UEFI rootkit is volt a Hacking Team repertoárjában

A veszélyes szoftver az UEFI firmware-be ágyazódik, így adattároló formázással és Windows újratelepítéssel nem lehet tőle megszabadulni.

UEFI rootkit is volt a Hacking Team repertoárjában

A Hacking Team szerverei ellen indított hatékony támadás jóvoltából mintegy 400 GB-nyi adatra tettek szert a támadók, ez az adatmennyiség pedig sokkal több érdekességet rejt, mint azt korábban bárki is gondolhatta volna. A nem éppen etikus és tisztességes szoftvereket gyártó cég portékáit kormányzati szervek és különböző társaságok vették igénybe az elmúlt hónapok, illetve évek során, és úgy tűnik, meglehetősen komoly fegyverarzenálból választhatták ki a számukra legmegfelelőbb szoftvert.

A kiszivárgó adatoknak köszönhetően már egy kritikus Java biztonsági résre, valamint három darab Adobe Flash biztonsági résre is fény derült, ám ahogy azt sejteni lehetett, ez bizony még csak a jéghegy csúcsa. Az adatok további elemzése után most egy rettentően veszélyes szoftverre derült fény: egy UEFI rootkitre. Ez a szoftver az adott alaplap UEFI alapú firmware-ébe ágyazódik, legfőbb feladata pedig az, hogy folyamatosan nyitva tartson egy hátsó ajtót az áldozat számítógépén – még akkor is, ha a célszemély végső elkeseredésében a Windows új adattárolóra történő újratelepítése mellett dönt. A kártékony kód az Insyde BIOS-t célozta, ami a noteszgépek körében nagy népszerűségnek örvend, de a Trend Micro szakemberei szerint AMI BIOS-ra is átültethető.

A Trend Micro szakemberei szerint az UEFI rootkit segítségével folyamatosan jelen lehet az adott rendszeren a Hacking Team Remote Control System-éhez, azaz a csoport távoli irányítórendszeréhez tartozó malware. A rootkit minden egyes Windows indításnál ellenőrzi a malware jelenlétét, majd ha azt állapítja meg, hogy a felhasználó valahogy sikeresen megszabadult a kártékony szoftvertől, gyorsan újratelepíti azt, még a Windows elindulása előtt.

A kliens fájljai

Mivel a fertőzés fő forrása az UEFI firmware, így semmi értelme nincs az adattároló formázásának, lecserélésének és a Windows újratelepítésének se, hisz ezekkel a lépésekkel nem a fertőzés okát szüntetjük meg, csak az aktuális tünetet. A Trend Micro szerint az UEFI-t támadó rootkit telepítéséhez fizikailag is hozzá kell férnie a támadónak az adott rendszerhez, igaz, a szakemberek nem zárják ki a távolról történő telepítés lehetőségét sem. Távoli támadás esetén könnyedén bújhat álca mögé a hacker – akár a Microsofttól érkező biztonsági frissítésként is tálalhatja a kártékony kódot, amivel sokakat félrevezethet.

A Trend Micro szakemberei a hathatós védelem érdekében azt tanácsolják, engedélyezzük az UEFI SecureFlash funkciót, valamint mindig frissítsük az UEFI firmware-t, ha ahhoz biztonsági frissítés érkezik, de ezzel együtt az UEFI firmware jelszavas védelmével is nehezebbé tehető a támadó dolga.

Arról nem szól a fáma, hogy egy egyszerű UEFI firmware frissítéssel megszabadulhatunk-e a kártékony kódtól – alighanem erre az eshetőségre is volt ellenszer a Hacking Team tarsolyában.

Tesztek

{{ i }}
arrow_backward arrow_forward
{{ content.commentCount }}

{{ content.title }}

{{ content.lead }}
{{ content.rate }} %
{{ content.title }}
{{ totalTranslation }}
{{ orderNumber }}
{{ showMoreLabelTranslation }}
A komment írásához előbb jelentkezz be!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Segíts másoknak, mond el mit gondolsz a cikkről.
{{ showMoreCountLabel }}

Kapcsolódó cikkek

Magazin címlap arrow_forward