A Hacking Team szerverei ellen indított hatékony támadás jóvoltából mintegy 400 GB-nyi adatra tettek szert a támadók, ez az adatmennyiség pedig sokkal több érdekességet rejt, mint azt korábban bárki is gondolhatta volna. A nem éppen etikus és tisztességes szoftvereket gyártó cég portékáit kormányzati szervek és különböző társaságok vették igénybe az elmúlt hónapok, illetve évek során, és úgy tűnik, meglehetősen komoly fegyverarzenálból választhatták ki a számukra legmegfelelőbb szoftvert.
A kiszivárgó adatoknak köszönhetően már egy kritikus Java biztonsági résre, valamint három darab Adobe Flash biztonsági résre is fény derült, ám ahogy azt sejteni lehetett, ez bizony még csak a jéghegy csúcsa. Az adatok további elemzése után most egy rettentően veszélyes szoftverre derült fény: egy UEFI rootkitre. Ez a szoftver az adott alaplap UEFI alapú firmware-ébe ágyazódik, legfőbb feladata pedig az, hogy folyamatosan nyitva tartson egy hátsó ajtót az áldozat számítógépén – még akkor is, ha a célszemély végső elkeseredésében a Windows új adattárolóra történő újratelepítése mellett dönt. A kártékony kód az Insyde BIOS-t célozta, ami a noteszgépek körében nagy népszerűségnek örvend, de a Trend Micro szakemberei szerint AMI BIOS-ra is átültethető.
A Trend Micro szakemberei szerint az UEFI rootkit segítségével folyamatosan jelen lehet az adott rendszeren a Hacking Team Remote Control System-éhez, azaz a csoport távoli irányítórendszeréhez tartozó malware. A rootkit minden egyes Windows indításnál ellenőrzi a malware jelenlétét, majd ha azt állapítja meg, hogy a felhasználó valahogy sikeresen megszabadult a kártékony szoftvertől, gyorsan újratelepíti azt, még a Windows elindulása előtt.
Mivel a fertőzés fő forrása az UEFI firmware, így semmi értelme nincs az adattároló formázásának, lecserélésének és a Windows újratelepítésének se, hisz ezekkel a lépésekkel nem a fertőzés okát szüntetjük meg, csak az aktuális tünetet. A Trend Micro szerint az UEFI-t támadó rootkit telepítéséhez fizikailag is hozzá kell férnie a támadónak az adott rendszerhez, igaz, a szakemberek nem zárják ki a távolról történő telepítés lehetőségét sem. Távoli támadás esetén könnyedén bújhat álca mögé a hacker – akár a Microsofttól érkező biztonsági frissítésként is tálalhatja a kártékony kódot, amivel sokakat félrevezethet.
A Trend Micro szakemberei a hathatós védelem érdekében azt tanácsolják, engedélyezzük az UEFI SecureFlash funkciót, valamint mindig frissítsük az UEFI firmware-t, ha ahhoz biztonsági frissítés érkezik, de ezzel együtt az UEFI firmware jelszavas védelmével is nehezebbé tehető a támadó dolga.
Arról nem szól a fáma, hogy egy egyszerű UEFI firmware frissítéssel megszabadulhatunk-e a kártékony kódtól – alighanem erre az eshetőségre is volt ellenszer a Hacking Team tarsolyában.