Как открихме първата атака с UEFI руткит

Вярно ли е, че ESET е единственият производител на решения за сигурност на работни станции, чийто потребители могат да се възползват от сканиране на UEFI фърмуеъра за злонамерени компоненти? Ако това е така, каква е причината конкурентите на ESET да нямат такава технология?

Сред ТОП 20 на производителите за решения на сигурност с най-висок приход, ESET е единственият, който осигурява на потребителите си технология за UEFI сканиране, включена в решенията за защита на крайни станции. Някои от другите производители имат технологии с “UEFI”, използвано в имената им, но тяхната цел се различава от функцията, което един автентичен фърмуеър скенер трябва да изпълнява.

Каква е причината ESET да е изключението? Нашият отговорен подход към защитата на потребителите ни. Да, атакитe срещу UEFI фърмуеъра са спорадични и до сега бяха ограничени само до локална промяна в кода на таргетирания компютър. Днес обаче, ако такава атака е успешна, тя би довела до пълен контрол върху машината с почти пълна устойчивост, т.е. премахването й ще бъде изключително трудно. Заради това ESET реши да инвестира ресурси във възможности за защита на клиентите от атаки по UEFI фърмуеъра.

Наскоро откритият LoJax, първият UEFI руткит използван в насочена срещу потребителите хакерска атака, показа, че тази заплаха може да стане регулярен елемент от модерните масирани компютърни атаки.

За късмет, потребителите ни са в отлична позиция да засекат такива атаки и да се защитят от тях, благодарение на ESET UEFI Scanner.

Накратко, сканирането на фърмуеъра е единственият начин в него да бъдат засечени промени. От гледна точка на сигурността модифицираният фърмеуър е изключително опасен, тъй като е трудно да бъде засечен. Той е способен да оцелее след мерки за сигурност като преинсталация на операционната система и дори смяна на хард диска.

Фърмуеърът може да бъде компрометиран още при производство на компютъра, по време на доставката до потребителя или чрез рефлашването му, ако атакуващият получи физически достъп до устройството. Както обаче ESET показа, това може да се случи и при насочена злонамерена атака.

Обикновено фърмуеърът не е достъпен за сканиране от решенията за сигурност, заради което те са създавани само за сканирането на харддискове и памети. Нужен е специален инструмент – скенер – за да се разреши достъп до фърмуеъра.

UEFI Scanner е модул в решенията за сигурност на ESET, чиято единствена функция е да разчита съдържанието на UEFI фърмуеъра и да го прави достъпно за инспекция. Т.е., ESET UEFI Scanner прави възможно стандартните сканиращи технологии на ESET да проверят и защитят pre-boot средата.

Накратко, решенията за сигурност на ESET, подпомогнати от сканиращата технология за UEFI, са способни да засекат подозрителни или злонамерени компоненти във фърмуеъра и да ги докладват на потребителя.

Потребителят е уведомен веднага щом във фърмуеъра е засечен подозрителен или злонамерен компонент. Така той може веднага да реагира на ситуацията.

Единият вариант е в засеченият компонент да няма нищо лошо. Например той може да е част от решение против кражба, създадено с максимална устойчивост в системата.

Другият вариант обаче е да няма легитимна причина за открития нестандартен компонент във фърмуеъра. Тогава веднага трябва да бъдат взети мерки.

За съжаление няма лесен начин за изчистването на системата от такава заплаха. За да бъде премахнат злонамерения компонент, най-често е нужно фърмуеърът да бъде рефлашнат. Ако рефлашването на UEFI не е възможно, то единствената алтернатива е да бъде подменена дънната платка на инфектираната система.

Накратко казано, изследователите на ESEТ, водени от Жан-Ян Бутин, старши изследовател на ESET, осъществиха чудесно изследване, като комбинираха задълбоченото си познание за групировката Sednit APT, телеметрични данни от системите за детекция на ESET и предходни открития от колегите им в Arbor Network. Като резултат те откриха изцяло нов сет от инструменти за кибер-атаки, включително първият свободно обменян UEFI rootkit.

Sednit, които са активни поне от 2004 г., са познати още с имената APT28, STRONTIUM, Sofacy и Fancy Bear. Те са една от най-активните APT (Advanced Persistent Threat) групировки, които се занимават с осъществяването на кибер-шпионство и кибер-атаки. Целите на атаките им са големи риби като големи корпорации и световни правителства.

Sednit са отговорни за хака по Националния демократичен комитет на САЩ, който се отрази и върху щатските избори от 2016 г. Техни атаки са още тази по глобалната телевизионна мрежа TV5Monde, лийковете на мейлите на Световната Анти-Допингова Организация и много други.

Групировката е екипирана с разнообразни инструменти за злонамерена кибер-дейност, някои от които са описани в предходен технически анализ на ESET, както и в множество блог публикации на WeLiveSecurity. Откриването на UEFI руткита LoJax показва, че групировката Sednit APT е дори по-развита и опасна, отколкото се предполагаше преди, твърди Жан-Ян Бутин, старши изследовател на злонамерени кодове в ESET, който водеше изследването на последната кампания на Sednit.

ESET не се заема с определянето на гео-локацията на извъшените атаки. Подобно определяне, в сериозен, научен стил, е деликатна задача, която е извън компетенциите на изследователите по сигурност на ESET. Това, което изследователите ни наричат „групировката Sednit” е просто комплект от софтуер и свързана мрежова инфраструктура, без корелация към някоя специфична организация.