Atklāta jauna spiegošanas kampaņa ar reti sastopama veida ļaunprogrammatūru — aparātprogrammatūras sāknēšanas lauzni.

2020. gada 7. oktobrī
Kaspersky pētnieki ir atmaskojuši sarežģītu mērķuzbrukumu spiegošanas kampaņu, kurā tiek izmantota ļoti reti sastopama veida ļaunprogrammatūra — aparātprogrammatūras sāknēšanas lauznis. Jauno ļaunprogrammatūru pamanīja Kaspersky vienotās paplašināmās aparātprogrammatūras saskarnes (UEFI) un ievadizvades pamatsistēmas (BIOS) skenēšanas tehnoloģija, kas nosaka zināmus un nezināmus apdraudējumus. Skenēšanas tehnoloģija identificēja iepriekš nezināmu ļaunprogrammatūru vienotajā paplašināmajā aparātprogrammatūras saskarnē, kas ir ikvienas modernas datorierīces neatņemama sastāvdaļa, tāpēc inficētajās ierīcēs šo ļaunprogrammatūru ir ļoti grūti atklāt un likvidēt. Kopā ar ļaunprogrammatūru izmantotais vienotās paplašināmās aparātprogrammatūras saskarnes sāknēšanas lauznis ir 2015. gadā noplūdinātā Hacking Team sāknēšanas laužņa pielāgota versija.

Vienotās paplašināmās aparātprogrammatūras saskarnes aparātprogrammatūra ir datora neatņemama sastāvdaļa, kas sāk darboties pirms operētājsistēmas un visām tajā instalētajām programmām. Ja vienotās paplašināmās aparātprogrammatūras saskarnes aparātprogrammatūra ir kaut kā pārveidota, lai ietvertu ļaunprātīgu kodu, šis kods tiks palaists pirms operētājsistēmas, padarot tā darbību potenciāli neredzamu drošības risinājumiem. Šis, kā arī fakts, ka pati aparātprogrammatūra atrodas zibatmiņas mikroshēmā atsevišķi no cietā diska, padara uzbrukumus vienotajai paplašināmajai aparātprogrammatūras saskarnei ārkārtīgi nenotveramus un paliekošus — aparātprogrammatūras infekcija būtībā nozīmē, ka ļaunprogrammatūras instalētais sāknēšanas lauznis paliks ierīcē neatkarīgi no tā, cik reižu tiek pārinstalēta operētājsistēma.

Kaspersky pētnieki atrada šādas kampaņā izmantotās ļaunprogrammatūras paraugu, kas izvietoja sarežģīta daudzpakāpju modulārā satvara, kurš iedēvēts par MosaicRegressor, variantus. Satvars tika izmantots spiegošanai un datu ievākšanai, un vienotās paplašināmās aparātprogrammatūras saskarnes ļaunprogrammatūra bija šīs jaunās, iepriekš nezināmās ļaunprogrammatūras viens no saglabāšanās paņēmieniem.

Atrasto vienotās paplašināmās aparātprogrammatūras saskarnes sāknēšanas laužņa komponentu pamatā lielā mērā bija „Hacking Team” izstrādātais sāknēšanas lauznis Vector-EDK, kura pirmkods tika noplūdināts internetā 2015. gadā. Visticamāk, noplūdinātais kods ļāva noziedzniekiem izveidot savu programmatūru ar niecīgiem izstrādes pūliņiem un pazeminātu atmaskošanas risku.

Uzbrukumi tika konstatēti ar „Firmware Scanner” palīdzību, kas tiek iekļauta Kaspersky izstrādājumos kopš 2019. gada sākuma. Šī tehnoloģija ir izstrādāta, lai noteiktu tieši tos apdraudējumus, kas slēpjas ievadizvades pamatsistēmas lasāmatmiņā, ieskaitot vienotās paplašināmās aparātprogrammatūras saskarnes aparātprogrammatūras attēlus.

Kaut gan nebija iespējams noteikt precīzu inficēšanas vektoru, kas ļāva uzbrucējiem pārrakstīt sākotnējo vienotās paplašināmās aparātprogrammatūras saskarnes aparātprogrammatūru, Kaspersky pētnieki ir izsecinājuši vienu iespēju, kā to varētu izdarīt, pamatojoties uz to, kas no noplūdinātajiem Hacking Team dokumentiem ir zināms par Vector-EDK. Tas, neizslēdzot citas iespējas, liek domāt, ka inficēšana var būt iespējama, fiziski piekļūstot upura datoram, piemēram, ar sāknējamu USB atslēgu, kas ietvertu īpašu atjaunināšanas utilītprogrammu. Pēc tam ļaunlāpītā aparātprogrammatūra atvieglotu Trojas zirga lejupielādētāja instalēšanu. Tā ir ļaunprogrammatūra, kas ļauj lejupielādēt jebkuru uzbrucēju vajadzībām piemērotu vērtumu, kad operētājsistēma ir palaista un darbojas.

Tomēr vairumā gadījumu MosaicRegressor komponenti tika piegādāti upuriem, izmantojot daudz mazāk sarežģītus pasākumus, piemēram, arhīvā kopā ar ēsmas datni paslēpta nometēja mērķpikšķerēšanas piegādi. Satvara daudzmoduļu struktūra ļāva uzbrucējiem noslēpt no analīzes plašāku satvaru un izvietot komponentus upuru datoros tikai pēc pieprasījuma. Inficētajā ierīcē sākotnēji ieinstalētā ļaunprogrammatūra ir Trojas zirgs lejupielādētājs, kas spēj lejupielādēt papildu vērtumus un citas ļaunprogrammatūras. Atkarībā no lejupielādētā vērtuma ļaunprogrammatūra var lejupielādēt vai augšupielādēt patvaļīgas datnes no/uz patvaļīgiem vietrāžiem URL un ievākt informāciju no upura datora.

Pamatojoties uz atrasto upuru piederību, pētnieki varēja noteikt, ka MosaicRegressor ir izmantots vairākos mērķuzbrukumos, kas vērsti pret diplomātiem un nevalstisko organizāciju dalībniekiem no Āfrikas, Āzijas un Eiropas. Daži uzbrukumi ietvēra mērķpikšķerēšanas dokumentus krieviski, bet citi bija saistīti ar Ziemeļkoreju un tika izmantoti par ēsmu ļaunprogrammatūras lejupielādei.

Lai nodrošinātu aizsardzību pret MosaicRegressor un tamlīdzīgiem apdraudējumiem, Kaspersky iesaka rīkoties šādi:

  • Nodrošināt sava drošības vadības centra darbiniekiem piekļuvi jaunākajai informācijai par apdraudējumiem[1];
  • Lai incidentus pamanītu, izmeklētu un laikus novērstu galiekārtu līmenī, ieviest noteikšanas un reaģēšanas risinājumus galiekārtām[2].
  • Nodrošināt darbiniekiem kiberdrošības higiēnas pamatu mācības[3], jo daudzi mērķuzbrukumi sākas ar pikšķerēšanu vai citiem sociālās inženierijas paņēmieniem.
  • Izmantot spēcīgu galiekārtu drošības izstrādājumu, kas var noteikt aparātprogrammatūras izmantošanu[4].
  • Regulāri atjaunināt vienotās paplašināmās aparātprogrammatūras saskarnes aparātprogrammatūru un tikai ar uzticamu piegādātāju aparātprogrammatūru.

Par Kaspersky

Kaspersky ir starptautisks kiberdrošības uzņēmums, kas dibināts 1997. gadā. Kaspersky dziļā draudu pazīšana un drošības zināšanas nepārtraukti pārtop inovatīvos drošības risinājumos un pakalpojumos, lai aizsargātu uzņēmumus, izšķirīgi svarīgas infrastruktūras, valdības un patērētājus visā pasaulē. Uzņēmuma visaptverošajā drošības klāstā ietilpst labākā galiekārtu aizsardzība un vairāki specializēti drošības risinājumi un pakalpojumi cīņai ar sarežģītiem un mainīgiem digitālajiem apdraudējumiem. Vairāk nekā 400 miljonu lietotāju ir aizsargāti ar Kaspersky tehnoloģijām, un mēs palīdzam 250 tūkstošiem korporatīvo klientu aizsargāt to, kas viņiem ir vissvarīgākais. Uzziniet vairāk vietnē www.kaspersky.com.

 

Kaspersky
Par šo rakstu nav saņemts neviens komentārs.
Pievienot komentāru
Vārds:
e-pasts:



Aktuālās ziņas

mēbeļu izgatavošana
apdrošināšana  octa  dziļurbums