RTV

Jedno z najbardziej agresywnych zagrożeń internetowych może wejść do głównego nurtu szkodliwego oprogramowania UEFI

Stylizowana czaszka i skrzyżowane piszczele wykonane z jedynek i zer.

Jedno z najbardziej agresywnych zagrożeń w Internecie stało się właśnie coraz mniejsze i umożliwia zainfekowanie jednej z najbardziej krytycznych części każdego współczesnego komputera.

Trickbot to złośliwe oprogramowanie, które wyróżnia się swoimi zaawansowanymi możliwościami. Jego modułowa struktura doskonale nadaje się do uzyskiwania potężnych uprawnień administratora, szybkiego rozprzestrzeniania się z komputera na komputer w sieci i wykonywania rozpoznania, które identyfikuje zainfekowane komputery należące do wartościowych celów. Często wykorzystuje łatwo dostępne oprogramowanie, takie jak Mimikatz, lub exploity, takie jak EternalBlue, skradzione z agencji bezpieczeństwa narodowego.

Niegdyś zwykły trojan oszustwa bankowego, Trickbot przez lata ewoluował do w pełni funkcjonalnej platformy typu malware-as-a-service. Operatorzy trickbotów sprzedają dostęp do ogromnej liczby zainfekowanych maszyn innym przestępcom, którzy wykorzystują botnet do rozprzestrzeniania trojanów bankowych, oprogramowania ransomware i wielu innych złośliwych programów. Zamiast przechodzić przez kłopoty związane z usidlaniem ofiar, klienci mają gotową grupę komputerów, na których będzie działać ich oprogramowanie crimeware.

Pierwsze ogniwo w łańcuchu bezpieczeństwa

Teraz Trickbot zyskał nową moc: możliwość modyfikowania interfejsu UEFI komputera. UEFI, skrót od Unified Extensible Firmware Interface, to oprogramowanie, które łączy oprogramowanie układowe komputera z jego systemem operacyjnym. Jako pierwszy program uruchamiany po włączeniu praktycznie każdej nowoczesnej maszyny, jest to pierwsze ogniwo w łańcuchu bezpieczeństwa. Ponieważ UEFI znajduje się w układzie flash na płycie głównej, infekcje są trudne do wykrycia i usunięcia.

Według wyników badań opublikowanych w czwartek, Trickbot został zaktualizowany i zawiera zaciemniony sterownik RWEverything, gotowe narzędzie, którego ludzie używają do pisania oprogramowania układowego na praktycznie każdym urządzeniu.

W tej chwili badacze wykryli Trickbota używającego tego narzędzia tylko do sprawdzenia, czy zainfekowana maszyna jest chroniona przed nieautoryzowanymi zmianami w UEFI. Jednak za pomocą jednej linii kodu złośliwe oprogramowanie może zostać zmodyfikowane w celu zainfekowania lub całkowitego usunięcia krytycznego elementu oprogramowania układowego.

„To działanie przygotowuje grunt dla operatorów TrickBota do wykonywania bardziej aktywnych działań, takich jak instalacja implantów oprogramowania sprzętowego i backdoorów lub zniszczenie (zamurowanie) docelowego urządzenia” – oświadczyły czwartkowe posty opublikowane wspólnie przez firmy zabezpieczające AdvIntel i Eclypsium. „Jest całkiem możliwe, że cyberprzestępcy już wykorzystują te luki w zabezpieczeniach o dużej wartości”.

Na razie rzadkie

Do tej pory odnotowano tylko dwa udokumentowane przypadki rzeczywistego złośliwego oprogramowania infekującego UEFI. Pierwsza, odkryta dwa lata temu przez dostawcę zabezpieczeń ESET, została wykonana przez Fancy Bear, jedną z najbardziej zaawansowanych grup hakerów na świecie i ramię rosyjskiego rządu. Poprzez zmianę przeznaczenia legalnego narzędzia do ochrony przed kradzieżą, znanego jako LoJack, hakerzy byli w stanie zmodyfikować oprogramowanie układowe UEFI, tak aby zgłaszało się do serwerów Fancy Bear, a nie do tych należących do LoJack.

Drugą partię rzeczywistych infekcji UEFI wykryła zaledwie dwa miesiące temu firma Kaspersky Lab z siedzibą w Moskwie. Badacze z firmy znaleźli złośliwe oprogramowanie na dwóch komputerach, z których oba należały do ​​dyplomatów znajdujących się w Azji. Infekcje umieściły szkodliwy plik w folderze startowym komputera, aby uruchamiał się przy każdym uruchomieniu komputera.

Znajdujące się na płycie głównej układy flash, które przechowują UEFI, mają mechanizmy kontroli dostępu, które można zablokować podczas procesu uruchamiania, aby zapobiec nieautoryzowanym zmianom oprogramowania układowego. Często jednak te zabezpieczenia są wyłączone, źle skonfigurowane lub utrudniane przez luki w zabezpieczeniach.

Infekcje UEFI na dużą skalę

W tej chwili naukowcy widzieli, jak Trickbot używa swoich nowo nabytych możliwości pisania UEFI do testowania, czy zabezpieczenia są na miejscu. Zakłada się, że operatorzy złośliwego oprogramowania tworzą listę maszyn, które są podatne na takie ataki. Operatorzy mogliby wtedy sprzedawać dostęp do tych maszyn. Klienci wypychający oprogramowanie ransomware mogą wykorzystać tę listę do nadpisania UEFI, aby uniemożliwić uruchomienie dużej liczby maszyn. Klienci Trickbota zamierzający szpiegować mogą wykorzystać tę listę do umieszczania trudnych do wykrycia backdoorów na komputerach PC w sieciach o wysokiej wartości.

Korzystanie przez Trickbota z pisania kodu UEFI grozi upowszechnieniem takich ataków. Zamiast być dominacją grup zaawansowanych, trwałych zagrożeń, które są zazwyczaj finansowane przez państwa narodowe, dostęp do komputerów podatnych na UEFI mógłby być wynajmowany tym samym przestępcom z niższego szczebla, którzy teraz używają Trickbota do innych rodzajów ataków złośliwego oprogramowania.

„Różnica polega na tym, że modułowe, zautomatyzowane podejście TrickBota, solidna infrastruktura i możliwości szybkiego masowego wdrażania wnoszą nowy poziom skali do tego trendu” – napisali naukowcy z AdvIntel i Eclypsium. „Wszystkie elementy są teraz gotowe na masową skalę niszczycielskich lub szpiegowskich kampanii, które mogą być skierowane na całe branże lub części infrastruktury krytycznej”.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook