ESET ontdekt de allereerste UEFI-rootkit cyberaanval

Is het waar dat ESET de enige leverancier van endpoint securityoplossingen is waarvan de klanten hun UEFI-firmware kunnen laten scannen op kwaadwillende componenten? Zo ja, wat is de reden waarom de concurrenten van ESET niet over een dergelijke technologie beschikken?

ESET is de enige leverancier in de 'Top 20 Endpoint Security Solutions Vendors op basis van omzet' die zijn gebruikers een UEFI-scantechnologie biedt die is geïmplementeerd in de endpoint securityoplossingen. Terwijl sommige andere vendoren "UEFI" in de titel van bepaalde technologieën hebben, is het doel daarvan anders dan de functie die een authentieke firmwarescanner moet uitvoeren.

Dat ESET de enige leverancier in zijn sector is die de UEFI-firmware van zijn klanten beveiligt, illustreert ESET's verantwoordelijke aanpak op het gebied van bescherming. Ja, UEFI-firmware gefaciliteerde aanvallen zijn sporadisch en waren tot nu toe meestal beperkt tot fysieke manipulatie van de doelgerichte computer. Echter, mocht zo een aanval slagen, dan zou deze leiden tot totale controle van de machine, met bijna volledige persistentie. ESET heeft daarom besloten om zijn middelen te investeren om zijn klanten te beveiligen tegen UEFI-firmware gefaciliteerde aanvallen.

De recente ontdekking van LoJax, de allereerste gedetecteerde UEFI-rootkit cyberaanval, toont aan dat UEFI-rootkits helaas een vast onderdeel van geavanceerde cyberaanvallen kunnen worden.

Gelukkig zijn onze klanten dankzij de ESET UEFI Scanner in de positie om zulke aanvallen te herkennen en zich daartegen te verdedigen.

Kort samengevat is het scannen van firmware de enige manier om aanpassingen in de firmware te ontdekken. Vanuit security perspectief is de gecorrumpeerde firmware erg gevaarlijk, omdat het moeilijk is om de securitymaatregelen te detecteren en ze overleven reparaties, zoals bijvoorbeeld het opnieuw installeren van het besturingssysteem en zelf de vervanging van de harde schijf.

Firmware kan in gevaar komen tijdens de productiefase van de computer, tijdens de verzending ervan of via het opnieuw flashen van de firmware indien de aanvaller fysieke toegang krijgt tot het apparaat, maar ook -zoals het recente onderzoek van ESET aantoont- via een geavanceerde malware-aanval.

Normaal gesproken is de firmware niet toegankelijk voor securityoplossingen die scans uitvoeren. Als gevolg daarvan zijn securityoplossingen alleen ontworpen voor het scannen van disk drives en het geheugen. Om toegang te verkrijgen tot de firmware is een gespecialiseerde tool - een scanner - nodig.

De UEFI-scanner is een module in ESET securityoplossingen waarvan de enige functie is om de inhoud van de UEFI-firmware te lezen en deze toegankelijk te maken voor inspectie. Zo maakt de UEFI-scanner het mogelijk voor ESET zijn reguliere scanmachine om de beveiliging van de pre-bootomgeving te controleren en af te dwingen.

Kortom: ESET securityoplossingen, met mogelijkheden die worden versterkt door de UEFI-scantechnologie, zijn ontworpen om verdachte of kwaadwillende onderdelen in de firmware te detecteren en aan de gebruiker de rapporteren.

Zodra een verdacht of kwaadaardig onderdeel in de firmware is gedetecteerd, wordt de gebruiker op de hoogte gesteld zodat hij de juiste stappen kan zetten.

Niet alle detecties zijn direct kwaadaardig, zo kan een detectie bijvoorbeeld behoren tot een anti-diefstaloplossing die is ontworpen voor maximale persistentie in het systeem.

In andere scenario’s is er echter geen legitieme reden voor de aanwezigheid van het ontdekte niet-standaard onderdeel in de firmware. In zo een geval moeten er herstelmaatregelen getroffen worden.

Helaas zijn er geen eenvoudige manieren om het systeem te zuiveren van een dergelijke bedreiging. In de meeste gevallen moet de firmware opnieuw worden geflasht om het schadelijke onderdeel te verwijderen. Als het opnieuw flashen van de UEFI geen optie is, is het enige alternatief om het moederbord van het geïnfecteerde systeem te vervangen.

De ontdekking van ESET wordt gedetailleerd beschreven in een blog post en in een whitepaper op ESET's blogplatform WeLiveSecurity.

In het kort, ESET onderzoekers, onder leiding van Jean-Ian Boutin, Senior Researcher van ESET, hebben uitstekend onderzoek uitgevoerd waarbij ze hun diepgaande kennis van de Sednit APT-groep, telemetrie data van ESET detectiesystemen en een eerdere ontdekking - uitgevoerd door collega’s van Arbor Network - hebben gecombineerd. Als resultaat ontdekten ze een geheel nieuwe set van tools voor cyberaanvallen, waaronder de allereerste "in-the-wild" UEFI-rootkit.

Sednit, actief sinds tenminste 2004 en ook bekend als APT28, STRONTIUM, Sofacy en Fancy Bear, is een van de meest actieve APT (Advanced Persistent Threat) groepen. Van deze groepen is bekend dat zij cyberspionage en andere cyberaanvallen uitvoeren op prominente doelwitten.

De Democratic National Comittee-hack die de verkiezingen van 2016 in de VS heeft getroffen, het hacken van het wereldwijde televisienetwerk TV5Monde, de e-maillek van het World Anti-Doping Agency, en vele andere cyberaanvallen worden beschouwd als het werk van Sednit.

Deze groep heeft een diversiteit van malware tools in hun arsenaal, waarvan ESET onderzoekers in hun vorige whitepaper en in een aantal blogs op WeLiveSecurity verschillende voorbeelden hebben gedocumenteerd. De ontdekking van de LoJax UEFI-rootkit toont aan dat de Sednit APT-groep nog geavanceerder en gevaarlijker is dan eerder werd gedacht, aldus Jean-Ian Boutin, Senior Malware Researcher bij ESET die het onderzoek naar de recente Sednit campagne leidde.

ESET voert geen geopolitieke attributie uit. Het uitvoeren van attributie op een serieuze, wetenschappelijke manier is een delicate taak die buiten de opdracht van ESET security onderzoekers valt. Wat ESET onderzoekers "de Sednit-groep" noemen, is slechts een set van software en de bijbehorende netwerkinfrastructuur, zonder enige correlatie met een specifieke organisatie.