Pierwszy w historii rootkit UEFI znaleziony przez specjalistów

Naukowcy polujący na grupę hakerską Sednit twierdzą, że odkryli pierwszą instancję rootkita atakującego UEFI (Unified Extensible Firmware Interface). Informacjami na ten temat podzielili się podczas konferencji w Lipsku. W tym niemieckim mieście w ostatnich dniach odbywała się konferencja CCC, poświęcona w dużej mierze bezpieczeństwu w sieci. Z prezentacją wystąpił na niej także Frédéric Vachon, badacz szkodliwego oprogramowania w ESET. Podał on kilka szczegółów dotyczących ataku. W odkryciu pomógł Pentagon, który wykonał gest dobrej woli i zaczął wysyłać próbki złośliwego oprogramowania do witryny VirusTotal. Pierwsze dwie próbki to rpcnetp.dll i rpcnetp.exe, które są mechanizmami dropperów dla rootkita UEFI.

Jak wskazują badacze za zagrożeniem stoi grupa cyberprzestępcza Sednit, znana również jako APT28, Fancy Bear, Sofacy lub STRONTIUM.

LoJax to zamieniona w cybernetyczną broń, wersja produktów Absolute Software. W oryginalne służy ona do odnajdywania skradzionych laptopów. Hakerzy wykorzystali wersję 2009 programu, która zawierała kilka kluczowych błędów, w tym dotyczących głównego modułu konfiguracyjnego, który był słabo zabezpieczony słabym szyfrowaniem. "Ta luka pozwoliła Sednitowi dostosować pojedynczy bajt, który zawierał informacje o domenie legalnego oprogramowania, z którym można się połączyć, aby pobrać oprogramowanie " - powiedział Frédéric Vachon. W przypadku LoJax, jeden bajt zawierał domeny kontrolne Sednit, które ostatecznie dostarczyły ładunek rootkitów. Łańcuch infekcji był typowy: Atak rozpoczyna się od wiadomości e-mail typu phishing lub jej odpowiednika, skutecznie nakłaniając ofiarę do pobrania i uruchomienia małego agenta droppera rpcnetp.exe. Plik rpcnetp.exe instaluje się i dociera do przeglądarki Internet Explorer, która służy do komunikacji ze skonfigurowanymi domenami. ,"Kiedy mam już przyczółek w maszynie, mogę użyć tego narzędzia do wdrożenia rootkita UEFI" - wyjaśnił Vachon. Dodał on także, że narzędzie hakerów wykorzystuje dostawców oprogramowania układowego, umożliwiając zdalne flashowanie. "Rootkit UEFI kontroluje też szeregowy interfejs urządzeń peryferyjnych pamięci flash" - powiedział.

Armia USA publikuje w VirusTotal próbki kodu hakerów z Rosji

Eksperci z ESET dokonali we wrześniu niepokojącego odkrycia. Zidentyfikowali wirusa LoJax, który na cel bierze komputery mieszkańców Europy centralnej i wschodniej, w tym Polaków. Wykryte zagrożenie zagnieżdża się w systemie UEFI (następcy BIOS-u) i jest niezwykle trudne do usunięcia – formatowanie dysku nie pomoże. Jak donoszą eksperci, za wyrachowanym atakiem stoi znana grupa cyberprzestępcza Sednit, która ma na swoim koncie ataki m.in. na placówki dyplomatyczne i instytucje finansowe na całym świecie, w tym również jedną z polskich instytucji finansowych.

Służby ostrzegają, że Wielką Brytanię czeka poważny atak hakerów

Wykryte zagrożenie zagnieżdża się w jednym z układów scalonych na płycie głównej komputera, gdzie przechowywany jest UEFI, czyli system sterujący działaniem każdego współczesnego komputera. W jaki sposób dochodzi do infekcji? Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, LoJax, po przejęciu kontroli nad systemem operacyjnym, nadpisuje UEFI złośliwym kodem. Ten sam kod, każdorazowo, gdy użytkownik uruchamia komputer, odpowiada za aktywowanie złośliwego programu (konia trojańskiego) w systemie operacyjnym ofiary. Wówczas zagrożenie komunikuje się z serwerem cyberprzestępców C&C i pobiera z niego, a następnie instaluje w systemie docelowe zagrożenie. Jak wskazują badacze za zagrożeniem stoi grupa cyberprzestępcza Sednit, znana również jako APT28, Fancy Bear, Sofacy lub STRONTIUM. Wielu specjalistów twierdzi wprost, że jest to część rosyjskiego wywiadu wojskowego GRU. Jej członkami są hakerzy, którzy od ponad 10 lat, wielokrotnie atakowali wybrane cele w krajach Europy Wschodniej i Azji. Warto przypomnieć, że ta sama grupa Sednit cztery lata temu zaatakowała stronę polskiej instytucji finansowej. Atak polegał wtedy na wstrzyknięciu do źródła strony złośliwego kodu, który przekierowywał każdego odwiedzającego serwis do innej złośliwej witryny