ESET objavil prvý UEFI rootkit

Je pravda, že ESET je jediný výrobca bezpečnostných riešení, ktorého zákazníci si môžu preskenovať UEFI firmware na prítomnosť škodlivých komponentov? Ak áno, prečo takúto technológiu nemá aj konkurencia?

ESET je jediný výrobca z top 20 výrobcov bezpečnostných riešení podľa tržieb, ktorý poskytuje svojim používateľom technológiu Kontroly UEFI priamo vo svojich bezpečnostných produktoch. Iný výrobcovia môžu mať v názvoch svojich technológií „UEFI“, ich účel je však iný, než funkcia, ktorú by mal vykonávať autentický skener firmwaru.

Dôvodom, prečo je ESET jediným výrobcom zabezpečujúcim UEFI firmware svojich používateľov, je zodpovedný prístup k ochrane. Áno, útoky vykonávané cez UEFI firmware sú ojedinelé a až doteraz sa týkali fyzického zásahu do počítača. Ak by však takýto útok bol úspešný, viedol by k totálnej a takmer trvalej kontrole nad týmto zariadením. ESET sa preto rozhodol investovať svoje zdroje do schopnosti chrániť svojich používateľov pred útokmi vykonávanými cez UEFI firmware.

Nedávne objavenie LoJaxu, prvého UEFI rootkitu nájdeného v reálnom kybernetickom útoku, ukazuje, že z UEFI rootkitov sa môže stať bežná súčasť pokročilých útokov.

Vďaka Kontrole UEFI sú našťastie naši zákazníci v skvelej pozícii zbadať takýto útok a chrániť sa pred ním.

V krátkosti, skenovanie firmwaru je jediný spôsob, ako v ňom nájsť zmeny. Z bezpečnostného pohľadu je pozmenený firmware extrémne nebezpečný. Ťažko sa totiž deteguje a je schopný prežiť bezpečnostné opatrenia ako napríklad reinštaláciu operačného systému a dokonca aj výmenu hard disku.

Firmware môže byť pozmenený počas výroby samotného počítača alebo počas jeho dopravy, prípadne ak sa k zariadeniu fyzicky dostane útočník, tak reflashovaním firmwaru. Ako však ukazuje nedávny výskum ESETu, môže sa tak stať aj pri sofistikovanom útoku škodlivým kódom.

Firmware väčšinou nie je prístupný na skenovanie bezpečnostnými riešeniami. Výsledkom je, že bezpečnostné riešenia sú vytvárané tak, aby skenovali len diskové polia a pamäť. Pre získanie prístupu k firmwaru je potrebný špecializovaný skener.

Kontrola UEFI je modul v ESET bezpečnostných riešeniach, ktorého jedinou funkciou je čítať obsah UEFI firmwaru a sprístupniť ho tak na kontrolu. Vďaka Kontrole UEFI teda môže bežné ESET skenovacie jadro kontrolovať a vynucovať zabezpečenie prostredia pred nabootovaním.

ESET bezpečnostné riešenia s podporou UEFI skenovacej technológie sú vytvorené tak, aby detegovali podozrivé alebo škodlivé komponenty vo firmwari a oznamovali ich používateľovi.

Keď je vo firmwari nájdený podozrivý alebo škodlivý komponent, používateľ s ESET riešením je na to upozornený, aby mohol učiniť potrebné kroky.

Podľa jedného scenára je všetko v poriadku – podozrivý komponent môže patriť napríklad anti-theft riešeniu, ktoré je vytvorené tak, aby bolo zo zariadenia čo najťažšie odstrániteľné.

Podľa iného scenára neexistuje legitímny dôvod na to, aby sa objavený neštandardný komponent aj naďalej nachádzal vo firmwari počítača. V takomto prípade musí dôjsť k náprave.

Žiaľ neexistuje jednoduchý spôsob, ako takúto hrozbu zo systému odstrániť. Vo väčšine prípadov musíte pre odstránenie škodlivého komponentu reflashovať firmware. Ak reflashovať UEFI nemôžete, jedinou alternatívou je výmena základnej dosky infikovaného systému.

ESET výskum je obšírne opísaný na blogu a v štúdii vypublikovanej na bezpečnostnom blogu firmy ESET – WeLiveSecurity.

ESET výskumníci, ktorých viedol Jean-Ian Boutin, skombinovali svoje hĺbkové znalosti o APT skupine Sednit, dáta z telemetrie detekčných systémov ESETu a predchádzajúce zistenia bezpečnostných výskumníkov z Arbor Networks. Výsledkom je, že objavili úplne novú sadu nástrojov určených na kybernetické útoky, vrátane prvého reálne objaveného UEFI rootkitu.

Sednit, ktorá funguje minimálne od roku 2004 a je taktiež známa pod menami APT28, STRONTIUM, Sofacy a Fancy Bear, je jedna z najaktívnejších APT (Advanced Persistent Threat) skupín. O týchto skupinách sa vie, že vykonávajú kybernetickú špionáž a iné kybernetické útoky zamerané na vysoko postavené ciele.

Sednit má byť za útokom na organizáciu Demokratickej strany, za únikom e-mailov Svetovej antidopingovej agentúry a za útokom na globálnu televíznu sieť TV5Monde.

Táto skupina má vo svojom arzenáli diverzifikovanú sadu nástrojov, niekoľko z nich dokumentovali ESET výskumníci v predchádzajúcej štúdii a taktiež v mnohých blogoch na WeLiveSecurity. Podľa výskumníka spločnosti ESET Jean-Ian Boutina, ktorý viedol výskum tejto Sednit kampane, objavenie UEFI rootkitu LoJax ukazuje, že APT skupina Sednit je ešte vyspelejšia a nebezpečnejšia.

ESET sa nevenuje žiadnemu geopolitickému zaradeniu zdroja tohto útoku. Ide o citlivú úlohu vyžadujúcu si seriózne vedecké schopnosti a je mimo kompetencií bezpečnostných výskumníkov ESETu. To, čo ESET výskumníci označujú za „Sednit skupinu“, je len sadou softvéru a pridruženej sieťovej infraštruktúrou bez prepojenia na špecifickú organizáciu.