Буткіт UEFI як інструмент для кібершпигунства

Компанія ESET ― лідер у галузі інформаційної безпеки ― повідомляє про виявлення раніше невідомого буткіта UEFI, який зберігається в системному розділі EFI. Для завантаження свого непідписаного драйвера загроза може обходити примусове виконання підписів драйверів у Windows, що полегшує шпигунську діяльність зловмисників.

ESPecter ― другий виявлений буткіт UEFI. Він показує, що реальні загрози UEFI не обмежуються впровадженням флеш-модулів SPI, які використовувались у Lojax.

Варто зазначити, що ESPecter був виявлений на скомпрометованому пристрої разом із компонентом, який у сеансі користувача володіє можливостями зчитування натискань клавіатури та викрадення документів. Саме тому дослідники ESET вважають, що ESPecter використовується переважно для шпигунства.

«Ми відстежували цю загрозу щонайменше до 2012 року. Варто зазначити, що раніше вона працювала як буткіт для систем із застарілими версіями BIOS. Незважаючи на тривале існування ESPecter, її функціонування та оновлення не були зафіксовані до цього часу», ― коментують дослідники ESET.

Нова загроза має можливості зчитування натискань клавіатури і викрадення документів. ESET.

«За останні кілька років ми виявили підтверджені приклади буткітів UEFI, витоки документів та вихідного коду, що свідчить про існування справжнього шкідливого програмного забезпечення для UEFI у вигляді впроваджених флеш-модулів SPI або модулів ESP. Незважаючи на це, у реальному середовищі було виявлено тільки чотири випадки шкідливого ПЗ для UEFI, включно з ESPecter», ― пояснюють дослідники ESET.

Компоненти шкідливої програми практично не змінилися протягом років, а відмінності між версіями 2012 та 2020 років досить незначні. Після всіх змін зловмисники, які використовують ESPecter, ймовірно, вирішили перенести свої шкідливі програми із застарілих систем BIOS на сучасні системи UEFI.

Серед компонентів ESPecter ― бекдор, який містить великий набір команд та різні можливості автоматичного перехоплення даних, включно з викраденням документів, зчитуванням натискань клавіатури та періодичним створенням знімків екрана жертви. Усі зібрані дані зберігаються у прихованому каталозі.

«Зловмисники покладаються на впровадження модулів у вбудоване програмне забезпечення UEFI, щоб залишатися непоміченими в операційній системі. Незважаючи на механізми безпеки, такі як UEFI Secure Boot, кіберзлочинці створюють шкідливі програми, які можна легко заблокувати за допомогою таких механізмів за умови їх увімкнення та правильного налаштування», ― додають дослідники ESET.

Щоб захиститися від ESPecter та подібних загроз, спеціалісти ESET рекомендують користувачам дотримуватись наступних правил:

  • завжди використовувати актуальну версію мікропрограми від виробника апаратного забезпечення;
  • переконатися у правильності налаштування системи та увімкнути Secure Boot;
  • налаштувати «Управління привілейованими обліковими записами», щоб запобігти доступу зловмисників до акаунтів з розширеними правами, які необхідні для встановлення буткіта.

Варто зазначити, що у рішеннях ESET реалізований сканер UEFI, який здатний виявляти подібні загрози та повідомляти про них користувачу.

Більше інформації про загрозу ESPecter доступно за посиланням.

 

Читайте також:

Система безпеки UEFI: як технологія машинного навчання допомагає виявити складні загрози

Рейтинг Інтернет-загроз: найбільш активні шкідливі програми в травні-серпні 2021