Hrozba číhající ve stínu UEFI

16. 10. 2020. (redaktor: František Doupal, zdroj: Kaspersky)
Odborníci ze společnosti Kaspersky odhalili pokročilou trvalou hrozbu (APT), která ke kyberšpionáži používá velmi ojedinělý druh malwaru známý jako firmware bootkit. Ten byl detekován monitorovací technologií UEFI / BIOS od Kaspersky, která je schopná detekovat známé i neznámé hrozby.

Technologie společnosti Kaspersky objevila doposud neznámý malware v rozhraní Unified Extensible Firmware Interface (UEFI), které je součástí všech moderních počítačů. Kvůli tomu je velmi obtížné hrozbu odhalit a zbavit se jí. UEFI bootkit byl pro tento malware vytvořen na míru díky bootkitu Hacking Team, který unikl v roce 2015.

UEFI firmware je součástí počítače, která se spustí ještě před operačním systémem a dalšími nainstalovanými programy. Pokud dojde k jakémukoliv upravení UEFI firmwaru a vložení škodlivého kódu, dojde k jeho spuštění ještě před nastartováním operačního systému, čímž se stane v podstatě neviditelným pro bezpečnostní řešení. Firmware je navíc uložen na flash chipu odděleně od pevného disku, což z takového útoku dělá velmi nenápadnou a trvalou hrozbu. Infekce firmwaru tak v podstatě znamená, že bez ohledu na to, kolikrát byl operační systém přeinstalován, malware rozšířený bootkitem zůstává v zařízení téměř na vždy.

Odborníci z Kaspersky objevili vzorky malwaru v kampaních, které šířily různé komplexní, několikastupňové modulární struktury známé jako MosaicRegressor. Ty byly použity ke špionáži a shromažďování dat, přičemž UEFI malware použili útočníci jako jednu z metod persistence pro nový a doposud neznámý malware.

Objevené části UEFI bootkitu vycházejí do značné míry z bootkitu „Vector-EDK“, který vyvinuli hackeři z Hacking Team. Zdrojový kód unikl na internet v roce 2015, což s největší pravděpodobností umožnilo pachatelům snadno vytvořit vlastní software.

Popisované útoky byly odhaleny pomocí firmwarového skeneru Firmware Scanner, který je součástí produktů Kaspersky od začátku roku 2019. Tato technologie byla vyvinuta s cílem detekovat hrozby skrývající se v ROM BIOS včetně firmwaru UEFI.

I když nebylo možné přesně zjistit, jak došlo k infikaci počítače, která útočníkům umožnila přepsat originální firmware UEFI, odborníci z Kaspersky odvodili jednu možnost, jak by to bylo možné udělat. Jejich předpoklad se zakládá na informacích o VectorEDK, které unikly v dokumentech Hacking Teamu. Údaje naznačují, aniž by byly vyloučeny další možnosti, že k infekci mohlo dojít prostřednictvím fyzického přístupu k počítači oběti, konkrétně pomocí bootovatelného USB klíče, který obsahoval speciální aktualizační nástroj. Patchovaný firmware by pak usnadnil instalaci Trojan downloaderu – malwaru, který umožňuje stažení libovolného škodlivého programu, když je spuštěný operační systém.

Ve většině případů byly ale komponenty MosaicRegressor doručovány obětem mnohem méně sofistikovaným způsobem, jakým je spear-phishing, kdy byl dropper ukryt v archivu společně s decoy souborem. Vícemodulová struktura umožnila útočníkům skrýt svoji širší strukturu před možnou analýzou a umisťovat škodlivé komponenty pouze do cíleně vybraných počítačů. Prvním malwarem staženým do infikovaného zařízení je Trojan-downloader. V závislosti na tom, jaký další škodlivý malware tento program stáhne, dojde ke stažení nebo nahrání libovolných arbitrárních souborů z nebo na arbitrární URL adresy a ke shromažďování informací z napadeného počítače.

Na základě odhalených spojení mezi oběťmi byli odborníci schopni určit, že MosaicRegressor byl použit v sérii cílených útoků zaměřených na diplomaty a členy nevládních organizací z Afriky, Asie a Evropy. Některé z útoků obsahovaly spear-phishingové dokumenty v ruštině, zatímco jiné se týkaly Severní Koreje a sloužily jako návnada ke stažení malwaru.

Kampaň nelze s určitostí přiřadit žádné známé kyberzločinecké skupině.

„Použití uniklého zdrojového kódu třetí strany a jeho přizpůsobení novému pokročilému malwaru opět zdůrazňuje důležitost zabezpečení dat. Jakmile dojde k úniku softwaru – ať už jde o bootkit, malware nebo něco jiného – získávají kyberzločinci velkou výhodu. Díky volně dostupným nástrojům mohou vylepšovat a přizpůsobovat své sady nástrojů s menším úsilím a menší pravděpodobností odhalení,“ poznamenal Igor Kuznětsov, bezpečnostní odborník týmu GReAT společnosti Kaspersky.

Štítky: 
Bezpečnost, Kaspersky

Podobné články

SonicWall: firewall NSa 2700

17. 1. 2021. (redaktor: František Doupal, zdroj: Entec Solutions)
Společnost SonicWall rozšířila nabídku řešení Capture Cloud Platform o účinný next generation firewall NSa 2700. Dále představila také tři nové cenově efektivní firewally ve své řadě TZ. Čtěte více

Slepá studie odkrývá, na čem skutečně záleží u IT bezpečnosti

15. 1. 2021. (redaktor: František Doupal, zdroj: Cisco)
Dvojitě zaslepená nezávislá studie, které se zúčastnilo 4 800 odborníků na kybernetickou bezpečnost, IT a ochranu soukromí z 25 zemí, odhaluje, jaké konkrétní přístupy a postupy nejlépe vedou k posílení bezpečnosti. Výsledky studie představují soubor doporučení, jak úspěšně řídit rizika a zároveň podporovat obchodní činnost a efektivní provoz podniku. Čtěte více

Radovan Hošek (Turris): Díky aktualizacím mají naši uživatelé nový router každý měsíc

13. 1. 2021. (redaktor: Jan Hanáček, zdroj: DCD Publishing)
Portfolio produktů společnosti Turris zahrnuje několik zajímavých a novátorských bezpečnostních řešení. Jak nás ale upozornil Radovan Hošek, manažer prodeje společnosti, mnohem zajímavější jsou služby na tato řešení vázaná a možnosti rozšíření, které přinášejí zákazníkům. Čtěte více

Počet kyberútoků na zdravotnická zařízení ve střední Evropě dramaticky roste

12. 1. 2021. (redaktor: František Doupal, zdroj: Check Point)
Výzkumný tým Check Point Research varuje před vlnou kyberútoků na zdravotnická zařízení. Za poslední dva měsíce došlo celosvětově k nárůstu těchto útoků o 45 %, zdravotnictví je nyní nejvíce napadaným odvětvím. Čtěte více