UEFI

Ново поколение UEFI злонамерен софтуер е използван от свързан с Китай хакер при атаки, насочени към организации с интереси в Северна Корея, съобщава Kaspersky.

До разследване се е стигнало, след като анализаторите са попаднали на няколко подозрителни имиджа на UEFI фърмуера. По-задълбоченото проучване е установило четири компрометирани компонента, базирани на код на Hacking Team (италианска компания, която продава шпионски софтуер на правителства от цял свят).

Атаките с UEFI злонамерен софтуер са особено опасни, защото дават възможност на атакуващия да поеме пълен контрол върху засегнатото устройство. Промените във фърмуеъра са трудни за откриване и още по-трудни за премахване, дори и след преинсталиране на операционната система или смяна на твърдия диск.

До 2018 г. подобни атаки представляваха само хипотетична опасност. Към днешна дата, няколко атаки с UEFI злонамерен софтуер са вече факт.

Повече за това как да се защитите от UEFI руткитове може да прочетете тук.

Поне два от сървърите, с които комуникира руткитът LoJax, все още са онлайн. Това показват резултатите от проучване на Netscout. Те подсказват, че малуерът все още е активен и би могъл да се използва при бъдещи атаки.

LoJax получи значително отразяване в медиите през септември 2018 г. Тогава компанията за информационна сигурност ESET публикува доказателства, че руткитът е използван в организирана атака срещу държавни институции в Източна Европа.

От Netscout отбелязват, че месеци по-късно два от командните сървъри, с които LoJax комуникира, все още са онлайн. Те са били използвани и по време на атаката, за която съобщи ESET през септември.

„Въпреки цялото медийно внимание към LoJax, неговите собственици Fancy Bear все още не са свалили командните му сървъри. Тези сървъри имат дълъг живот и организациите трябва да предприемат защитни мерки срещу тях“, коментират от Netscout.

Fancy Bear, позната още като Sednit или APT28, се счита за свързана с руското правителство хакерска група и автор на руткита.

LoJax е първият известен случай на руткит, използван в организирана хакерска атака. Той атакува UEFI (наследник на BIOS) на съвременните компютри. Досега се предполагаше, че със зловредни кодове, които експлоатират UEFI, разполагат единствено някои държавни агенции за сигурност.

LoJax се отличава с това, че оцелява след превантивни мерки като преинсталация на операционната система или смяна на твърдия диск. Името на руткита идва от LoJack – софтуер против кражба на лаптопи, заради който производителите на компютри инсталират в продуктите си определени файлове, които комуникират с UEFI. Именно от тези преконфигурирани файлове се възползва LoJax, за да функционира.

Последен ъпдейт на 15 октомври 2018 в 03:34 ч.

Атаките над UEFI са редки, но за сметка на това имат много сериозни последствия. Това заяви Роман Ковач, директор „Анализи“ в словашката компания за киберсигурност ESET. Миналата седмица фирмата съобщи, че е открила LoJax – първата кибератака от организирана престъпна група, разполагаща със собствен UEFI руткит.

Атаката е изключително опасна, защото не се поддава на стандартни превантивни мерки. Освен това повечето антивирусни програми не сканират UEFI(спецификация за софтуерен интерфейс между операционната система и хардуера), което означава, че руткитът може да инфектира системата напълно незабелязано.

Нищо ново под слънцето

Атаките върху UEFI не са нещо ново. Има инструменти за осъществяването им, с които държавните разследващи институции се снабдяват напълно легално. В интервю за Welivesecurity.com Ковач посочва за пример Hacking Team – италианска компания, която продава шпионски софтуер на правителства от различни страни по света.

Дейността на Hacking Team стана известна на широката общественост през юли 2015 г. Тогава имейл комуникация на компанията с нейни клиенти изтече в интернет. „Hacking Team рекламираха активно като услуга опцията да достъпват и модифицират фърмуеъра на набелязаната цел. В данните, които изтекоха в WikiLeaks, имаше информация за UEFI руткит. Това доказва, че твърденията на Hacking Team са били истина“, посочва Ковач.

В ръцете на руски хакери

Откритият от ESET руткит обаче е първият, за който е известно, че се използва от организарана престъпна група, а не от държавен орган. Предполага се, че той е собственост на Sednit – руска хакерска група, която многократно е попадала в медиите заради извършени от нея атаки.

„Ако злонамерено лице може да контролира процесите, които се стартират на устройството, той го контролира изцяло. Освен че са изключително опасен вектор на атака, промените във фърмуеъра са трудни за засичане и могат да оцелеят дори след радикални мерки за сигурност като преинсталиране на операционната система или смяна на твърдия диск“, коментира Ковач.

Какви са рисковете

„Нека ви напомня една от основните принципи в управлението на риска: той е функция от цената, която плащаш като резултат от едно събитие, и неговата вероятност. Дори и ако тези атаки са редки, те носят със себе си сравнително висок риск, ако последиците от тях са значими. Случаят с UEFI руткитът е точно такъв“, казва Ковач.

Трябва ли обикновените потребители да се притесняват? Според Ковач – не, защото индивидуалните потребители не са основната цел на такъв тип атаки. Обикновено те са насочени към държавни институции и бизнеси. Това са организациите, които понасят най-голяма тежест от подобни атаки. За индивидуалните потребители рискът (засега) клони към нула.