Microsoft přiznal podepsání ovladačů s rootkitem spojeným s čínskou armádou
28.6.2021, Jan Vítek, aktualita
Bezpečnostní softwarový analytik Karsten Hahn odhalil, že Microsoft digitálně podepsal ovladač, který přeposílal data do Číny, a to na server, který je dle amerického Ministerstva obrany spojen s čínskou armádou.
Microsoft už od éry operačního systému Windows Vista vyžaduje, aby ovladače byly digitálně podepsány, a aby se tak zabránilo propašování malwaru do takového softwaru, který má přístup k jádru systému. Nyní se ale přihodilo, že digitální podpis získaly i takové ovladače, které ve skutečnosti obsahovaly rootkit, který odesílal data na jistý server v Číně. Dle informací Ministerstva obrany Spojených států jde o server patřící firmě Ningbo Zhuo Zhi Innovation Network Technology, která je spojena s čínskou armádou.
Tuto skutečnost odhalil bezpečnostní analytik Karsten Hahn z firmy G DATA Software, která dříve získala výsledek testu ovladače podepsaného Microsoftem, který byl vyhodnocen jako falešně pozitivní, ovšem poté se ukázalo, že pozitivní byl zcela platně.
Vypadá to, že rootkit byl navržen jednoduše pro sběr potenciálně citlivých informací a je stále aktivní včetně daného serveru, který mu vrací seznamy URL za různými účely. Na jedné z takových adres lze najít seznam IP adres pro případné přesměrování včetně cílů.
Microsoft aktuálně nechává po PC napadených tímto rootkitem pátrat svůj Windows Defender a informuje o tom, že nyní zkoumá to, jak mohl napadený ovladač zvaný Netfilter projít certifikačním procesem Windows Hardware Compatibility Program (WHCP). Netfilter má přitom mít jeden účel, a to zfalšovat informace o pozici hráče kvůli tomu, aby ten nebyl ovlivněn restrikcemi vycházejícími z jeho geografické polohy.
Informace o účelu Netfilteru tak vcelku zapadají do celkového obrázku, zvláště když se od Microsoftu dozvídáme, že tento software se nejvíce rozšířil v PC hernách v Číně. Vypadá to tak, že v hledáčku byli samotní čínští občané a jejich "závadné" jednání.
Microsoft také už uvedl, že ovladače byly vytvořeny jistou třetí stranou a podány k certifikaci prostřednictvím WHCP, přičemž příslušný účet už byl zablokován a nyní jsou také podrobně zkoumány další ovladače, které byly v rámci něho dříve zaregistrovány.
