Control-Alt-bez Delete: atklāta kiberspiegošanas kampaņa ar aparātprogrammatūras ļaunatūras izmantošanu

14. oktobris 2020
Kaspersky pētnieki publiskojuši kiberspiegošanas kampaņu, kas bez visa cita vērsta arī pret diplomātiem Eiropā. Kampaņā tiek izmantots ļoti reti sastopams ļaunprogrammatūras veids, kas pazīstams kā aparātprogrammatūras sāknēšanas rīks (bootkit). Jauno ļaunprogrammatūru atklāja Kaspersky UEFI/BIOS skenēšanas tehnoloģija, kas ir iekļauta uzņēmuma produktos un konstatē gan zināmus, gan nezināmus apdraudējumus.

Kaspersky UEFI/BIOS skenēšanas tehnoloģija identificēja iepriekš nezināmu ļaunprogrammatūru Vienotajā paplašināmajā aparātrprogrammatūras interfeisā (Unified Extensible Firmware Interface — UEFI), kas ir jebkuras modernas datoru ierīces būtiska sastāvdaļa un kurā launprogrammatūra ir ļoti grūti atklājama un izvācama. UEFI rīks ir 2015. gadā noplūdinātā Hacking Team sāknēšanas rīka pielāgota versija.

UEFI aparātprogrammatūra ir būtiska datora sastāvdaļa, kas sāk darboties pirms operētājsistēmas un visām tajā instalētajām programmām. Ja UEFI aparātprogrammatūra tiek pārveidota un ja tajā iekļauj kaitīgu kodu, šis kods tiks palaists pirms operētājsistēmas, padarot koda darbību potenciāli nepamanāmu operētājsistēmas drošības risinājumiem. Tas, kā arī fakts, ka pati aparātprogrammatūra atrodas zibatmiņas mikroshēmā atsevišķi no cietā diska, padara pret UEFI vērstus uzbrukumus ļoti grūti pamanāmus, jo aparātprogrammatūras inficēšana būtībā nozīmē, ka neatkarīgi no tā, cik reižu pārinstalēsiet operētājsistēmu, ļaunprogrammatūra tik un tā paliks ierīcē.

Kaspersky pētnieki atrada šādas ļaunprogrammatūras paraugu, kas tika izmantota kādā kampaņā, kuras ietvaros datoros tika ievietota sarežģīta, par MosaicRegressor dēvēta modulāra daudzpakāpju struktūra. Minētā struktūra tika izmantota spiegošanai un datu vākšanai, un UEFI ļaunprogrammatūra bija viens no jaunās, iepriekš nezināmās ļaunprogrammatūras noturības garantēšanas līdzekļiem.

Atklāto UEFI ļaunprogrammatūras komponentu pamatā lielā mērā bija Hacking Team izstrādātais "Vector-EDK", kura pirmkodu noplūdināja internetā 2015. gadā. Noplūdinātais kods, visticamāk, ļāvis vainīgajiem viegli un bez liela riska izveidot pašiem savu programmatūru.

Uzbrukumus konstatēja ar aparātprogrammatūras skenera Firmware Scanner palīdzību, kurš Kaspersky produktos ir iekļauts kopš 2019. gada sākuma. Šī tehnoloģija izstrādāta, lai noteiktu apdraudējumus, kas slēpjas ROM BIOS mikroshēmās, ieskaitot UEFI aparātprogrammatūras tēlus.