UEFI руткит

  • За всички с лаптоп Lenovo: Бързо вземете мерки!

    Lenovo съобщи за три уязвимости, засягащи Unified Extensible Firmware Interface (UEFI), който е наличен на поне 100 модела лаптопи.

    Пробойните  са открити от изследователи на ESET и са докладвани на Lenovo още през октомври 2021 г. Сред засегнатите модели са IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05 – това означава, че устройствата на милиони потребители са в риск.

    Проверете дали вашият модел лаптоп е потенциално засегнат ТУК.

    ESET отбелязва, че UEFI заплахите могат да бъдат изключително опасни, защото се изпълняват незабелязано от вас, още при зареждане на устройството, преди контролът да се прехвърли към операционната система.

    Ако недоброжелател експлоатира уязвимосттите, той може да изпълни произволен код с повишени привилегии и да прави каквото пожелае с вашия лаптоп. Възможно е дори да се стигне до разгръщане и успешно изпълнение на SPI flash или ESP импланти. Можете да се запознаете и с подробния технически анализ на трите открити уязвимости.

    Препоръка:

    Актуализирайте версията на системния фърмуер до най-новата налична.

    Можете да го направите ръчно, от страницата за поддръжка на устройството, или с помощта на помощни програми за актуализиране на системни драйвери.

  • Някои от сървърите, обслужващи LoJax, все още са онлайн

    Поне два от сървърите, с които комуникира руткитът LoJax, все още са онлайн. Това показват резултатите от проучване на Netscout. Те подсказват, че малуерът все още е активен и би могъл да се използва при бъдещи атаки.

    LoJax получи значително отразяване в медиите през септември 2018 г. Тогава компанията за информационна сигурност ESET публикува доказателства, че руткитът е използван в организирана атака срещу държавни институции в Източна Европа.

    От Netscout отбелязват, че месеци по-късно два от командните сървъри, с които LoJax комуникира, все още са онлайн. Те са били използвани и по време на атаката, за която съобщи ESET през септември.

    „Въпреки цялото медийно внимание към LoJax, неговите собственици Fancy Bear все още не са свалили командните му сървъри. Тези сървъри имат дълъг живот и организациите трябва да предприемат защитни мерки срещу тях“, коментират от Netscout.

    Fancy Bear, позната още като Sednit или APT28, се счита за свързана с руското правителство хакерска група и автор на руткита.

    LoJax е първият известен случай на руткит, използван в организирана хакерска атака. Той атакува UEFI (наследник на BIOS) на съвременните компютри. Досега се предполагаше, че със зловредни кодове, които експлоатират UEFI, разполагат единствено някои държавни агенции за сигурност.

    LoJax се отличава с това, че оцелява след превантивни мерки като преинсталация на операционната система или смяна на твърдия диск. Името на руткита идва от LoJack – софтуер против кражба на лаптопи, заради който производителите на компютри инсталират в продуктите си определени файлове, които комуникират с UEFI. Именно от тези преконфигурирани файлове се възползва LoJax, за да функционира.

  • Lojax: изключително опасен за компании и държавни институции

    Последен ъпдейт на 15 октомври 2018 в 15:34 ч.

    Атаките над UEFI са редки, но за сметка на това имат много сериозни последствия. Това заяви Роман Ковач, директор „Анализи“ в словашката компания за киберсигурност ESET. Миналата седмица фирмата съобщи, че е открила LoJax – първата кибератака от организирана престъпна група, разполагаща със собствен UEFI руткит.

    Атаката е изключително опасна, защото не се поддава на стандартни превантивни мерки. Освен това повечето антивирусни програми не сканират UEFI(спецификация за софтуерен интерфейс между операционната система и хардуера), което означава, че руткитът може да инфектира системата напълно незабелязано.

    Нищо ново под слънцето

    Атаките върху UEFI не са нещо ново. Има инструменти за осъществяването им, с които държавните разследващи институции се снабдяват напълно легално. В интервю за Welivesecurity.com Ковач посочва за пример Hacking Team – италианска компания, която продава шпионски софтуер на правителства от различни страни по света.

    Дейността на Hacking Team стана известна на широката общественост през юли 2015 г. Тогава имейл комуникация на компанията с нейни клиенти изтече в интернет. „Hacking Team рекламираха активно като услуга опцията да достъпват и модифицират фърмуеъра на набелязаната цел. В данните, които изтекоха в WikiLeaks, имаше информация за UEFI руткит. Това доказва, че твърденията на Hacking Team са били истина“, посочва Ковач.

    В ръцете на руски хакери

    Откритият от ESET руткит обаче е първият, за който е известно, че се използва от организарана престъпна група, а не от държавен орган. Предполага се, че той е собственост на Sednit – руска хакерска група, която многократно е попадала в медиите заради извършени от нея атаки.

    „Ако злонамерено лице може да контролира процесите, които се стартират на устройството, той го контролира изцяло. Освен че са изключително опасен вектор на атака, промените във фърмуеъра са трудни за засичане и могат да оцелеят дори след радикални мерки за сигурност като преинсталиране на операционната система или смяна на твърдия диск“, коментира Ковач.

    Какви са рисковете

    „Нека ви напомня една от основните принципи в управлението на риска: той е функция от цената, която плащаш като резултат от едно събитие, и неговата вероятност. Дори и ако тези атаки са редки, те носят със себе си сравнително висок риск, ако последиците от тях са значими. Случаят с UEFI руткитът е точно такъв“, казва Ковач.

    Трябва ли обикновените потребители да се притесняват? Според Ковач – не, защото индивидуалните потребители не са основната цел на такъв тип атаки. Обикновено те са насочени към държавни институции и бизнеси. Това са организациите, които понасят най-голяма тежест от подобни атаки. За индивидуалните потребители рискът (засега) клони към нула.

Back to top button