilities and Exposures). Takie uprawnienia pozwalają na wykonanie niemal dowolnej operacji na danej stacji roboczej bez konieczności posługiwania się złośliwym oprogramowaniem. Nadmienię, że rozwiązania ESET zostały zaktualizowane automatycznie o niezbędne poprawki, eliminujące możliwość wykorzystania luki, przed 7 kwietnia br., czyli przed upublicznieniem informacji o podatności na blogu technicznym firmy Kaspersky.