Zgłoś błąd
X
Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.
Błędy w spisie treści artykułu zgłaszaj jako "błąd w TREŚCI".
Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
.
Załóż konto
EnglishDeutschукраїнськийFrançaisEspañol中国

Pierwszy w historii rootkit UEFI znaleziony przez specjalistów

Bogdan Stech | 03-01-2019 13:00 |

Pierwszy w historii rootkit UEFI znaleziony przez specjalistów Naukowcy polujący na grupę hakerską Sednit twierdzą, że odkryli pierwszą instancję rootkita atakującego UEFI (Unified Extensible Firmware Interface). Informacjami na ten temat podzielili się podczas konferencji w Lipsku. W tym niemieckim mieście w ostatnich dniach odbywała się konferencja CCC, poświęcona w dużej mierze bezpieczeństwu w sieci. Z prezentacją wystąpił na niej także Frédéric Vachon, badacz szkodliwego oprogramowania w ESET. Podał on kilka szczegółów dotyczących ataku. W odkryciu pomógł Pentagon, który wykonał gest dobrej woli i zaczął wysyłać próbki złośliwego oprogramowania do witryny VirusTotal. Pierwsze dwie próbki to rpcnetp.dll i rpcnetp.exe, które są mechanizmami dropperów dla rootkita UEFI.

Jak wskazują badacze za zagrożeniem stoi grupa cyberprzestępcza Sednit, znana również jako APT28, Fancy Bear, Sofacy lub STRONTIUM.

Pierwszy w historii rootkit UEFI znaleziony przez specjalistów  [1]

LoJax to zamieniona w cybernetyczną broń, wersja produktów Absolute Software. W oryginalne służy ona do odnajdywania skradzionych laptopów. Hakerzy wykorzystali wersję 2009 programu, która zawierała kilka kluczowych błędów, w tym dotyczących głównego modułu konfiguracyjnego, który był słabo zabezpieczony słabym szyfrowaniem. "Ta luka pozwoliła Sednitowi dostosować pojedynczy bajt, który zawierał informacje o domenie legalnego oprogramowania, z którym można się połączyć, aby pobrać oprogramowanie " - powiedział Frédéric Vachon. W przypadku LoJax, jeden bajt zawierał domeny kontrolne Sednit, które ostatecznie dostarczyły ładunek rootkitów. Łańcuch infekcji był typowy: Atak rozpoczyna się od wiadomości e-mail typu phishing lub jej odpowiednika, skutecznie nakłaniając ofiarę do pobrania i uruchomienia małego agenta droppera rpcnetp.exe. Plik rpcnetp.exe instaluje się i dociera do przeglądarki Internet Explorer, która służy do komunikacji ze skonfigurowanymi domenami. ,"Kiedy mam już przyczółek w maszynie, mogę użyć tego narzędzia do wdrożenia rootkita UEFI" - wyjaśnił Vachon. Dodał on także, że narzędzie hakerów wykorzystuje dostawców oprogramowania układowego, umożliwiając zdalne flashowanie. "Rootkit UEFI kontroluje też szeregowy interfejs urządzeń peryferyjnych pamięci flash" - powiedział.

Armia USA publikuje w VirusTotal próbki kodu hakerów z Rosji

Pierwszy w historii rootkit UEFI znaleziony przez specjalistów  [3]

Eksperci z ESET dokonali we wrześniu niepokojącego odkrycia. Zidentyfikowali wirusa LoJax, który na cel bierze komputery mieszkańców Europy centralnej i wschodniej, w tym Polaków. Wykryte zagrożenie zagnieżdża się w systemie UEFI (następcy BIOS-u) i jest niezwykle trudne do usunięcia – formatowanie dysku nie pomoże. Jak donoszą eksperci, za wyrachowanym atakiem stoi znana grupa cyberprzestępcza Sednit, która ma na swoim koncie ataki m.in. na placówki dyplomatyczne i instytucje finansowe na całym świecie, w tym również jedną z polskich instytucji finansowych.

Służby ostrzegają, że Wielką Brytanię czeka poważny atak hakerów

Pierwszy w historii rootkit UEFI znaleziony przez specjalistów  [2]

Wykryte zagrożenie zagnieżdża się w jednym z układów scalonych na płycie głównej komputera, gdzie przechowywany jest UEFI, czyli system sterujący działaniem każdego współczesnego komputera. W jaki sposób dochodzi do infekcji? Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, LoJax, po przejęciu kontroli nad systemem operacyjnym, nadpisuje UEFI złośliwym kodem. Ten sam kod, każdorazowo, gdy użytkownik uruchamia komputer, odpowiada za aktywowanie złośliwego programu (konia trojańskiego) w systemie operacyjnym ofiary. Wówczas zagrożenie komunikuje się z serwerem cyberprzestępców C&C i pobiera z niego, a następnie instaluje w systemie docelowe zagrożenie. Jak wskazują badacze za zagrożeniem stoi grupa cyberprzestępcza Sednit, znana również jako APT28, Fancy Bear, Sofacy lub STRONTIUM. Wielu specjalistów twierdzi wprost, że jest to część rosyjskiego wywiadu wojskowego GRU. Jej członkami są hakerzy, którzy od ponad 10 lat, wielokrotnie atakowali wybrane cele w krajach Europy Wschodniej i Azji. Warto przypomnieć, że ta sama grupa Sednit cztery lata temu zaatakowała stronę polskiej instytucji finansowej. Atak polegał wtedy na wstrzyknięciu do źródła strony złośliwego kodu, który przekierowywał każdego odwiedzającego serwis do innej złośliwej witryny

Źródło: ThreatPost, ESET
Bądź na bieżąco - obserwuj PurePC.pl na Google News
Zgłoś błąd
Liczba komentarzy: 22

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.