Hrozba číhající ve stínu UEFI

16. 10. 2020. (redaktor: František Doupal, zdroj: Kaspersky)
Odborníci ze společnosti Kaspersky odhalili pokročilou trvalou hrozbu (APT), která ke kyberšpionáži používá velmi ojedinělý druh malwaru známý jako firmware bootkit. Ten byl detekován monitorovací technologií UEFI / BIOS od Kaspersky, která je schopná detekovat známé i neznámé hrozby.

Technologie společnosti Kaspersky objevila doposud neznámý malware v rozhraní Unified Extensible Firmware Interface (UEFI), které je součástí všech moderních počítačů. Kvůli tomu je velmi obtížné hrozbu odhalit a zbavit se jí. UEFI bootkit byl pro tento malware vytvořen na míru díky bootkitu Hacking Team, který unikl v roce 2015.

UEFI firmware je součástí počítače, která se spustí ještě před operačním systémem a dalšími nainstalovanými programy. Pokud dojde k jakémukoliv upravení UEFI firmwaru a vložení škodlivého kódu, dojde k jeho spuštění ještě před nastartováním operačního systému, čímž se stane v podstatě neviditelným pro bezpečnostní řešení. Firmware je navíc uložen na flash chipu odděleně od pevného disku, což z takového útoku dělá velmi nenápadnou a trvalou hrozbu. Infekce firmwaru tak v podstatě znamená, že bez ohledu na to, kolikrát byl operační systém přeinstalován, malware rozšířený bootkitem zůstává v zařízení téměř na vždy.

Odborníci z Kaspersky objevili vzorky malwaru v kampaních, které šířily různé komplexní, několikastupňové modulární struktury známé jako MosaicRegressor. Ty byly použity ke špionáži a shromažďování dat, přičemž UEFI malware použili útočníci jako jednu z metod persistence pro nový a doposud neznámý malware.

Objevené části UEFI bootkitu vycházejí do značné míry z bootkitu „Vector-EDK“, který vyvinuli hackeři z Hacking Team. Zdrojový kód unikl na internet v roce 2015, což s největší pravděpodobností umožnilo pachatelům snadno vytvořit vlastní software.

Popisované útoky byly odhaleny pomocí firmwarového skeneru Firmware Scanner, který je součástí produktů Kaspersky od začátku roku 2019. Tato technologie byla vyvinuta s cílem detekovat hrozby skrývající se v ROM BIOS včetně firmwaru UEFI.

I když nebylo možné přesně zjistit, jak došlo k infikaci počítače, která útočníkům umožnila přepsat originální firmware UEFI, odborníci z Kaspersky odvodili jednu možnost, jak by to bylo možné udělat. Jejich předpoklad se zakládá na informacích o VectorEDK, které unikly v dokumentech Hacking Teamu. Údaje naznačují, aniž by byly vyloučeny další možnosti, že k infekci mohlo dojít prostřednictvím fyzického přístupu k počítači oběti, konkrétně pomocí bootovatelného USB klíče, který obsahoval speciální aktualizační nástroj. Patchovaný firmware by pak usnadnil instalaci Trojan downloaderu – malwaru, který umožňuje stažení libovolného škodlivého programu, když je spuštěný operační systém.

Ve většině případů byly ale komponenty MosaicRegressor doručovány obětem mnohem méně sofistikovaným způsobem, jakým je spear-phishing, kdy byl dropper ukryt v archivu společně s decoy souborem. Vícemodulová struktura umožnila útočníkům skrýt svoji širší strukturu před možnou analýzou a umisťovat škodlivé komponenty pouze do cíleně vybraných počítačů. Prvním malwarem staženým do infikovaného zařízení je Trojan-downloader. V závislosti na tom, jaký další škodlivý malware tento program stáhne, dojde ke stažení nebo nahrání libovolných arbitrárních souborů z nebo na arbitrární URL adresy a ke shromažďování informací z napadeného počítače.

Na základě odhalených spojení mezi oběťmi byli odborníci schopni určit, že MosaicRegressor byl použit v sérii cílených útoků zaměřených na diplomaty a členy nevládních organizací z Afriky, Asie a Evropy. Některé z útoků obsahovaly spear-phishingové dokumenty v ruštině, zatímco jiné se týkaly Severní Koreje a sloužily jako návnada ke stažení malwaru.

Kampaň nelze s určitostí přiřadit žádné známé kyberzločinecké skupině.

„Použití uniklého zdrojového kódu třetí strany a jeho přizpůsobení novému pokročilému malwaru opět zdůrazňuje důležitost zabezpečení dat. Jakmile dojde k úniku softwaru – ať už jde o bootkit, malware nebo něco jiného – získávají kyberzločinci velkou výhodu. Díky volně dostupným nástrojům mohou vylepšovat a přizpůsobovat své sady nástrojů s menším úsilím a menší pravděpodobností odhalení,“ poznamenal Igor Kuznětsov, bezpečnostní odborník týmu GReAT společnosti Kaspersky.

Štítky: 
Bezpečnost, Kaspersky

Podobné články

SMB firmy nejvíce podceňují slabá hesla a školení uživatelů

22. 6. 2021. (redaktor: František Doupal, zdroj: Zebra systems)
Společnost Zebra systems na základě svého průzkumu mezi MSP partnery uvedla, že podniky nejvíce podceňují oblast správy hesel a školení uživatelů na kybernetickou bezpečnost. Zároveň MSP poskytovatelé registrují zájem hlavně o služby zálohování a ochrany e-mailů. Čtěte více

Skoro dvě třetiny zaměstnanců se aktivně brání aktualizacím softwaru

16. 6. 2021. (redaktor: František Doupal, zdroj: Kaspersky)
Téměř čtvrtina zaměstnanců připustila, že měla nedávno rozepře s IT oddělením firmy ohledně důležitosti nebo četnosti aktualizací softwaru a OS na svém PC. Většina zaměstnanců si navíc podle Kaspersky nakonec prosadila svou a mohla instalaci aktualizací softwaru nebo OS oddálit nebo zcela vynechat. Čtěte více

COVID donutil české „ajťáky“ zapracovat na dovednostech z oblasti IT bezpečnosti

14. 6. 2021. (redaktor: František Doupal, zdroj: Sophos)
Naprostá většina IT týmů, které v průběhu roku 2020 čelily nárůstu kybernetických útoků (82 % celosvětově, 71 % v České republice) a většímu náporu na zabezpečení (84 % celosvětově, 72 % v České republice), podle průzkumu společnosti Sophos posílila své bezpečnostní dovednosti a znalosti. Čtěte více

Hesla jsou terčem poloviny kybernetických útoků u nás

11. 6. 2021. (redaktor: František Doupal, zdroj: Eset)
Nejčastěji se čeští uživatelé setkávají s kybernetickými útoky na hesla uložená v prohlížečích. Ta představují na černém trhu cennou komoditu. Škodlivý kód, prostřednictvím kterého na ně útočníci cílí, se šíří v přílohách e-mailů, které vydávají nejčastěji za faktury. Čtěte více