ESET ontdekt de allereerste cyberaanval met UEFI-rootkit

Klopt het dat ESET de enige leverancier van eindpuntbeveiligingsoplossingen is die zijn klanten de mogelijkheid biedt hun UEFI-firmware op kwaadaardige componenten te laten scannen? Als dat zo is, hoe komt het dan dat de concurrenten van ESET nog niet zo'n technologie hebben ingevoerd?

ESET is de enige leverancier in de top-20 van verkopers van eindpuntbeveiligingsoplossingen (geklasseerd op basis van inkomsten) die in zijn eindpuntbeveiligingsoplossingen UEFI-scantechnologie aanbiedt. Terwijl sommige andere verkopers over bepaalde technologieën beschikken met 'UEFI' in de naam, vervullen deze technologieën niet de functies van een authentieke firmwarescanner.

Het feit dat ESET als enige verkoper de UEFI-firmware van zijn klanten beschermt, illustreert de verantwoordelijke manier waarop ESET beveiliging benadert. Het klopt dat aanvallen op basis van UEFI-firmware slechts sporadisch plaatsvinden en tot nog toe bleven die aanvallen beperkt tot het fysieke knoeien met de getroffen computer. Als zo'n aanval zou slagen, zou de computer echter volledig worden overgenomen. ESET besliste daarom om te investeren in de mogelijkheid om zijn klanten te beschermen tegen aanvallen op basis van UEFI-firmware.

De recente ontdekking van LoJax, de allereerste UEFI-rootkit die in een echte computeraanval werd gedetecteerd, toont echter aan dat UEFI-rootkits in de toekomst regelmatig onderdeel van geavanceerde computeraanvallen zouden kunnen worden.

Gelukkig zijn onze klanten dankzij de ESET UEFI Scanner uitstekend geplaatst om zulke aanvallen te spotten en zich ertegen te beschermen.

Eenvoudig gesteld is de firmware scannen de enige manier om wijzigingen erin op te sporen. Op veiligheidsvlak is de beschadigde firmware uitermate gevaarlijk. In de praktijk zijn dergelijke aanvallen moeilijk te detecteren en bovendien overleven ze de veiligheidsmaatregelen die bij een aanval worden getroffen (bv. nieuwe installatie van het besturingssysteem of vervanging van de harde schijf).

Firmware kan in gevaar worden gebracht tijdens de productie of de verzending van de computer of via het reflashen van de firmware als de aanvaller fysiek toegang krijgt tot het toestel, maar ook - zoals uit recent onderzoek van ESET bleek - via een geavanceerde malwareaanval.

Veiligheidsoplossingen hebben meestal geen toegang tot de firmware om deze te scannen. Daarom zijn ze alleen ontworpen om schijven en geheugens te scannen. Om toegang te krijgen tot de firmware, is een gespecialiseerde tool - een scanner - nodig.

De UEFI-scanner is een module die in veiligheidsoplossingen van ESET is opgenomen met als enige functie de inhoud van de UEFI-firmware te lezen en ze voor inspectie toegankelijk te maken. Met de ESET UEFI Scanner kan de gewone scanmotor van ESET dus de veiligheid van de omgeving vóór het opstarten controleren en afdwingen.

Kortom: de beveiligingsoplossingen van ESET hebben extra mogelijkheden dankzij de UEFI-scantechnologie. Ze zijn ontworpen om verdachte of kwaadaardige componenten in de firmware te detecteren en te melden bij de gebruiker.

Zodra een verdachte of kwaadaardige component in de firmware wordt ontdekt, wordt de gebruiker daarvan op de hoogte gebracht, zodat hij de juiste maatregelen kan treffen.

In sommige gevallen is er niets mis met de gedetecteerde componenten. De verdachte component behoort bijvoorbeeld toe aan een diefstalbeveiligingsoplossing die werd ontworpen voor een maximale persistentie in het systeem.

In andere gevallen bestaat er echter geen legitieme reden voor de aanwezigheid van de niet-standaard component die bij de scan in de firmware werd ontdekt. In dat geval moet actie worden ondernomen.

Helaas bestaat er geen gemakkelijke manier om zo'n bedreiging uit het systeem te verwijderen. In de meeste gevallen moet de firmware opnieuw worden geflasht om de kwaadaardige component te verwijderen. Als het reflashen van de UEFI geen optie is, is het enige alternatief de vervanging van het moederbord van het geïnfecteerde systeem.

De ontdekking van ESET wordt uitvoerig beschreven in een blogpost en een witboek, die werden gepubliceerd op WeLiveSecurity, de veiligheidsblog van ESET.

Kortom, de onderzoekers van ESET leverden prachtig werk onder leiding van Jean-Ian Boutin, Senior Researcher bij ESET. Ze combineerden hun grondige kennis van de Sednit APT-groep met telemetriegegevens van detectiesystemen van ESET en een vorige ontdekking door hun collega's bij Arbor Network. Op basis hiervan ontdekten ze een compleet nieuwe set tools voor cyberaanvallen, inclusief de eerste 'in-the-wild' UEFI-rootkit.

Sednit, dat al minstens sinds 2004 actief is en ook bekend is onder de namen APT28, STRONTIUM, Sofacy en Fancy Bear, is een van de actiefste APT-groepen (Advanced Persistent Threat). Van zulke groepen is bekend dat ze cyberspionage en andere cyberaanvallen plegen op opvallende doelwitten.

De hack bij het Democratic National Committee die de verkiezingen van 2016 in de VS beïnvloedde, de hack bij het wereldwijd actieve televisienet TV5Monde, het maillek bij het World Anti-Doping Agency en nog veel andere aanvallen worden aan Sednit toegeschreven.

Deze groep beschikt over een uitgebreid arsenaal met een gediversifieerde set malwaretools, waarvan vele door onderzoekers bij ESET werden gedocumenteerd in hun vorig witboek en in talrijke blogposts op WeLiveSecurity. De ontdekking van de LoJax UEFI-rootkit toont aan dat de Sednit APT-groep nog geavanceerder en gevaarlijker is dan vroeger werd aangenomen, meent Jean-Ian Boutin, de Senior Malware Researcher bij ESET die het onderzoek over de recente Sednit-campagne leidde.

ESET spreekt zich in dit verband niet uit over de geopolitieke aspecten van de bedreiging. Verantwoordelijken van bedreigingen op een ernstige en wetenschappelijke manier aanwijzen is een delicate taak die buiten de opdracht van de veiligheidsonderzoekers bij ESET ligt. Wat de onderzoekers bij ESET de 'Sednit-groep' noemen, is slechts een softwareset en de bijbehorende netwerkinfrastructuur, zonder dat daarbij een link wordt gelegd met een specifieke organisatie.