RTV

Wykonany na zamówienie bootkit UEFI, który czai się w dziczy

Koncepcja bezpieczeństwa oprogramowania.  Błędy w programie.  Błędy w programie.  Obecność backdoora, rootkita.
Powiększać / Koncepcja bezpieczeństwa oprogramowania. Błędy w programie. Błędy w programie. Obecność backdoora, rootkita.

sasha85ru | Getty Imates

Dopiero drugi raz w annałach cyberbezpieczeństwa naukowcy odkryli, że w UEFI czai się złośliwe oprogramowanie o niskim poziomie i bardzo nieprzejrzystym oprogramowaniu wymagane do uruchomienia prawie każdego współczesnego komputera.

Jako oprogramowanie, które łączy oprogramowanie układowe komputera z systemem operacyjnym, UEFI – skrót od Unified Extensible Firmware Interface – jest systemem operacyjnym samym w sobie. Znajduje się w układzie pamięci flash podłączonym do SPI, przylutowanym do płyty głównej komputera, co utrudnia sprawdzenie lub poprawienie kodu. Jest to pierwsza rzecz, którą należy uruchomić, gdy komputer jest włączony, pozwalając mu wpływać na system operacyjny, aplikacje zabezpieczające i całe inne oprogramowanie, a nawet kontrolować je.

Te cechy sprawiają, że UEFI jest idealnym miejscem do przechowywania złośliwego oprogramowania i właśnie tego dokonała nieznana grupa atakująca, zgodnie z nowym badaniem przedstawionym w poniedziałek przez firmę bezpieczeństwa Kaspersky Lab.

W zeszłym roku, po tym, jak moskiewska firma zintegrowała nowy skaner oprogramowania układowego w swoich produktach antywirusowych, badacze odzyskali podejrzany obraz UEFI od jednego z jej użytkowników. Po dalszych badaniach Kaspersky Lab odkrył, że oddzielny użytkownik został zainfekowany tym samym obrazem UEFI w 2018 roku. Obaj zainfekowani użytkownicy byli dyplomatami znajdującymi się w Azji.

Najwyższy poziom wytrwałości

Analiza ostatecznie wykazała, że ​​za każdym razem, gdy oprogramowanie układowe było uruchamiane, sprawdzało, czy plik o nazwie IntelUpdate.exe znajduje się w folderze startowym systemu Windows. Gdyby tak nie było, obraz UEFI umieściłby go tam. Okazało się, że IntelUpdate.exe był małym, ale ważnym trybikiem w dużej i modułowej strukturze zbudowanej z myślą o szpiegostwie i gromadzeniu danych. IntelUpdate.exe działał jako pierwsze łącze w długim łańcuchu. Zgłosił się do serwera kontrolowanego przez atakującego, aby pobrać inny odsyłacz, który z kolei pobrał inne łącza, z których wszystkie były dostosowane do profilu osoby zakażonej.

Firma zajmująca się bezpieczeństwem prezentuje wyniki na konferencji Security Analyst Summit @Home. W poście na blogu towarzyszącym panelowi autorzy Mark Lechtik i Igor Kuznetsov napisali:

Ataki opisane w tym poście na blogu pokazują, jak długo aktor może przejść, aby uzyskać najwyższy poziom trwałości na komputerze ofiary. Bardzo rzadko spotyka się na wolności zainfekowane oprogramowanie układowe UEFI, zwykle ze względu na niewielką widoczność ataków na oprogramowanie sprzętowe, zaawansowane środki wymagane do wdrożenia go na chipie flash SPI celu oraz wysokie stawki związane z nagrywaniem wrażliwego zestawu narzędzi lub zasobów podczas wykonywania więc.

Mając to na uwadze, widzimy, że UEFI nadal jest przedmiotem zainteresowania aktorów APT, podczas gdy ogólnie jest pomijany przez dostawców zabezpieczeń. Połączenie naszej technologii i wiedzy na temat obecnych i przeszłych kampanii wykorzystujących zainfekowane oprogramowanie układowe pomaga nam monitorować i raportować przyszłe ataki na takie cele.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook