Hrozba číhající ve stínu UEFI

16. 10. 2020. (redaktor: František Doupal, zdroj: Kaspersky)
Odborníci ze společnosti Kaspersky odhalili pokročilou trvalou hrozbu (APT), která ke kyberšpionáži používá velmi ojedinělý druh malwaru známý jako firmware bootkit. Ten byl detekován monitorovací technologií UEFI / BIOS od Kaspersky, která je schopná detekovat známé i neznámé hrozby.

Technologie společnosti Kaspersky objevila doposud neznámý malware v rozhraní Unified Extensible Firmware Interface (UEFI), které je součástí všech moderních počítačů. Kvůli tomu je velmi obtížné hrozbu odhalit a zbavit se jí. UEFI bootkit byl pro tento malware vytvořen na míru díky bootkitu Hacking Team, který unikl v roce 2015.

UEFI firmware je součástí počítače, která se spustí ještě před operačním systémem a dalšími nainstalovanými programy. Pokud dojde k jakémukoliv upravení UEFI firmwaru a vložení škodlivého kódu, dojde k jeho spuštění ještě před nastartováním operačního systému, čímž se stane v podstatě neviditelným pro bezpečnostní řešení. Firmware je navíc uložen na flash chipu odděleně od pevného disku, což z takového útoku dělá velmi nenápadnou a trvalou hrozbu. Infekce firmwaru tak v podstatě znamená, že bez ohledu na to, kolikrát byl operační systém přeinstalován, malware rozšířený bootkitem zůstává v zařízení téměř na vždy.

Odborníci z Kaspersky objevili vzorky malwaru v kampaních, které šířily různé komplexní, několikastupňové modulární struktury známé jako MosaicRegressor. Ty byly použity ke špionáži a shromažďování dat, přičemž UEFI malware použili útočníci jako jednu z metod persistence pro nový a doposud neznámý malware.

Objevené části UEFI bootkitu vycházejí do značné míry z bootkitu „Vector-EDK“, který vyvinuli hackeři z Hacking Team. Zdrojový kód unikl na internet v roce 2015, což s největší pravděpodobností umožnilo pachatelům snadno vytvořit vlastní software.

Popisované útoky byly odhaleny pomocí firmwarového skeneru Firmware Scanner, který je součástí produktů Kaspersky od začátku roku 2019. Tato technologie byla vyvinuta s cílem detekovat hrozby skrývající se v ROM BIOS včetně firmwaru UEFI.

I když nebylo možné přesně zjistit, jak došlo k infikaci počítače, která útočníkům umožnila přepsat originální firmware UEFI, odborníci z Kaspersky odvodili jednu možnost, jak by to bylo možné udělat. Jejich předpoklad se zakládá na informacích o VectorEDK, které unikly v dokumentech Hacking Teamu. Údaje naznačují, aniž by byly vyloučeny další možnosti, že k infekci mohlo dojít prostřednictvím fyzického přístupu k počítači oběti, konkrétně pomocí bootovatelného USB klíče, který obsahoval speciální aktualizační nástroj. Patchovaný firmware by pak usnadnil instalaci Trojan downloaderu – malwaru, který umožňuje stažení libovolného škodlivého programu, když je spuštěný operační systém.

Ve většině případů byly ale komponenty MosaicRegressor doručovány obětem mnohem méně sofistikovaným způsobem, jakým je spear-phishing, kdy byl dropper ukryt v archivu společně s decoy souborem. Vícemodulová struktura umožnila útočníkům skrýt svoji širší strukturu před možnou analýzou a umisťovat škodlivé komponenty pouze do cíleně vybraných počítačů. Prvním malwarem staženým do infikovaného zařízení je Trojan-downloader. V závislosti na tom, jaký další škodlivý malware tento program stáhne, dojde ke stažení nebo nahrání libovolných arbitrárních souborů z nebo na arbitrární URL adresy a ke shromažďování informací z napadeného počítače.

Na základě odhalených spojení mezi oběťmi byli odborníci schopni určit, že MosaicRegressor byl použit v sérii cílených útoků zaměřených na diplomaty a členy nevládních organizací z Afriky, Asie a Evropy. Některé z útoků obsahovaly spear-phishingové dokumenty v ruštině, zatímco jiné se týkaly Severní Koreje a sloužily jako návnada ke stažení malwaru.

Kampaň nelze s určitostí přiřadit žádné známé kyberzločinecké skupině.

„Použití uniklého zdrojového kódu třetí strany a jeho přizpůsobení novému pokročilému malwaru opět zdůrazňuje důležitost zabezpečení dat. Jakmile dojde k úniku softwaru – ať už jde o bootkit, malware nebo něco jiného – získávají kyberzločinci velkou výhodu. Díky volně dostupným nástrojům mohou vylepšovat a přizpůsobovat své sady nástrojů s menším úsilím a menší pravděpodobností odhalení,“ poznamenal Igor Kuznětsov, bezpečnostní odborník týmu GReAT společnosti Kaspersky.

Štítky: 
Bezpečnost, Kaspersky

Podobné články

Seznamte se s novinkami Huawei a vyhrajte chytré hodinky

19. 10. 2020. (redaktor: František Doupal, zdroj: Entec Solutions)
Pokud se 29. 10. 2020 připojíte na webinář společnosti Huawei věnovaný řešení iMaster NCE-Campus, dozvíte se nejen o zajímavých novinkách a příležitostech, které z nich vyplývají pro váš byznys, ale zároveň budete moci vyhrát hodinky Huawei GT 2 Pro nebo náramky Huawei Band 4. Čtěte více

Nová verze Acronis Cyber Infrastructure přináší o 50 % vyšší výkon a přidává funkce

19. 10. 2020. (redaktor: František Doupal, zdroj: Acronis)
Acronis představil významnou aktualizaci svého řešení softwarově definované infrastruktury Acronis Cyber Infrastructure 4.0. Nová verze řešení přináší vyšší úroveň dostupnosti, bezpečnosti a jednodušší správu. Čtěte více

Využíváním soukromých zařízení ohrožuje firemní data téměř 40 % zaměstnanců

14. 10. 2020. (redaktor: František Doupal, zdroj: Trend Micro)
Společnost Trend Micro zveřejnila výsledky svého nejnovějšího výzkumu. Nová bezpečnostní zpráva Head in the Clouds popisuje, jak moc slabým článkem jsou v kybernetické ochraně podnikové informační architektury chytrá domácí zařízení a s nimi související aplikace. A to zejména s ohledem na fakt, že se stále více stírá hranice mezi pracovním a soukromým životem. Čtěte více

VMware poskytuje inherentní zabezpečení globální digitální infrastruktury

13. 10. 2020. (redaktor: František Doupal, zdroj: VMware )
Společnost VMware představila inovace, které zajistí inherentní bezpečnost světové digitální infrastruktury. Nová řešení vycházejí vstříc podnikům, které urychlují přechod do cloudu s cílem vybudovat odolnou digitální infrastrukturu připravenou na budoucí potřeby. Čtěte více