Szerző: Hlács Ferenc

2018. szeptember 28. 13:29

Először fogtak élesben UEFI rootkitet

Az eddig laboratóriumokon kívül példátlan támadást az ESET fedezte fel, és a Fancy Bear csoporthoz köthető.

Újfajta támadási formát vetett be a Fancy Bear néven ismert állami orosz hackercsoport, amely egy nehezen felismerhető UEFI rootkittel veszi át az irányítást az áldozat számítógépe fölött. Biztonsági szakértők szerint ez az első ismert alkalom, mikor támadók hasonló módszert élesben alkalmaztak.

A LoJax névre keresztelt támadást az ESET kutatói fedezték fel, akik szerint a név a LoJackként, illetve Computrace-ként is ismert, az Absolute Software által fejlesztett biztonsági szoftvertől lehet ismerős, amely az UEFI-be ágyazódva kommunikálja az eszköz pozícióját a vezérlőszerver felé - ez azt jelenti, hogy az adott PC-t ellopva még az operációs rendszer, vagy épp a teljes háttértár cseréje sem fog ki rajta.

A kutatók szerint a malware a Lojack egy korábbi verziójára épül: idén májusban több, trójai szoftverbe csomagolt mintát is felfedeztek az átalakított LoJackból, amelyek rosszindulatú vezérlőszerverekkel vették fel a kapcsolatot az Absolute Software szerverei helyett. A rendszereken, amelyeket a kártevő sikerrel megfertőzött, több más, a támadókhoz köthető eszközt is találtak a kutatók, amelyek a UEFI beállításait voltak hivatottak módosítani. Ezek egytől egyig ugyanazt a kernel drivert használták, amelyet egyébként az ingyenesen elérhető RWEverything rendszerdiagnosztikai eszköz is alkalmaz - miután a drivert a támadók egy legitim szoftverből szerezték meg, az hiteles aláírást is tartalmazott, így átcsúszhatott az adott rendszerek védvonalain.

digisign

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

A driverre támaszkodó eszközök egyike az alacsonyszintű rendszerbeállításokra vonatkozó adatokat nyerte ki és továbbította egy szöveges fájlba, amelyek alapján felmérhetők voltak az egyes rendszereken kihasználható potenciálisan hibás konfigurációk. Eközben a második a rendszer firmware-éről készített egy lemezképet, kiolvasva az UEFI-t is tartalmazó SPI falsh memória tartalmát. A harmadik eszköz adta hozzá a kártékony UEFI-modult az elkészült lemezképhez, amelyet aztán az SPI flash-re telepített. A LoJax ezután megnyithatta a fertőzött gép kapuját a támadók előtt, akik tovább kártevőket telepíthetnek arra.

Szerencsére miután maga a UEFI rootkit nem rendelkezik hiteles aláírással, az ESET szerint a  Secure Boot bekapcsolásával elcsíphető. A Secure Boot ugyanis minden betöltődő firmware-komponens aláírását ellenőrzi, ha pedig potenciálisan veszélyes elemet talál, azt blokkolja és értesíti a felhasználót. Egy másik fontos védvonal a UEFI frissen tartása, a támadás ugyanis az elavult, illetve helytelenül konfigurált firmware-eket tudja kihasználni az SPI flash írásához. Az ESET szerint ráadásul az újabb chipsetekre a kártevő már nem tud beférkőzni, így a cég szerint legalább a kritikus rendszereknél érdemes a 2008-ban debütált Intel Series 5 vagy újabb rendszert használni.

A támadás jól illusztrálja, hogy a UEFI rootkitek mára nem csak a biztonsági szakértők laboratóriumaiból ismert proof-of-concept támadások, hanem online bűnözők és kiberháborús hadviselők által is aktívan használt támadási módszerről van szó. Mindezek mellett a felfedezés a Sednitként is ismert Fancy Bear által jelentett fenyegetést is új megvilágításba helyezi, hasonló képességek birtokában a 2004 óta működő csoport jóval veszélyesebb lehet mint azt a szakértők korábban hitték. A mostani támadás egyébként az ESET szerint elsősorban a Balkánon, illetve Közép-Kelet Európában célzott kormányzati szervezeteket.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról