Een bende hackers, waarschijnlijk gesponsord door de staat, heeft sinds 2009 grote schade aangericht aan overheidsinstanties en telecommunicatiebedrijven in Zuid- en Zuidoost-Azië met behulp van een minder bekende functie in Windows.
Waarom het Microsoft ongeveer zeven jaar kostte om misbruik van de Windows-functie hotpatching aan het licht te brengen, kan alleen de softwaregigant vertellen. Maar in zijn onlangs uitgebrachte rapport zei de softwaregigant dat de groep aanvallers zich richtte op defensieorganisaties, inlichtingengemeenschappen, diplomaten en telecommunicatiebedrijven in Maleisië, Indonesië en China, wat aangeeft dat de aanvallen bedoeld waren om cyberspionage uit te voeren.
De groep aanvallers, die zichzelf Platinum noemt, heeft voorzichtige tactieken gebruikt om geen vlek op de radar van detectietools te veroorzaken. Platina heeft bijvoorbeeld hun aanvalsfrequentie elk jaar geminimaliseerd.
De hot patching-functie van Windows werd samen met Windows Server 2003 geïntroduceerd en de tool vervaagde toen Windows 8 werd geïntroduceerd omdat Microsoft de functie nutteloos vond voor miljoenen Windows-gebruikers. Toen het in de vergetelheid raakte, begonnen platina-hackers de functie te gebruiken om kwaadaardige code in lopende Windows-processen te laden. Omdat ze gebruik maakten van hotpatching, hoefden de servers niet opnieuw te worden opgestart.
Het lijkt er ook op dat de aanvallers achter het hotpatching-misbruik eerder bevoorrechte toegang hadden tot systemen van slachtoffers, omdat hotpatching beheerdersbevoegdheid vereist om te kunnen functioneren. Een aanvalsvector die door de platina-hackers werd gebruikt, was spear-phishing, die ze combineerden met een frauduleus Microsoft Office-bestand dat bedoeld was om niet-gepatchte fouten te misbruiken en achterdeurtjes naar computers te creëren. Gelukkig zijn deze kwetsbaarheden nu verholpen.
Het gebruik van de patch-functie maakt de Platinum-aanval minder opvallend op de radar van Microsoft, omdat de meeste antivirusprogramma’s zijn ontworpen om processen te volgen die niet eigen zijn aan het systeem, wat betekent dat ze door derden kunnen worden uitgevoerd voor injectiemethoden. Hotpatching daarentegen is een native proces op Windows en wordt gebruikt om code in machines te injecteren. Als de aanvallers anderszins geen code via de patch kunnen injecteren, zal de functie proberen andere injectietechnieken te gebruiken voor code die vaker voorkomt in Windows-processen. Dit biedt aanvallers een breed scala aan opties voor het injecteren van kwaadaardige code.
Platinum is een geavanceerde reeks aanhoudende bedreigingen en bevat een schat aan achterdeurtjes en malwarekits, en werkt heimelijk door de malware zelf te verwijderen. De codes van de groep zijn zo ontworpen dat ze een reeds gecompromitteerde machine zullen infecteren om hun sporen verborgen te houden voor antivirussoftware.
