Меню
Поиск

ESET виявила раніше невідомого буткіта UEFI

6 октябрь, 2021 - 10:45

ESET виявила раніше невідомого буткіта UEFI

Компанія ESET повідомила про виявлення раніше невідомого буткіта UEFI, який зберігається в системному розділі EFI. Для завантаження свого непідписаного драйвера загроза може обходити примусове виконання підписів драйверів у Windows, що полегшує шпигунську діяльність зловмисників.

ESPecter ― другий виявлений буткіт UEFI. Він показує, що реальні загрози UEFI не обмежуються впровадженням флеш-модулів SPI, які використовувались у Lojax.

Варто зазначити, що ESPecter був виявлений на скомпрометованому пристрої разом із компонентом, який у сеансі користувача володіє можливостями зчитування натискань клавіатури та викрадення документів. Саме тому дослідники ESET вважають, що ESPecter використовується переважно для шпигунства.

«Ми відстежували цю загрозу щонайменше до 2012 року. Варто зазначити, що раніше вона працювала як буткіт для систем із застарілими версіями BIOS. Незважаючи на тривале існування ESPecter, її функціонування та оновлення не були зафіксовані до цього часу», ― коментують дослідники ESET.

Нова загроза має можливості зчитування натискань клавіатури і викрадення документів. ESET.
«За останні кілька років ми виявили підтверджені приклади буткітів UEFI, витоки документів та вихідного коду, що свідчить про існування справжнього шкідливого програмного забезпечення для UEFI у вигляді впроваджених флеш-модулів SPI або модулів ESP. Незважаючи на це, у реальному середовищі було виявлено тільки чотири випадки шкідливого ПЗ для UEFI, включно з ESPecter», ― пояснюють в ESET.

Компоненти шкідливої програми практично не змінилися протягом років, а відмінності між версіями 2012 та 2020 років досить незначні. Після всіх змін зловмисники, які використовують ESPecter, ймовірно, вирішили перенести свої шкідливі програми із застарілих систем BIOS на сучасні системи UEFI.

Серед компонентів ESPecter ― бекдор, який містить великий набір команд та різні можливості автоматичного перехоплення даних, включно з викраденням документів, зчитуванням натискань клавіатури та періодичним створенням знімків екрана жертви. Усі зібрані дані зберігаються у прихованому каталозі.

«Зловмисники покладаються на впровадження модулів у вбудоване програмне забезпечення UEFI, щоб залишатися непоміченими в операційній системі. Незважаючи на механізми безпеки, такі як UEFI Secure Boot, кіберзлочинці створюють шкідливі програми, які можна легко заблокувати за допомогою таких механізмів за умови їх увімкнення та правильного налаштування», ― додають дослідники ESET.

Щоб захиститися від ESPecter та подібних загроз, спеціалісти ESET рекомендують користувачам дотримуватись наступних правил:

завжди використовувати актуальну версію мікропрограми від виробника апаратного забезпечення;
переконатися у правильності налаштування системи та увімкнути Secure Boot;
налаштувати «Управління привілейованими обліковими записами», щоб запобігти доступу зловмисників до акаунтів з розширеними правами, які необхідні для встановлення буткіта.