Hrozba číhající ve stínu UEFI

16. 10. 2020. (redaktor: František Doupal, zdroj: Kaspersky)
Odborníci ze společnosti Kaspersky odhalili pokročilou trvalou hrozbu (APT), která ke kyberšpionáži používá velmi ojedinělý druh malwaru známý jako firmware bootkit. Ten byl detekován monitorovací technologií UEFI / BIOS od Kaspersky, která je schopná detekovat známé i neznámé hrozby.

Technologie společnosti Kaspersky objevila doposud neznámý malware v rozhraní Unified Extensible Firmware Interface (UEFI), které je součástí všech moderních počítačů. Kvůli tomu je velmi obtížné hrozbu odhalit a zbavit se jí. UEFI bootkit byl pro tento malware vytvořen na míru díky bootkitu Hacking Team, který unikl v roce 2015.

UEFI firmware je součástí počítače, která se spustí ještě před operačním systémem a dalšími nainstalovanými programy. Pokud dojde k jakémukoliv upravení UEFI firmwaru a vložení škodlivého kódu, dojde k jeho spuštění ještě před nastartováním operačního systému, čímž se stane v podstatě neviditelným pro bezpečnostní řešení. Firmware je navíc uložen na flash chipu odděleně od pevného disku, což z takového útoku dělá velmi nenápadnou a trvalou hrozbu. Infekce firmwaru tak v podstatě znamená, že bez ohledu na to, kolikrát byl operační systém přeinstalován, malware rozšířený bootkitem zůstává v zařízení téměř na vždy.

Odborníci z Kaspersky objevili vzorky malwaru v kampaních, které šířily různé komplexní, několikastupňové modulární struktury známé jako MosaicRegressor. Ty byly použity ke špionáži a shromažďování dat, přičemž UEFI malware použili útočníci jako jednu z metod persistence pro nový a doposud neznámý malware.

Objevené části UEFI bootkitu vycházejí do značné míry z bootkitu „Vector-EDK“, který vyvinuli hackeři z Hacking Team. Zdrojový kód unikl na internet v roce 2015, což s největší pravděpodobností umožnilo pachatelům snadno vytvořit vlastní software.

Popisované útoky byly odhaleny pomocí firmwarového skeneru Firmware Scanner, který je součástí produktů Kaspersky od začátku roku 2019. Tato technologie byla vyvinuta s cílem detekovat hrozby skrývající se v ROM BIOS včetně firmwaru UEFI.

I když nebylo možné přesně zjistit, jak došlo k infikaci počítače, která útočníkům umožnila přepsat originální firmware UEFI, odborníci z Kaspersky odvodili jednu možnost, jak by to bylo možné udělat. Jejich předpoklad se zakládá na informacích o VectorEDK, které unikly v dokumentech Hacking Teamu. Údaje naznačují, aniž by byly vyloučeny další možnosti, že k infekci mohlo dojít prostřednictvím fyzického přístupu k počítači oběti, konkrétně pomocí bootovatelného USB klíče, který obsahoval speciální aktualizační nástroj. Patchovaný firmware by pak usnadnil instalaci Trojan downloaderu – malwaru, který umožňuje stažení libovolného škodlivého programu, když je spuštěný operační systém.

Ve většině případů byly ale komponenty MosaicRegressor doručovány obětem mnohem méně sofistikovaným způsobem, jakým je spear-phishing, kdy byl dropper ukryt v archivu společně s decoy souborem. Vícemodulová struktura umožnila útočníkům skrýt svoji širší strukturu před možnou analýzou a umisťovat škodlivé komponenty pouze do cíleně vybraných počítačů. Prvním malwarem staženým do infikovaného zařízení je Trojan-downloader. V závislosti na tom, jaký další škodlivý malware tento program stáhne, dojde ke stažení nebo nahrání libovolných arbitrárních souborů z nebo na arbitrární URL adresy a ke shromažďování informací z napadeného počítače.

Na základě odhalených spojení mezi oběťmi byli odborníci schopni určit, že MosaicRegressor byl použit v sérii cílených útoků zaměřených na diplomaty a členy nevládních organizací z Afriky, Asie a Evropy. Některé z útoků obsahovaly spear-phishingové dokumenty v ruštině, zatímco jiné se týkaly Severní Koreje a sloužily jako návnada ke stažení malwaru.

Kampaň nelze s určitostí přiřadit žádné známé kyberzločinecké skupině.

„Použití uniklého zdrojového kódu třetí strany a jeho přizpůsobení novému pokročilému malwaru opět zdůrazňuje důležitost zabezpečení dat. Jakmile dojde k úniku softwaru – ať už jde o bootkit, malware nebo něco jiného – získávají kyberzločinci velkou výhodu. Díky volně dostupným nástrojům mohou vylepšovat a přizpůsobovat své sady nástrojů s menším úsilím a menší pravděpodobností odhalení,“ poznamenal Igor Kuznětsov, bezpečnostní odborník týmu GReAT společnosti Kaspersky.

Štítky: 
Bezpečnost, Kaspersky

Podobné články

Kybernetická kriminalita a hrozby pro malé a středně velké podniky

19. 3. 2024. (redaktor: František Doupal, zdroj: Sophos)
Studie Sophos Threat Report pro rok 2024 popisuje „Kyberkriminalitu na hlavní obchodní třídě“ a největší hrozby, kterým malé a středně velké podniky čelí. Podle studie v roce 2023 téměř 50 % detekcí malwaru v malých a středně velkých podnicích představovaly keyloggery, spyware a stealery (tedy malware, který útočníci používají ke krádeži dat a přihlašovacích údajů). Čtěte více

Více než polovina českých firem do kyberbezpečnosti investuje méně než 100 tisíc korun ročně

19. 3. 2024. (redaktor: František Doupal, zdroj: AppSec)
Kybernetická bezpečnost českých společností je silně podfinancovaná. Podle průzkumu agentury Ipsos pro společnost APPSEC více než polovina oslovených společností (54 %) investuje do zabezpečení firemních sítí a koncových bodů částku do 100 tisíc korun ročně. Více než čtvrtina (28 %) pak uvádí roční rozpočet na kyberbezpečnost v rozmezí od 100 do 500 tisíc korun. Čtěte více

Podceňování hrozeb a neopatrní uživatelé zvyšují úspěšnost útoků

18. 3. 2024. (redaktor: František Doupal, zdroj: GFI Software)
Úspěch kybernetického útoku dramaticky roste s podceňováním hrozeb ze strany managementu a neopatrností uživatelů v organizaci. Podle více než 80 % IT profesionálů dotazovaných společností GFI Software je největším nešvarem uživatelů klikání na odkazy v podezřelých e-mailech a neopatrná manipulace s přihlašovacími údaji. Čtěte více

Cisco: Bezpečnost, sítě, monitoring i schůzky pod taktovkou AI

11. 3. 2024. (redaktor: Reseller Magazine OnLine, zdroj: Cisco systems)
Spotřebitelé jsou denně ve spojení s umělou inteligencí nejen v podobě jazykových konverzačních modelů, ale desetitisíců aplikací v mobilech či noteboocích. Podle Cisca, jedné z největších technologických společností světa, je ale současně s tím třeba fenoménu AI přizpůsobit kompletní firemní IT infrastrukturu. I proto je AI společným jmenovatelem inovací, které Cisco odhalilo na technologické konferenci Cisco Live. Čtěte více