Οι Κινέζοι χάκερ ενδέχεται να χρησιμοποιούν κακόβουλο λογισμικό που μπορεί να επιβιώσει από την επανεγκατάσταση των Windows OS για να κατασκοπεύει τους υπολογιστές.
Η εταιρεία ασφαλείας Kaspersky Lab αποκάλυψε το κακόβουλο λογισμικό, το οποίο εκμεταλλεύεται το UEFI ενός υπολογιστή (Unified Extensible Firmware Interface) για να συνεχίζει να παραμένει συνεχώς σε ένα σύστημα Windows.
Η επίθεση του UEFI είναι αρκετά ανησυχητική, επειδή το λογισμικό χρησιμοποιείται για την εκκίνηση του υπολογιστή σας και τη φόρτωση του λειτουργικού συστήματος. Λειτουργεί επίσης ξεχωριστά από τον κύριο σκληρό δίσκο του υπολογιστή σας και συνήθως βρίσκεται στη μνήμη flash SPI της μητρικής πλακέτας ως υλικολογισμικό. Ως αποτέλεσμα, οποιαδήποτε κακόβουλη διαδικασία ενσωματωμένη στο UEFI μπορεί να επιβιώσει από την επανεγκατάσταση ενός λειτουργικού συστήματος, αποφεύγοντας τις παραδοσιακές λύσεις προστασίας από ιούς.
«Αυτή η επίθεση καταδεικνύει ότι, αν και σπάνια, σε εξαιρετικές περιπτώσεις, οι επιτιθέμενοι είναι πρόθυμοι να καταβάλουν μεγάλες προσπάθειες για να επιτύχουν το υψηλότερο επίπεδο επιμονής στο μηχάνημα του θύματος», δήλωσε ο ερευνητής της Kaspersky Lab, Mark Lechtik.
[1/n] I’m happy to share a significant research done by @2igosha and myself. What we found was a UEFI rootkit in the wild, customized from Hacking Team’s leaked Vector-EDK code. That would be the second time we see something like this publiclyhttps://t.co/d4Sj29q3Yp
— Mark Lechtik (@_marklech_) October 5, 2020
Η εταιρεία ανακάλυψε το κακόβουλο λογισμικό που βασίζεται σε UEFI σε μηχανήματα που ανήκουν σε δύο θύματα. Λειτουργεί για να δημιουργήσει ένα Trojan αρχείο που ονομάζεται “IntelUpdate.exe” στο φάκελο εκκίνησης, το οποίο θα επανεγκατασταθεί ακόμη και αν το εντοπίσει ο χρήστης και το διαγράψει.
“Δεδομένου ότι αυτή η λογική εκτελείται από το SPI flash, δεν υπάρχει τρόπος να αποφευχθεί αυτή η διαδικασία εκτός από την εξάλειψη του κακόβουλου υλικολογισμικού”, δήλωσε η Kaspersky Lab.
Ο στόχος του κακόβουλου λογισμικού είναι να παραδώσει άλλα εργαλεία πειρατείας στον υπολογιστή του θύματος, συμπεριλαμβανομένου της κλοπής εγγράφων, το οποίο θα πάρει αρχεία από τον κατάλογο “Πρόσφατα έγγραφα” πριν τα ανεβάσει στον διακομιστή εντολών και ελέγχου του χάκερ.
Η Kaspersky Lab απέφυγε να ονομάσει τα θύματα, αλλά είπε ότι οι ένοχοι κυνηγούσαν υπολογιστές που ανήκουν σε «διπλωματικές οντότητες και ΜΚΟ στην Αφρική, την Ασία και την Ευρώπη». Όλα τα θύματα έχουν κάποια σχέση με τη Βόρεια Κορέα, είτε μέσω μη κερδοσκοπικών δραστηριοτήτων είτε με πραγματική παρουσία στη χώρα.
Εξετάζοντας τον κώδικα του κακόβουλου λογισμικού, η Kaspersky Lab παρατήρησε επίσης ότι οι διαδικασίες μπορούν να φτάσουν σε έναν διακομιστή εντολών και ελέγχου που είχε προηγουμένως συνδεθεί με μια ύποπτη κινεζική κρατική ομάδα hacking γνωστή ως Winnti. Επιπλέον, η εταιρεία ασφαλείας βρήκε αποδεικτικά στοιχεία ότι οι δημιουργοί πίσω από το κακόβουλο λογισμικό χρησιμοποίησαν την κινεζική γλώσσα κατά τον προγραμματισμό του κώδικα.
Ακόμα, η Kaspersky Lab αποφεύγει να κατονομάσει μια συγκεκριμένη ομάδα για τις επιθέσεις. «Δεδομένου ότι αυτός είναι ο μόνος σύνδεσμος μεταξύ των ευρημάτων μας και οποιασδήποτε από τις ομάδες που χρησιμοποιούν το Winnti backdoor, εκτιμούμε ότι είναι πράγματι υπεύθυνη για τις επιθέσεις», πρόσθεσε η Kaspersky Lab.
Παραμένει ασαφές πώς παραδόθηκε το κακόβουλο λογισμικό που βασίζεται σε UEFI και ποια μοντέλα υπολογιστών είναι ευάλωτα στην επίθεση. Η Kaspersky Labs σημειώνει ότι ο χειρισμός του UEFI είναι δύσκολος, διότι απαιτεί γνώση του υλικολογισμικού του μηχανήματος και τρόπους εκμετάλλευσης του chip SPI flash.
Ωστόσο, η εταιρεία ασφαλείας παρατήρησε ότι το κακόβουλο λογισμικό που βασίζεται στο UEFI δημιουργήθηκε με τη βοήθεια διαρροών εγγράφων από μια ιταλική εταιρεία παρακολούθησης που ονομάζεται Hacking Team. Το 2015, είχαν κλαπεί αρχεία της και δημοσιεύθηκαν στο διαδίκτυο, κάτι που έδειξε ότι η Hacking Team επίσης εργάζεται πάνω σε μια επίθεση UEFI, ικανή να μολύνει Asus X550C και Dell Latitude E6320 μοντέλα μέσα από μια μονάδα USB.
«Φυσικά, δεν μπορούμε να αποκλείσουμε άλλες δυνατότητες με τις οποίες το κακόβουλο υλικολογισμικό προωθήθηκε από απόσταση, ίσως μέσω ενός συμβιβασμένου μηχανισμού ενημέρωσης», πρόσθεσε η Kaspersky Lab. «Ένα τέτοιο σενάριο θα απαιτούσε τυπικά την εκμετάλλευση τρωτών σημείων στη διαδικασία ελέγχου ταυτότητας του BIOS. Ενώ αυτό θα μπορούσε να ισχύει, δεν έχουμε στοιχεία που να το υποστηρίζουν.»
Για να αφαιρέσει το κακόβουλο λογισμικό, η Kaspersky Lab είπε ότι ένα θύμα θα πρέπει να ενημερώσει το υλικολογισμικό της μητρικής πλακέτας σε μια νόμιμη έκδοση.
Είναι η δεύτερη φορά που οι ερευνητές ασφαλείας αποκάλυψαν κακόβουλο λογισμικό που έχει σχεδιαστεί για να εκμεταλλευτεί το UEFI. Το 2018, ο προμηθευτής προστασίας από ιούς ESET ανέφερε μια ξεχωριστή παρουσία κακόβουλου λογισμικού που βασίζεται σε UEFI, που ονομάζεται Lojax, το οποίο μπορεί να προήλθε από χάκερς που χρηματοδοτούνται από τη Ρωσία.
Στην περίπτωση της Kaspersky Lab, η εταιρεία ανακάλυψε το κακόβουλο λογισμικό που βασίζεται σε UEFI χάρη στον σαρωτή υλικολογισμικού της εταιρείας, τον οποίο άρχισε να εφαρμόζει πέρυσι. Ο μυστηριώδης ένοχος πίσω από το κακόβουλο λογισμικό βρέθηκε επίσης να προσεγγίζει τα θύματα μέσω ηλεκτρονικού “ψαρέματος”. Ωστόσο, κανένα από τα μηνύματα ηλεκτρονικού “ψαρέματος” δεν βρέθηκε να παρέχει επίθεση με βάση το UEFI.
[signoff]
