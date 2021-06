Microsoft is een onderzoek gestart naar het signeren van een rootkit-driver die bij aanvallen tegen gebruikers in China is ingezet, zo laat het techbedrijf weten. Vrijdag meldde antivirusbedrijf G Data dat het een door Microsoft gesigneerde rootkit-driver had ontdekt die verkeer van besmette systemen naar een Chinees ip-adres doorstuurde.

In een blogpost erkent Microsoft het signeren van de rootkit-driver. Sinds Windows Vista kunnen op Windows standaard alleen digitaal gesigneerde drivers worden geïnstalleerd. De aanvaller wilde volgens Microsoft meerdere drivers via het Windows Hardware Compatibility Program laten certificeren. Deze drivers waren van een derde partij afkomstig, maar om wie het precies gaat laat Microsoft niet weten.

Het betreffende account dat de drivers instuurde is geschorst. Tevens wordt er onderzocht of andere ingezonden drivers van malware zijn voorzien. Volgens Microsoft is het certificaat dat binnen het Windows Hardware Compatibility Program wordt gebruikt voor het signeren van drivers niet gecompromitteerd.

De aanvaller achter de rootkit-driver heeft het volgens Microsoft specifiek voorzien op de "gamingsector" in China en zou geen bedrijven als doelwit hebben. Ook lijkt de betreffende aanval niet het werk van een statelijke actor, laat het techbedrijf verder weten. De aanvaller zou via de driver hun geolocatie kunnen spoofen om zo overal vandaan te kunnen spelen. Ook zou de rootkit helpen om een voordeel in games te krijgen en mogelijk de accounts van andere gamers over te nemen, bijvoorbeeld door het gebruik van keyloggers.

Microsoft laat tevens weten dat een aanvaller beheerderstoegang moet hebben om de rootkit-driver te kunnen installeren of de gebruiker zover moet krijgen om dit voor hem te doen. Informatie over de aanval wordt met andere antivirusbedrijven gedeeld, zodat die hun gebruikers kunnen beschermen. Hoeveel malafide drivers er zijn gesigneerd laat Microsoft niet weten, maar het bedrijf heeft hashes van meer dan tachtig malafide bestanden gedeeld.