Κινέζοι hackers έφτιαξαν κακόβουλο λογισμικό που και επανεγκατάσταση του λογισμικού να κάνετε, αυτό παραμένει ενεργό!

Οι Κινέζοι χάκερ ενδέχεται να χρησιμοποιούν κακόβουλο λογισμικό που μπορεί να επιβιώσει από την επανεγκατάσταση των Windows OS για να κατασκοπεύει τους υπολογιστές.

Η εταιρεία ασφαλείας Kaspersky Lab αποκάλυψε το κακόβουλο λογισμικό, το οποίο εκμεταλλεύεται το UEFI ενός υπολογιστή (Unified Extensible Firmware Interface) για να συνεχίζει να παραμένει συνεχώς σε ένα σύστημα Windows.

Η επίθεση του UEFI είναι αρκετά ανησυχητική, επειδή το λογισμικό χρησιμοποιείται για την εκκίνηση του υπολογιστή σας και τη φόρτωση του λειτουργικού συστήματος. Λειτουργεί επίσης ξεχωριστά από τον κύριο σκληρό δίσκο του υπολογιστή σας και συνήθως βρίσκεται στη μνήμη flash SPI της μητρικής πλακέτας ως υλικολογισμικό. Ως αποτέλεσμα, οποιαδήποτε κακόβουλη διαδικασία ενσωματωμένη στο UEFI μπορεί να επιβιώσει από την επανεγκατάσταση ενός λειτουργικού συστήματος, αποφεύγοντας τις παραδοσιακές λύσεις προστασίας από ιούς.

«Αυτή η επίθεση καταδεικνύει ότι, αν και σπάνια, σε εξαιρετικές περιπτώσεις, οι επιτιθέμενοι είναι πρόθυμοι να καταβάλουν μεγάλες προσπάθειες για να επιτύχουν το υψηλότερο επίπεδο επιμονής στο μηχάνημα του θύματος», δήλωσε ο ερευνητής της Kaspersky Lab, Mark Lechtik.

Η εταιρεία ανακάλυψε το κακόβουλο λογισμικό που βασίζεται σε UEFI σε μηχανήματα που ανήκουν σε δύο θύματα. Λειτουργεί για να δημιουργήσει ένα Trojan αρχείο που ονομάζεται “IntelUpdate.exe” στο φάκελο εκκίνησης, το οποίο θα επανεγκατασταθεί ακόμη και αν το εντοπίσει ο χρήστης και το διαγράψει.

“Δεδομένου ότι αυτή η λογική εκτελείται από το SPI flash, δεν υπάρχει τρόπος να αποφευχθεί αυτή η διαδικασία εκτός από την εξάλειψη του κακόβουλου υλικολογισμικού”, δήλωσε η Kaspersky Lab.

Ο στόχος του κακόβουλου λογισμικού είναι να παραδώσει άλλα εργαλεία πειρατείας στον υπολογιστή του θύματος, συμπεριλαμβανομένου της κλοπής εγγράφων, το οποίο θα πάρει αρχεία από τον κατάλογο “Πρόσφατα έγγραφα” πριν τα ανεβάσει στον διακομιστή εντολών και ελέγχου του χάκερ.

Η Kaspersky Lab απέφυγε να ονομάσει τα θύματα, αλλά είπε ότι οι ένοχοι κυνηγούσαν υπολογιστές που ανήκουν σε «διπλωματικές οντότητες και ΜΚΟ στην Αφρική, την Ασία και την Ευρώπη». Όλα τα θύματα έχουν κάποια σχέση με τη Βόρεια Κορέα, είτε μέσω μη κερδοσκοπικών δραστηριοτήτων είτε με πραγματική παρουσία στη χώρα.

Εξετάζοντας τον κώδικα του κακόβουλου λογισμικού, η Kaspersky Lab παρατήρησε επίσης ότι οι διαδικασίες μπορούν να φτάσουν σε έναν διακομιστή εντολών και ελέγχου που είχε προηγουμένως συνδεθεί με μια ύποπτη κινεζική κρατική ομάδα hacking γνωστή ως Winnti. Επιπλέον, η εταιρεία ασφαλείας βρήκε αποδεικτικά στοιχεία ότι οι δημιουργοί πίσω από το κακόβουλο λογισμικό χρησιμοποίησαν την κινεζική γλώσσα κατά τον προγραμματισμό του κώδικα.

Ακόμα, η Kaspersky Lab αποφεύγει να κατονομάσει μια συγκεκριμένη ομάδα για τις επιθέσεις. «Δεδομένου ότι αυτός είναι ο μόνος σύνδεσμος μεταξύ των ευρημάτων μας και οποιασδήποτε από τις ομάδες που χρησιμοποιούν το Winnti backdoor, εκτιμούμε ότι είναι πράγματι υπεύθυνη για τις επιθέσεις», πρόσθεσε η Kaspersky Lab.

Παραμένει ασαφές πώς παραδόθηκε το κακόβουλο λογισμικό που βασίζεται σε UEFI και ποια μοντέλα υπολογιστών είναι ευάλωτα στην επίθεση. Η Kaspersky Labs σημειώνει ότι ο χειρισμός του UEFI είναι δύσκολος, διότι απαιτεί γνώση του υλικολογισμικού του μηχανήματος και τρόπους εκμετάλλευσης του chip SPI flash.

Ωστόσο, η εταιρεία ασφαλείας παρατήρησε ότι το κακόβουλο λογισμικό που βασίζεται στο UEFI δημιουργήθηκε με τη βοήθεια διαρροών εγγράφων από μια ιταλική εταιρεία παρακολούθησης που ονομάζεται Hacking Team. Το 2015, είχαν κλαπεί αρχεία της και δημοσιεύθηκαν στο διαδίκτυο, κάτι που έδειξε ότι η Hacking Team επίσης εργάζεται πάνω σε μια επίθεση UEFI, ικανή να μολύνει Asus X550C και Dell Latitude E6320 μοντέλα μέσα από μια μονάδα USB.

«Φυσικά, δεν μπορούμε να αποκλείσουμε άλλες δυνατότητες με τις οποίες το κακόβουλο υλικολογισμικό προωθήθηκε από απόσταση, ίσως μέσω ενός συμβιβασμένου μηχανισμού ενημέρωσης», πρόσθεσε η Kaspersky Lab. «Ένα τέτοιο σενάριο θα απαιτούσε τυπικά την εκμετάλλευση τρωτών σημείων στη διαδικασία ελέγχου ταυτότητας του BIOS. Ενώ αυτό θα μπορούσε να ισχύει, δεν έχουμε στοιχεία που να το υποστηρίζουν.»

Για να αφαιρέσει το κακόβουλο λογισμικό, η Kaspersky Lab είπε ότι ένα θύμα θα πρέπει να ενημερώσει το υλικολογισμικό της μητρικής πλακέτας σε μια νόμιμη έκδοση.

Είναι η δεύτερη φορά που οι ερευνητές ασφαλείας αποκάλυψαν κακόβουλο λογισμικό που έχει σχεδιαστεί για να εκμεταλλευτεί το UEFI. Το 2018, ο προμηθευτής προστασίας από ιούς ESET ανέφερε μια ξεχωριστή παρουσία κακόβουλου λογισμικού που βασίζεται σε UEFI, που ονομάζεται Lojax, το οποίο μπορεί να προήλθε από χάκερς που χρηματοδοτούνται από τη Ρωσία.

Στην περίπτωση της Kaspersky Lab, η εταιρεία ανακάλυψε το κακόβουλο λογισμικό που βασίζεται σε UEFI χάρη στον σαρωτή υλικολογισμικού της εταιρείας, τον οποίο άρχισε να εφαρμόζει πέρυσι. Ο μυστηριώδης ένοχος πίσω από το κακόβουλο λογισμικό βρέθηκε επίσης να προσεγγίζει τα θύματα μέσω ηλεκτρονικού “ψαρέματος”. Ωστόσο, κανένα από τα μηνύματα ηλεκτρονικού “ψαρέματος” δεν βρέθηκε να παρέχει επίθεση με βάση το UEFI.

 

[signoff]

 

Δια

 

 

 

 

 

 

 

 

 

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Leave a reply

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ

GigaWiper: Νέο malware κάνει κατάληψη στα Windows και διαγράφει τα πάντα

Νέα έρευνα της Microsoft ασχολήθηκε με το GigaWiper, ένα modular Golang backdoor για Windows, που συνδυάζει την ισχυρή απομακρυσμένη πρόσβαση στον υπολογιστή μας με...

Ο νέος Samsung 990 SSD επαναπροσδιορίζει την ταχύτητα και την ενεργειακή απόδοση

Η αγορά των αποθηκευτικών μέσων υψηλών επιδόσεων μόλις απέκτησε έναν νέο, εξαιρετικά υπολογίσιμο «παίκτη». Η Samsung Electronics προχώρησε στα αποκαλυπτήρια του νέου της Samsung...

Google Pixel 11 Pro: Το Pixel Glow αποκαλύφθηκε επιτέλους σε χρυσό

Η Google δημοσίευσε το πρώτο επίσημο teaser για το Pixel 11 Pro, επιβεβαιώνοντας τη χρυσή απόχρωση και δίνοντας την πρώτη πραγματική εικόνα του Pixel...

Ιστορική πρωτιά: Η Κίνα εμφύτευσε το πρώτο εμπορικό chip σε εγκέφαλο

Η κινεζική εταιρεία νευροτεχνολογίας Neuracle (γνωστή και ως Borui Kang Medical Technology) πραγματοποίησε αυτή την εβδομάδα το πρώτο επιτυχημένο χειρουργικό εμφύτευμα ενός εμπορικού brain-computer...

Microsoft Surface Killer? Στα 619€ το Νέο μου Windows Tablet 13″ 2,5K με Ai επεξεργαστή Intel Core Ultra 5 115U, 16GB DDR5, 1TB nVme...

Προσοχή Ελάχιστα κουπόνια και ΣΤΟΚ (μετρημένα στα δάχτυλα του ενός χεριού) Είχαμε δει την αποσυσκευασία του πριν από περίπου 4 μήνες και το εξαφανίσατε! Μόνο Για...

ΤΕΛΕΥΤΑΙΕΣ ΠΡΟΣΦΟΡΕΣ

Microsoft Surface Killer? Στα 619€ το Νέο μου Windows Tablet 13″ 2,5K με Ai επεξεργαστή Intel Core Ultra 5 115U, 16GB DDR5, 1TB nVme...

Προσοχή Ελάχιστα κουπόνια και ΣΤΟΚ (μετρημένα στα δάχτυλα του ενός χεριού) Είχαμε δει την αποσυσκευασία του πριν από περίπου 4 μήνες και το εξαφανίσατε! Μόνο Για...

Το “Απόλυτο” μηχάνημα Θαλάσσης… Μοτέρ SUP, Καταδυτικό Scooter… Δικά σου όλα… ΤΩΡΑ!!! 2 σε 1 DCCMS DS-720 στα 319€ ΚΟΜΠΛΕ

Μου τα έχετε ζητήσει όλα... ένα - ένα ξεχωριστά και σας τα έφερα όλα μαζί. Το 3 σε 1 DCCMS DS-720 τα κάνει όλα και...

Διακοπές Ρεύματος;;; ΤΕΡΜΑ οι Δικαιολογίες… Φτιάξ’ το ΣΗΜΕΡΑ με Allpowers R600 Power Station στα 212€ ΚΟΜΠΛΕ

Αν ακόμη δεν έχεις κάνει κάτι για να διασφαλίσεις από το "ΚΑΚΟ" ρεύμα τις πανάκριβες συσκευές σου ή ακόμη και την δουλειά σου... με...

Με 30.000 DPI… Razer Pro Click V2, Ασύρματο Gaming Ποντίκι, RGB, Εργονομικό, Ai & Macros και Στην Καλύτερη Τιμή EVER από Ελλάδα (βίντεο)

Όταν κάτι αφορά την δουλειά σου πάνω απ' όλα πάντα προτείνω να διαθέσεις κάτι "παραπάνω" γιατί σίγουρα θα σου τα γυρίσει πίσω πολλές φορές. Έτσι...

Xiaomi MIJIA Youth Edition2S: Ο πιο “ΤΣΑΜΠΑ” Επώνυμος DLP προτζέκτορας είναι εδώ… στα 297€ ΚΟΜΠΛΕ (βίντεο)

Βίντεο Σύγκρισής  Xiaomi MIJIA Youth Edition2S (DLP) VS Wanbo T2 MAX New (LED) Είναι ο 5ος DLP Προτζέκτορας που φέρνω στο κανάλι ανάμεσα σε 10άδες...