Výskumníci spoločnosti ESET odhalili UEFI bootkit ESPecter, ktorého hlavným cieľom je špionáž

ESET odhalil doposiaľ nezdokumentovaný bootkit ESPecter, ktorý kompromituje UEFI bootovací proces tým, že upraví UEFI aplikáciu (Windows Boot Manager) zodpovednú za spustenie operačného systému. Týmto si zabezpečí prežitie na infikovanom zariadení a získava plnú kontrolu nad načítaním systému, ktorú využíva na načítanie škodlivého nepodpísaného ovládača a následné vykonávanie špionážnych aktivít.

ESPecter je zatiaľ len druhou odhalenou UEFI hrozbou, ktorá pretrváva na EFI System Partition (ESP) a dokazuje, že útočníci sa už v reálnych útokoch nespoliehajú len na modifikovanie SPI flash ako to bolo v prípade Lojaxu, ktorý ESET objavil v roku 2018.

ESET objavil ESPecter na infikovanom zariadení spolu s komponentom na krádež dokumentov a zaznamenávanie stlačení klávesnice (keylogger), z čoho výskumníci usudzujú, že sa využíva najmä na špionáž. „Zaujímavosťou je, že počiatky tejto hrozby sa objavujú už v roku 2012, aj keď v minulosti sa zameriavala na systémy využívajúce BIOS. Aj napriek dlhej histórii ESPecter-u zostali jeho operácie a najmä jeho upgrade na UEFI nepovšimnuté a doteraz nezdokumentované,“ hovorí výskumník spoločnosti ESET Anton Cherepanov, ktorý objavil a analyzoval túto hrozbu spolu s výskumníkom Martinom Smolárom.   

„V uplynulých rokoch sme videli viacero Proof of Concept príkladov, uniknutých dokumentov a dokonca uniknutých zdrojových kódov, ktoré naznačovali reálne využitie UEFI malvéru útočníkmi, či už vo forme infiltrácií do SPI flash alebo ESP. Aj napriek týmto nepriamym dôkazom sme však zatiaľ zaznamenali len štyri prípady takéhoto škodlivého kódu, a to vrátane ESPecter-u,“ dopĺňa Cherepanov.

Zaujímavosťou je, že od roku 2012 sa komponenty malvéru takmer nezmenili a rozdiely medzi verziami z rokov 2012 a 2020 sú menej výrazné, ako by sa dalo očakávať. Najzásadnejšou zmenou tak ostáva preorientovanie bootkitu ESPecter zo zastaraného BIOSu na jeho nástupcu UEFI.

Druhou fázou útoku malvérom ESPecter je spustenie backdooru, ktorý podporuje veľké množstvo príkazov a má rozličné funkcie na automatické vynášanie dát, krádeže dokumentov, keylogging a monitorovanie obete pravidelným vytváraním snímok obrazovky. Všetky zozbierané dáta sú uložené na skrytom úložisku.

„ESPecter ukazuje, že útočníci sa pri hrozbách, ktoré cielia na počítač ešte pred spustením operačného systému, nespoliehajú už len na modifikáciu samotného UEFI firmvéru, ako to bolo pri Lojaxe. Napriek existujúcim bezpečnostným mechanizmom ako UEFI Secure Boot investujú svoj čas do vytvárania škodlivého kódu, ktorý tieto bezpečnostné mechanizmy dokážu jednoducho zablokovať, ak by boli zapnuté a správne nakonfigurované.“

Na ochranu pred bootkitom ESPecter a jemu podobným hrozbám odporúča ESET používateľom, aby sa riadili týmito jednoduchými pravidlami:

• vždy používajte najnovšiu verziu firmvéru
• ubezpečte sa, že máte správne nakonfigurovaný systém a zapnutý Secure Boot
• Nakonfigurujte si Správu privilegovaných účtov, aby ste útočníkom zamedzili prístup k privilegovaným účtom, ktoré sú potrebné na inštaláciu bootkitov

Viac technických informácií sa dočítate v našom špeciálnom blogu.