Tak potężnej metody ataku nie widzieliśmy. Odkryli go eksperci z ESET

Jeżeli nie mówi Wam zupełnie nic „rootkit UEFI”, musicie wiedzieć o tym, że po zarażeniu nim nie pomoże Wam wymiana dysku twardego, reinstalacja systemu – standardowe techniki błyskawicznego i totalnego radzenia sobie z zakażeniami. UEFI to oprogramowanie sterujące komputerem – i to właśnie tam rezyduje wykorzystywane przez Fancy Bear narzędzie – nie jest to ogromna nowość, ale przeraża rozmiar działań grupy. Sednit-toolkit zidentyfikowany przez ESET mocno bazuje na LoJax, wcześniej znanym malware.

LoJack jest natomiast blisko związany z Computrace – oprogramowaniem, które pozwala na śledzenie laptopa po kradzieży. I oczywiście wykorzystuje się tutaj UEFI – nic nie da reinstalacja systemu, wymiana dysku twardego na nic się nie zda. Jedyna szansa rozprawienia się z nim to przeflashowanie UEFI, a to przekracza możliwości większości użytkowników. Takie możliwości jednak wzbudzają zainteresowanie także cyberprzestępców, którzy mogą wykorzystać dokładnie taki sam mechanizm. Natomiast dostęp do UEFI jest niezwykle atrakcyjny – z poziomu oprogramowania sterującego można (i udowodniono to) zarażać komputery innym złośliwym oprogramowaniem oraz wciągać maszyny do botnetów.

Nawet jeśli uda nam się pozbyć plików LoJax z systemu operacyjnego – po ponownym uruchomieniu ponownie znajdzie się on na dysku z Windows na pokładzie – ale nie tylko. Potencjalnie, możliwe jest przejęcie w ten sposób maszyn z dystrybucjami Linuksa oraz macOS. Zatem, nikt nie jest w stu procentach bezpieczny – LoJax i bazujące na nim zagrożenia działają właściwie niezależnie od bazowej platformy i dodatkowo są niezwykle odporne na wszelkie totalne metody rozprawiania się z nimi.

Również świadomość takiej infekcji może być bardzo słaba – właściwie większość dostępnych pakietów bezpieczeństwa nie jest w stanie ewaluować UEFI pod kątem obecności złośliwego oprogramowania. Mało tego – wykrycie infekcji jest niezwykle trudne; niemniej wystarczą czasami drobne ślady, by domniemywać, że coś jest bardzo nie tak.

Rodzina szkodliwego oprogramowania o nazwie Zebrocy aktywuje się w momencie otworzenia załącznika z wiadomości e-mail – dokumentu Microsoft Office lub pliku spakowanego do archiwum. Zebrocy składa się z trzech komponentów. Pierwszy z modułów, zaraz po uruchomieniu, odpowiada za zebranie informacji o systemie operacyjnym ofiary. Następnie przesyła je do serwera cyberprzestępców, który opóźnia swoją odpowiedź do kilku godzin, zanim wirus dopuści do kolejnej fazy infekcji. Drugi moduł sprawdza między innymi, czy został uruchomiony w środowisku wirtualnym. Jeśli tak, kończy swoje działanie. Jeśli nie, sprawdza listę uruchomionych programów, wersję systemu operacyjnego, robi zrzuty ekranu oraz pobiera z sieci kolejny złośliwy kod. Ten ostatni komponent jest odpowiedzialny za wykonanie rozkazów cyberprzestępców oraz za przeprowadzenie finalnej infekcji gromadzącej maksymalną ilość informacji o ofiarach ataku.

Kamil Sadkowski, analityk zagrożeń ESET

Takich ataków będzie więcej

Do dotychczas największe odkrycie związane z cyberbezpieczeństwem. Eksperci z ESET uważają, że będzie ich znacznie więcej – UEFI stanowiące standard we współczesnych maszynach miało być najpierw gwarantem bezpieczeństwa, obecnie uznaje się, że jest to bardzo atrakcyjna i jednocześnie niebezpieczna dla użytkownika furtka, za pomocą której można w przerażający sposób prowadzić przestępcze działania.