Cel puțin 11 grupări de hackeri asociate agențiilor de spionaj din Rusia, China, Iran și Coreea de Nord se folosesc de o vulnerabilitate Windows documentată încă din anul 2017 pentru a facilita deghizarea aplicațiilor infectate și înlesni operațiunile de infiltrare și colectare informații.
Totul pornește de la banalele scurtături Windows (fișiere cu extensia .lnk), folosite pentru a pune pe Desktop sau în Start Menu aplicațiile instalate, astfel încât utilizatorii să nu bâjbâie după fișierul executabil al aplicației aflată, spre exemplu, în folderul Program Files. Aceleași fișiere-scurtătură pot fi folosite și pentru a afișa într-o locație convenabilă orice alt fișier (inclusiv documente), chiar dacă acesta se află într-o cu totul altă locație pe hard disk/SSD.
Problema e că scurtăturile Windows sunt mai mult decât ceea ce par, Microsoft adăugând tot felul de opțiuni pe care dezvoltatorii de aplicații le-au cerut de a lungul timpului. Cum ar fi posibilitatea de a seta un alt icon/pictogramă decât cel al aplicației spre care duce respectiva scurtătură. Sau posibilitatea de a adăuga diverși parametrii pentru lansarea aplicației respective. Cum ar fi, creezi două scurtături pentru aceeași aplicație. Una pornește aplicația ca atare, iar a doua inițiază comanda New Document. Pare inofensiv, nu? Dar dacă ai adăuga alți parametri, care declanșează un comportament malițios nedocumentat în aplicația respectivă? Ai spune, bine dar asta se poate vedea foarte ușor la o inspecție sumară a respectivei scurtături. Sigur, un dezvoltator de aplicații legitim nu și-ar risca reputația încercând „trucuri” de amator.
Problema este că Microsoft a „uitat” să adauge și un mecanism care să verifice dacă parametrii adăugați pentru inițializarea unei aplicații folosesc sau nu caractere standard, ori șiruri prea lungi de caractere lăsate pentru a lăsa în afara câmpului vizual comenzile ce ar ridica suspiciuni.
Chiar dacă nu este tocmai nouă, problema scurtăturilor „malformate” pentru ascunderea de informații a fost din adusă în discuție de Peter Girnus și Aliakbar Zahravi, specialiști în securitate din cadrul Zero Day Initiative (ZDI) de la Trend Micro:
„Am descoperit aproape o mie de mostre Shell Link (.lnk) care exploatează ZDI-CAN-25373; totuși, este probabil ca numărul total de încercări de exploatare să fie mult mai mare”, au spus aceștia . „Ulterior, am trimis Microsoft o exploatare de dovadă a conceptului prin programul de recompensă pentru erori Trend ZDI, care a refuzat să abordeze această vulnerabilitate cu un patch de securitate.”
Refuzată de Microsoft pentru încadrare ca și problemă reală, vulnerabilitatea este folosită în mod activ de către multe grupuri de hackeri sponsorizate de stat și grupări de criminalitate cibernetică , inclusiv Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, RedHotel, Konnder și alții, ca o modalitate simplă și eficientă pentru disimularea aplicațiilor infectate.
Deși campaniile au vizat victime din întreaga lume, acestea s-au concentrat în primul rând pe America de Nord, America de Sud, Europa, Asia de Est și Australia. Dintre toate atacurile analizate, aproape 70% au fost legate de spionaj și furt de informații, în timp ce câștigul financiar a fost în centrul atenției doar 20%.
