Jeżeli nie mówi Wam zupełnie nic „rootkit UEFI”, musicie wiedzieć o tym, że po zarażeniu nim nie pomoże Wam wymiana dysku twardego, reinstalacja systemu – standardowe techniki błyskawicznego i totalnego radzenia sobie z zakażeniami. UEFI to oprogramowanie sterujące komputerem – i to właśnie tam rezyduje wykorzystywane przez Fancy Bear narzędzie – nie jest to ogromna nowość, ale przeraża rozmiar działań grupy. Sednit-toolkit zidentyfikowany przez ESET mocno bazuje na LoJax, wcześniej znanym malware.
LoJack jest natomiast blisko związany z Computrace – oprogramowaniem, które pozwala na śledzenie laptopa po kradzieży. I oczywiście wykorzystuje się tutaj UEFI – nic nie da reinstalacja systemu, wymiana dysku twardego na nic się nie zda. Jedyna szansa rozprawienia się z nim to przeflashowanie UEFI, a to przekracza możliwości większości użytkowników. Takie możliwości jednak wzbudzają zainteresowanie także cyberprzestępców, którzy mogą wykorzystać dokładnie taki sam mechanizm. Natomiast dostęp do UEFI jest niezwykle atrakcyjny – z poziomu oprogramowania sterującego można (i udowodniono to) zarażać komputery innym złośliwym oprogramowaniem oraz wciągać maszyny do botnetów.
Nawet jeśli uda nam się pozbyć plików LoJax z systemu operacyjnego – po ponownym uruchomieniu ponownie znajdzie się on na dysku z Windows na pokładzie – ale nie tylko. Potencjalnie, możliwe jest przejęcie w ten sposób maszyn z dystrybucjami Linuksa oraz macOS. Zatem, nikt nie jest w stu procentach bezpieczny – LoJax i bazujące na nim zagrożenia działają właściwie niezależnie od bazowej platformy i dodatkowo są niezwykle odporne na wszelkie totalne metody rozprawiania się z nimi.
Również świadomość takiej infekcji może być bardzo słaba – właściwie większość dostępnych pakietów bezpieczeństwa nie jest w stanie ewaluować UEFI pod kątem obecności złośliwego oprogramowania. Mało tego – wykrycie infekcji jest niezwykle trudne; niemniej wystarczą czasami drobne ślady, by domniemywać, że coś jest bardzo nie tak.
Rodzina szkodliwego oprogramowania o nazwie Zebrocy aktywuje się w momencie otworzenia załącznika z wiadomości e-mail – dokumentu Microsoft Office lub pliku spakowanego do archiwum. Zebrocy składa się z trzech komponentów. Pierwszy z modułów, zaraz po uruchomieniu, odpowiada za zebranie informacji o systemie operacyjnym ofiary. Następnie przesyła je do serwera cyberprzestępców, który opóźnia swoją odpowiedź do kilku godzin, zanim wirus dopuści do kolejnej fazy infekcji. Drugi moduł sprawdza między innymi, czy został uruchomiony w środowisku wirtualnym. Jeśli tak, kończy swoje działanie. Jeśli nie, sprawdza listę uruchomionych programów, wersję systemu operacyjnego, robi zrzuty ekranu oraz pobiera z sieci kolejny złośliwy kod. Ten ostatni komponent jest odpowiedzialny za wykonanie rozkazów cyberprzestępców oraz za przeprowadzenie finalnej infekcji gromadzącej maksymalną ilość informacji o ofiarach ataku.
Kamil Sadkowski, analityk zagrożeń ESET
Takich ataków będzie więcej
Do dotychczas największe odkrycie związane z cyberbezpieczeństwem. Eksperci z ESET uważają, że będzie ich znacznie więcej – UEFI stanowiące standard we współczesnych maszynach miało być najpierw gwarantem bezpieczeństwa, obecnie uznaje się, że jest to bardzo atrakcyjna i jednocześnie niebezpieczna dla użytkownika furtka, za pomocą której można w przerażający sposób prowadzić przestępcze działania.
Więcej z kategorii Bezpieczeństwo:
- Użytkownicy Parler boleśnie przekonują się, że w internecie nic nie ginie
- Rozpoznawanie twarzy (i służby) dały plamę: niewinny mężczyzna spędził 10 dni w areszcie
- Przy użyciu tej techniki będzie można sforsować każdy zamek w drzwiach?
- Lokalizator dla dziecka - jak działa, ile kosztuje? Odpowiadamy!
- Ogromne zmiany na Pornhub: ograniczenia pobierania, dokładna moderacja i narazie treści tylko od partnerów