ESET odhalil první kybernetický útok zneužívající UEFI rootkit

UEFI Rootkits – Od teorie až po skutečnou hrozbu

UEFI rootkits image

UEFI rootkity, svatý grál hackerů, byly dlouho obávanou hrozbou, nicméně v reálném světe IT bezpečnosti doposud nebyly zaznamenány, dokud ESET neodhalil kampaň nechvalně známé hackerské skupiny APT Group. Některé UEFI rootkity byly prezentovány na bezpečnostních konferencích k potvrzení teorie bezpečnostní hrozby a některé jsou k dispozici vládním agenturám. Nicméně do srpna 2018 nebylo prozatím detekováno žádné zneužití UEFI rootkitu jako skutečný kybernetický útok.

Škodlivou kampaň označila společnost ESET názvem LoJax. Detailnější informace o kampani jsou k nahlédnutí v odborné zprávě. Více informací o bezpečnosti UEFI jsou dostupné na bezpečnostním blogu ESETu WeLiveSecurity (EN).

Bezpečnostní rizika firmwaru, UEFI, rootkitů

Počítačový kód, který se spouští ihned po zapnutí počítače a má celkový vliv na operační systém (a tedy na celé zařízení), se nazývá firmware. Standardně se chování firmwaru nazývá UEFI (jeho předchůdce se nazývá BIOS). Firmware a UEFI jsou často spojovány a jednotně označovány jako UEFI firmware.

Rootkit je nebezpečný malware určený k získání „nelegálního“ a trvalého přístupu, který není za standardních podmínek povolen. Obvykle také rootkit maskuje svou existenci nebo výskyt jiného malwaru.

Zjistěte více

UEFI Rootkit je ukrytý ve firmwaru a existují dva důvody, proč je tento typ rootkitu extrémně nebezpečný. Zaprvé, UEFI rootkit je velmi persistentní, což mu umožňuje setrvat v zařízení i v případě restartování počítače, opětovné instalaci operačního systému, a dokonce i pokud dojde k výměně pevného disku. Za druhé, jsou náročné na odhalení, protože firmware není obvykle kontrolován na výskyt škodlivého kódu. Bezpečnostní řešení ESET je výjimkou, jelikož poskytuje vyhraněnou vrstvu ochrany s názvem ESET UEFI Scanner.

Firmware, UEFI, rootkits image

Škodlivý UEFI firmware je noční můrou pro každého, kdo se pohybuje v oblasti IT bezpečnosti - velmi škodlivý a těžko rozpoznatelný.

Jean-Ian Boutin, Hlavní bezpečnostní analytik, ESET

Jak ESET chrání před škodlivým UEFI firmwarem

ESET je jediným významným poskytovatelem bezpečnostního řešení, který přidává vyhraněnou ochrannou vrstvu ESET UEFI Scanner, která slouží k detekování škodlivého kódu ve firmwaru.

ESET UEFI Scanner je nástroj umožňující skenování firmwaru. Následně je firmwarový kód analyzován prostřednictvím technologií pro detekci malwaru. Zákazníci ESETu mají možnost provádět sken firmwaru v pravidelných intervalech nebo na vyžádání. Většina detekcí je označena jako potenciálně nebezpečné aplikace, což je kód, který dokáže převzít kontrolu nad systémem a zneužít jej. Stejné kódy mohou být legitimní, pokud uživatel nebo administrátor ví o jeho přítomnosti. Škodlivý je kód v případě, že byl nainstalován bez jeho vědomí a souhlasu.

Zjistěte více

Od zjištění prvního kybernetického útoku využívající UEFI rootkit, jsou zákazníci ESETu vybaveni funkcí ESET UEFI Scanner a jsou schopni detekovat také modifikace škodlivého kódu. Díky tomu se dostávají do pozice, kdy jsou schopni čelit případným útokům.   

Navrácení počítače do původního stavu je často mimo dosah běžného uživatele. V zásadě pomáhá reinstalace čistým firmwarem. Pokud to není možné, poslední možností zůstává výměna základní desky počítače.

Často kladené dotazy

ESET je jediným dodavatelem zabezpečení koncových zařízení, který chrání proti kybernetickým útokům využívajících Rootkit UEFI – je to pravda?

Je pravdou, že ESET je jediným dodavatel zabezpečení pro koncová zařízení, jehož uživatelé mohou skenovat UEFI firmware proti škodlivému kódu? Pokud ano, jaký je důvodu, že konkurenti ESETu nedisponují touto technologií?

ESET je jediným dodavatel mezi TOP 20 poskytovateli zabezpečení koncových zařízení, který poskytuje svým uživatelům technologii umožňující skenování UEFI implementovanou přímo v antivirovém řešení. Zatímco někteří dodavatelé mohou poskytovat technologie s názvem „UEFI“, jejich účel se liší od funkce, kterou by měl provádět autentický sken firmwaru. 

Důvod, proč je ESET jediným dodavatelem zajišťující ochranu firmware UEFI svým zákazníkům, je takový, že si společnost ESET zakládá na zodpovědném přístupu k ochraně. Ano, útoky zaměřené na firmware UEFI jsou sporadické a doposud byly limitovány potřebou fyzické manipulace s koncovým zařízením. Pokud by takový útok uspěl, vedlo by to k úplnému převzetí moci nad počítačem s téměř permanentním trváním. Společnost ESET se proto rozhodla investovat své zdroje do schopnosti chránit své zákazníky před útoky na UEFI firmware.

Nedávný objev LoJaxu, úplně prvního reálného kybernetického útoku UEFI Rootkit, bohužel dokazuje, že se EUFI rootkity mohou stát běžnou součástí pokročilých počítačových útoků.

Naštěstí, díky funkci ESET UEFI Scanner, mají naši zákazníci vynikající pozici při detekování takovýchto útoků a obraně proti nim.

Proč je důležité skenovat počítačový firmware?

Ve zkratce, skenování firmwaru je jedinou možností, jak v něm zjistit probíhající změny. Z bezpečnostního hlediska je poškozený firmware extrémně nebezpečný, náročný na detekci a je schopen čelit bezpečnostním opatřením, jako reinstalace operačního systému nebo dokonce výměna pevného disku počítače.  

Firmware může být poškozen již ve fázi výroby počítače, při jeho přepravě nebo prostřednictvím obnovení firmwaru, pokud útočník získá fyzický přístup k zařízení. Mimo to, jak dokládá nedávný průzkum ESETu, je možné napadnout firmware pomocí sofistikovaného útoku malwaru. 

Jak ESET UEFI Scanner funguje?

Obvykle není v bezpečnostních řešeních dostupné provádět skenování firmwaru, a proto jsou bezpečností řešení navržena pouze pro kontrolu diskových jednotek a paměti. Pro přístup k firmwaru je zapotřebí disponovat specializovaným nástrojem, tzv. skenerem.

„UEFI skener“ je modul v bezpečnostních řešeních ESET, jehož jediným úkolem je číst obsah firmwaru UEFI a umožnit jeho zpřístupnění pro kontrolu. Tímto umožňuje ESET UEFI Scanner pravidelným skenovacím nástrojům kontrolovat a vynucovat bezpečnost ve spouštěcím prostředí.

Stručně řečeno, bezpečností řešení ESET, s možností technologie UEFI skenování, jsou navržena tak, aby detekovala podezřelé nebo nežádoucí komponenty ve firmwaru a oznámila je uživateli.

Jak opravit váš UEFI firmware?

Jakmile dojde k detekci podezřelých nebo škodlivých změn ve firmwaru, je uživatel upozorněn a může podniknout správné kroky. 

U prvního scénáře není nic špatného na detekci změn – podezřelá součást může patřit např. k řešení proti krádeži (Anti-theft), které je navrženo pro maximální možnou perzistenci daného systému.

U jiného scénáře však neexistuje legitimní důvod pro zjištěnou přítomnost nestandardních změn ve firmwaru. V takovém případě je nutné provést nápravu. 

Bohužel neexistuje jednoduchý způsob čištění systému od takovéto hrozby. Za normálních okolností je třeba firmware přehrát, aby došlo k odstranění škodlivých komponentů. Pokud přehrání není možné, jedinou alternativou je vyměnit základní desku infikovaného systému.

Jak bezpečnostní výzkumníci ESETu odhalili kampaň využívající UEFI rootkit?

Objev ESETu je podrobněji popsán v příspěvku na blogu a odborné zprávě publikované na bezpečnostním blogu ESET, WeLiveSecurity.

Stručně řečeno, výzkumní pracovníci společnosti ESET, vedeni vědeckým pracovníkem Jean-lan Boutinem, odvedli skvělou výzkumnou práci kombinující jejich hluboké znalosti o skupině Sednit APT, telemetrické údaje z detekčních systémů ESET a předchozí zjištění jejich vrstevníků Arbor Network. Ve výsledku objevili zcela nové nástroje kybernetických útoků, včetně prvního rootkitu UEFI.

Sednit APT Group – co je to?

Sednit, fungující nejméně od roku 2004 je také známý jako APT28, STRONTIUM, Sofacy a Fancy Bear, představuje jednu z nejaktivnějších skupin APT (Advanced Persistent Threat). Takové skupiny jsou známy tím, že provádějí kybernetické špionáže a útoky na vysoko profilované cíle.

Hackerský útok na Demokratický národní výbor, který postihl americké volby roku 2016, hacknutí globální televizní sítě TV5Monde, únik emailů Světové antidopingové agentury a mnoho dalších jsou považovány za práci Sednitu. 

Tato skupina má ve svém arzenálu různorodou sadu nástrojů pro malware. Některé případy dokumentovali vědci ESETu v předchozí odborné zprávě a v mnoha webových příspěvcích na WeLiveSecurity. Objev UEFI rootkitu LoJax potvrzuje, že skupina Sednit APT je ještě pokročilejší a nebezpečnější, než se původně zdálo, uvedl Jean-lan Boutin, vědecký pracovník ESETu, který vedl výzkum nedávné kampaně Sednit. 

ESET nevykonává žádné geopolitické přiřazení. Toto přiřazení je velice vážný a citlivý úkol, který nespadá do pravomoci vědeckých pracovníků ESET. Co vědci ESETu nazývají „skupina Sednit“ je pouze soubor softwaru a související síťové infrastruktury bez jakéhokoliv vztahu s nějakou konkrétní organizací. 

Zůstaňte krok napřed s ESETem

We Live Security blog icon

Blog Dvojklik.cz

Český blog společnosti ESET o informační bezpečnosti.

ESET Technology icon

ESET Technologie

Vícevrstvá ochrana kombinující strojové učení, odborníky a global threat intelligence.