UEFI rootkits - από τη θεωρία στην πραγματική απειλή
Τα UEFI rootkits, το Άγιο Δισκοπότηρο των hackers ήταν κάτι που ο κόσμος φοβόταν για πολύ καιρό, αλλά κανένας δεν είχε δει κάτι ποτέ κάτι παρόμοιο - μέχρι που η ESET ανακάλυψε μια καμπάνια προερχόμενη από την περίφημη ομάδα Sednit APT. Ορισμένα UEFI rootkits έχουν παρουσιαστεί σε συνέδρια ασφάλειας ως απόδειξη της θεωρίας, ενώ άλλα είναι γνωστά ότι βρίσκονται στη διάθεση κυβερνητικών οργανισμών. Ωστόσο, μέχρι τον Αύγουστο του 2018, δεν εντοπίστηκε ποτέ κάποιο UEFI rootkit σε μια πραγματική κυβερνοεπίθεση.
Η προαναφερθείσα καμπάνια της Sednit χρησιμοποίησε ένα UEFI rootkit το οποίο οι ερευνητές της ESET ονόμασαν LoJax. Η ανάλυση της επίθεσης από την ESET περιγράφεται λεπτομερώς στο “LoJax: Το πρώτο UEFI rootkit που ανακαλύφθηκε στο φυσικό περιβάλλον, μια ευγενική προσφορά της λευκής βίβλου της ομάδας Sednit” . Περισσότερες πληροφορίες σχετικά με την προστασία που σχετίζεται με το UEFI μπορεί να βρεθεί στο ιστολόγιο ασφαλείας της ESET, WeLiveSecurity.
Κίνδυνοι ασφαλείας των firmware UEFI, rootkits
Ο κώδικας που ξεκινάει αμέσως μετά την έναρξη του υπολογιστή και έχει τον απόλυτο έλεγχο στο λειτουργικό σύστημά του (και κατ' επέκταση σε ολόκληρο το μηχάνημα) ονομάζεται firmware. Το πρότυπο - σκεφτείτε το ως ένα σύνολο εντολών - για το πώς συμπεριφέρεται το firmware ονομάζεται UEFI (ο προκάτοχός του ονομαζόταν BIOS). Το firmware και το UEFI συχνά συνδέονται μεταξύ τους και ονομάζονται UEFI firmware.
Ένα rootkit είναι ένα επικίνδυνο malware που έχει σχεδιαστεί για να αποκτά "παράνομη" και συνεχή πρόσβαση σε κάτι που σε διαφορετική περίπτωση δεν επιτρέπεται. Συνήθως, ένα rootkit καλύπτει την ύπαρξή του ή την ύπαρξη άλλων κακόβουλων προγραμμάτων..
Περισσότερες πληροφορίες
Ένα UEFI rootkit είναι ένα rootkit που κρύβεται μέσα στο firmware. Υπάρχουν δύο λόγοι για τους οποίους ένα rootkit είναι εξαιρετικά επικίνδυνο. Κατ' αρχάς, τα UEFI rootkits είναι πολύ επίμονα, ικανά να επιβιώσουν μετά από επανεκκίνηση του υπολογιστή, την επανεγκατάσταση του λειτουργικού συστήματος και ακόμη και την αντικατάσταση του σκληρού δίσκου. Δεύτερον, είναι δύσκολο να εντοπιστούν επειδή συνήθως το firmware δεν ελέγχεται για ακεραιότητα κώδικα. Οι λύσεις προστασίας της ESET που περιέχουν ειδικό επίπεδο προστασίας, το ESET UEFI Scanner, αποτελούν εξαίρεση.
Το κακόβουλο UEFI firmware αποτελεί εφιάλτη για όσους ασχολούνται με την ψηφιακή ασφάλεια, είναι πολύ επιζήμιο και δύσκολο να εντοπιστεί
Jean-Ian Boutin, Senior Malware Researcher στην ESET
Πώς προστατεύει η ESET από το κακόβουλο UEFI firmware
Το ESET είναι ο μόνος μεγάλος πάροχος ασφάλειας που έχει προσθέσει ένα επιπλέον επίπεδο προστασίας το ESET UEFI Scanner, το οποίο έχει σχεδιαστεί για να ανιχνεύει κακόβουλα στοιχεία σε επίπεδο firmware.
Το ESET UEFI Scanner είναι ένα εργαλείο που κάνει το firmware διαθέσιμο για σάρωση. Στη συνέχεια, ο κώδικας του firmware ελέγχεται για κακόβουλο λογισμικό με ειδικές τεχνολογίες ανίχνευσης. Οι πελάτες της ESET μπορούν να σαρώσουν το firmware του υπολογιστή τους τακτικά ή κατ' απαίτηση. Οι περισσότερες ανιχνεύσεις χαρακτηρίζονται ως Δυνητικά μη Ασφαλείς Εφαρμογές - πρόκειται για κώδικα που έχει μεγάλη ισχύ επάνω στο σύστημα και συνεπώς μπορεί να χρησιμοποιηθεί για κακό σκοπό. Ο ίδιος κώδικας μπορεί να είναι απολύτως νόμιμος εάν ο χρήστης ή ένας διαχειριστής γνωρίζουν την παρουσία του ή μπορεί να είναι κακόβουλος εάν εγκατασταθεί χωρίς την παρουσία του, γνώση και συγκατάθεση.
Περισσότερες πληροφορίες
Φυσικά, από τη στιγμή της ανακάλυψης της πρώτης κυβερνοεπίθεσης με το UEFI rootkit, οι πελάτες της ESET εξοπλισμένοι με το ESET UEFI Scanner μπορούν να ανιχνεύουν τυχόν κακόβουλες τροποποιήσεις στον κώδικα του firmware και έτσι βρίσκονται σε εξαιρετική θέση για να προστατευθούν.
Όσο για την αποκατάσταση, ένας τυπικός χρήστης δεν είναι σε θέση να ανακτήσει το σύστημά του. Θεωρητικά, το φλασάρισμα του chip του firmware βοηθά. Εάν κάτι τέτοιο δεν είναι δυνατόν η μόνη άλλη επιλογή που έχει κανείς είναι να αντικαταστήσει τη motherboard του υπολογιστή.
Συχνές ερωτήσεις
Η ESET είναι ο μοναδικός κατασκευαστής λύσεων προστασίας endpoint που προστατεύει από κυβερνοεπιθέσεις UEFI rootkits - είναι αλήθεια;
Είναι αλήθεια ότι η ESET είναι ο μοναδικός κατασκευαστής λύσεων ασφάλειας endpoints, των οποίων οι πελάτες μπορούν να ελέγχουν το UEFI των υπολογιστών τους για κακόβουλο κώδικα; Εάν ναι, ποιος είναι ο λόγος για τον οποίο οι ανταγωνιστές της ESET δεν διαθέτουν παρόμοια τεχνολογία;
Η ESET είναι ο μοναδικός κατασκευαστής μεταξύ των εταιρειών ασφαλείας endpoint της λίστας Top 20 ανάλογα με τα έσοδά τους, που παρέχει στους χρήστες δυνατότητα ελέγχου του UEFI για κακόβουλο κώδικα ενσωματωμένη στις λύσεις προστασίας. Αν και κάποιοι κατασκευαστές διαθέτουν τεχνολογίες με την ένδειξη UEFI στον τίτλο τους, ο σκοπός είναι διαφορετικός από τη λειτουργία που πρέπει να έχει ένας αυθεντικός σαρωτής firmware.
Όσο για το λόγο που η ESET είναι ο μοναδικός κατασκευαστής στον κλάδο που προστατεύει το firmware του πελάτη της, το γεγονός αυτό δείχνει την υπεύθυνη προσέγγιση της ESET στο θέμα της προστασίας. Είναι αλήθεια ότι οι επιθέσεις UEFI firmware είναι σποραδικές και μέχρι τώρα περιορίζονταν κυρίως στη φυσική παραβίαση του υπολογιστή-στόχου. Ωστόσο, εάν μια τέτοια επίθεση στεφθεί με επιτυχία θα οδηγούσε σε πλήρη έλεγχο του μηχανήματος. Έτσι, η ESET αποφάσισε να επενδύσει πρόσθετους πόρους προκειμένου να εξασφαλίσει στους πελάτες της προστασία από τις επιθέσεις στο UEFI.
Η πρόσφατη ανακάλυψη του LoJax, του πρώτου rootkit του UEFI που ανιχνεύτηκε σε μια πραγματική επίθεση, δείχνει ότι, δυστυχώς, οι επιθέσεις αυτές θα πρέπει να προστεθούν στον κατάλογο των απειλών υπολογιστών.
Ευτυχώς, χάρη στον ESET UEFI Scanner, οι πελάτες μας βρίσκονται στην πλεονεκτική θέση να μπορούν να εντοπίζουν τέτοιες επιθέσεις και να αμύνονται εναντίον τους.
Γιατί είναι σημαντικό να ελέγχετε το firmware του υπολογιστή;
Εν ολίγοις, η σάρωση του firmware είναι ο μόνος τρόπος για να εντοπίσετε τροποποιήσεις σε αυτό. Από την άποψη της ασφάλειας, το κατεστραμμένο firmware είναι εξαιρετικά επικίνδυνο, καθώς είναι δύσκολο να εντοπιστεί και να είναι σε θέση να επιβιώσει από μέτρα ασφαλείας, όπως επανεγκατάσταση του λειτουργικού συστήματος και ακόμη και αντικατάσταση του σκληρού δίσκου.
Το firmware μπορεί να παραβιάζεται στο στάδιο της κατασκευής του υπολογιστή ή κατά τη μεταφορά του ή μέσω του flashing του, εάν ο εισβολέας αποκτήσει φυσική πρόσβαση στη συσκευή, αλλά επίσης, όπως δείχνει η πρόσφατη έρευνα της ESET, μέσω μιας εξελιγμένης επίθεσης malware.
Πώς λειτουργεί ο σαρωτής ESET UEFI;
Συνήθως, το firmware δεν είναι προσβάσιμο στις τυπικές λύσεις ασφάλειας και ως εκ τούτου, σχεδιάζονται μόνο για τη σάρωση μονάδων δίσκου και μνήμης. Για να έχετε πρόσβαση στο firmware, απαιτείται ένα εξειδικευμένο εργαλείο - ένας εξειδικευμένος σαρωτής.
Ο "ανιχνευτής UEFI" είναι ένα εξειδικευμένο τμήμα που περιλαμβάνεται στις λύσεις ασφάλειας ESET, η μοναδική λειτουργία του οποίου είναι να διαβάζει το περιεχόμενο του UEFI firmware και να το καθιστά προσβάσιμο για έλεγχο. Έτσι, ο ESET UEFI Scanner δίνει τη δυνατότητα στον κανονικό μηχανισμό σάρωσης της λύσης προστασίας της ESET να ελέγχει και να προστατεύει το περιβάλλον προ-εκκίνησης του υπολογιστή.
Συνοπτικά, οι λύσεις ασφάλειας ESET, με ενισχυμένες δυνατότητες από την τεχνολογία σάρωσης UEFI, έχουν σχεδιαστεί για τον εντοπισμό ύποπτων ή κακόβουλων στοιχείων στο firmware και την ειδοποίηση του χρήστη.
Πώς να διορθώσετε το firmware UEFI σας;
Μόλις εντοπιστεί ένα ύποπτο ή κακόβουλο στοιχείο στο firmware, ο χρήστης ενημερώνεται για να μπορέσει να πραγματοποιήσει τα κατάλληλα βήματα.
Ένα τυπικό σενάριο είναι ότι δεν εντοπίζεται τίποτα κακό κατά τη σάρωση. Για παράδειγμα, το ύποπτο στοιχείο μπορεί να ανήκει σε μια αντικλεπτική λύση εγκατεστημένη στο σύστημα.
Σύμφωνα με ένα άλλο σενάριο, ωστόσο, το firmware διαθέτει μη νόμιμα στοιχεία. Σε μια τέτοια περίπτωση, πρέπει να ληφθούν μέτρα αποκατάστασης.
Δυστυχώς, δεν υπάρχουν εύκολοι τρόποι καθαρισμού του συστήματος από μια τέτοια απειλή. Συνήθως, το firmware πρέπει να ανανεωθεί για να αφαιρεθεί το κακόβουλο στοιχείο. Εάν το flashing του UEFI δεν είναι εφικτό, η μόνη εναλλακτική λύση είναι να αλλάξει η motherboard του μολυσμένου συστήματος.
Πώς ανακάλυψαν οι ερευνητές της ESET την επίθεση του UEFI rootkit;
Η ανακάλυψη της ESET περιγράφεται λεπτομερώς σε μια σχετική δημοσίευση στο blog και σε ένα white paper που δημοσιεύτηκε στο ιστολόγιο ασφαλείας της ESET, το WeLiveSecurity.
Με λίγα λόγια, οι ερευνητές της ESET, με επικεφαλής τον Jean-Ian Boutin, ESET Senior Researcher, πραγματοποίησαν σημαντική ερευνητική εργασία, συνδυάζοντας τις βαθιές γνώσεις τους για την ομάδα Sednit APT, δεδομένα τηλεμετρίας από τα συστήματα ανίχνευσης της ESET και μια προηγούμενη ανακάλυψη του Arbor Network. Το αποτέλεσμα ήταν η ανίχνευση ενός εντελώς νέου συνόλου εργαλείων για επιθέσεις στον κυβερνοχώρο, συμπεριλαμβανομένου του πρώτου UEFI rootkit.
Τι είναι η ομάδα APT Sednit;
Η Sednit, που λειτουργεί από τουλάχιστον το 2004, είναι επίσης γνωστή ως APT28, STRONTIUM, Sofacy και Fancy Bear. Πρόκειται για μια από τις πιο δραστήριες ομάδες APT (Advanced Persistent Threat). Τέτοιες ομάδες είναι γνωστό ότι διεξάγουν κατασκοπεία στον κυβερνοχώρο και άλλες κυβερνοεπιθέσεις σε στόχους υψηλού προφίλ.
Η Εθνική Δημοκρατική Επιτροπή που επλήγη τις εκλογές των ΗΠΑ το 2016, η επίθεση στο παγκόσμιο τηλεοπτικό δίκτυο TV5Monde, η διαρροή μηνυμάτων ηλεκτρονικού ταχυδρομείου της Υπηρεσίας World Anti-Doping και πολλά άλλα παρόμοια συμβάντα, πιστεύεται ότι είναι έργο της ομάδας Sednit.
Αυτή η ομάδα διαθέτει ένα εκτεταμένο σύνολο εργαλείων κακόβουλου λογισμικού στο οπλοστάσιό της, πολλά παραδείγματα των οποίων οι ερευνητές της ESET έχουν τεκμηριώσει σε προηγούμενο white paper τους καθώς και σε πολυάριθμες αναρτήσεις ιστολογίων στο WeLiveSecurity. Η ανακάλυψη του UEFI rootkit LoJax δείχνει ότι η ομάδα APT Sednit είναι ακόμη πιο προηγμένη και επικίνδυνη από ό, τι είχε προηγουμένως θεωρηθεί, σύμφωνα με τον Jean-Ian Boutin, ESET Senior Malware Researcher, ο οποίος ηγήθηκε της έρευνας.
Όσον αφορά την απόδοση ευθυνών, η ESET δεν πραγματοποιεί κανενός είδους γεωπολιτικές αναφορές ευθυνών. Αυτό αποτελεί ένα σοβαρό επιστημονικό και ιδιαίτερα λεπτό ζήτημα, που είναι πέρα από τα καθήκοντα των ερευνητών της ESET. Αυτό που οι ερευνητές της ESET αποκαλούν "η ομάδα Sednit" είναι απλώς ένα σύνολο λογισμικού και της σχετικής δικτυακής υποδομής, χωρίς καμία συσχέτιση με κάποια συγκεκριμένη οργάνωση.
Πάντα ένα βήμα μπροστά με τη βοήθεια της ESET
WeLiveSecurity blog
Το βραβευμένο blog της ασφάλειας της ESET περιέχει όλες τις τελευταίες εξελίξεις σε αυτό και σε άλλες ανακαλύψεις
Τεχνολογία ESET
Πολυεπίπεδη προστασία που συνδυάζει μηχανική μάθηση, ανθρώπινη τεχνογνωσία και παγκόσμια ενημέρωση για όλες τις απειλές