ESET opdager det første UEFI-rootkit-cyberangreb nogensinde

Er det sandt, at ESET er den eneste leverandør af sikkerhedsløsninger til slutpunkter, hvis kunder kan få deres UEFI-firmware scannet for ondsindede komponenter? Hvis dette er tilfældet, hvorfor har ESET's konkurrenter så ikke etableret en sådan teknologi?

ESET er den eneste leverandør blandt de 20 førende leverandører af sikkerhedsløsninger til slutpunkter ifølge omsætning, der forsyner brugerne med en UEFI-scanningsteknologi, som er implementeret i løsningerne til beskyttelse af slutpunkter. Måske har visse andre leverandører teknologier med "UEFI" i deres titel, men deres mål er ikke det samme som den funktion, en ægte firmwarescanner bør udføre.

Med hensyn til årsagen til, at ESET er den eneste leverandør på sit område, der sikrer sine kunders UEFI-firmware, illustrerer dette ESET's ansvarlige tilgang til beskyttelse. Ja, angreb, der faciliteres af UEFI-firmware, er sporadiske og har indtil videre for det meste været begrænset til fysisk manipulation af målcomputeren. Men hvis et sådant angreb lykkes, ville det føre til total kontrol over maskinen med næsten fuldstændig persistens. Så ESET har besluttet at investere sine ressourcer i evnen til at beskytte sine kunder mod angreb, der faciliteres af UEFI-firmware.

Den nylige opdagelse af LoJax, som er det første UEFI-rootkit opdaget i et ægte computerangreb nogensinde, viser, at UEFI-rootkits desværre kan blive en regelmæssig del af avancerede computerangreb.

Heldigvis er vores kunder takket være ESET UEFI Scanner i en fremragende position til at spotte sådanne angreb og forsvare sig mod dem.

Kort sagt er scanning af firmwaren den eneste måde at spotte ændringer i den. Fra en sikkerhedsmæssig synsvinkel er den beskadigede firmware ekstremt farlig, da den er svær at opdage og i stand til at overleve sikkerhedsforanstaltninger såsom geninstallation af operativsystem og endda en udskiftning af harddisk.

Firmware kan blive kompromitteret på dette trin i fremstillingen af computeren eller under forsendelsen eller via geninstallation af firmwaren, hvis angriberen får fysisk adgang til enheden, men også som den seneste ESET-forskning viser via et avanceret malwareangreb.

Normalt har sikkerhedsløsninger ikke adgang til at scanne firmwaren, og derfor er sikkerhedsløsninger kun designet til at scanne diskdrev og hukommelse. For at få adgang til firmwaren skal der bruges et specialiseret værktøj – en scanner.

"UEFI-scanneren" er et modul i ESET-sikkerhedsløsninger, hvis eneste funktion er at læse indholdet af UEFI-firmwaren og gøre den tilgængelig for inspektion. Derfor gør ESET UEFI Scanner det muligt for ESET's almindelige scanningsprogram at kontrollere og håndhæve sikkerheden i førbootmiljøet.

Samlet set er ESET's sikkerhedsløsninger med kapaciteter, der boostes af UEFI-scanningsteknologien, designet til at detektere mistænkelige eller ondsindede komponenter i firmwaren og rapportere dem til brugeren.

Når en mistænkelig eller ondsindet komponent detekteres i firmwaren, får brugeren besked, så de rigtige foranstaltninger kan træffes.

I ét scenario er der intet galt med detektionerne – den mistænkelige komponent kan f.eks. tilhøre en antityveriløsning, der er designet til højst mulig persistens i systemet.

I et andet scenario er der derimod ingen legitim grund til den opdagede ikke-standardkomponents tilstedeværelse i firmwaren. I så fald skal der træffes afhjælpende foranstaltninger.

Desværre er der ingen nemme måder at rense systemet for en sådan trussel. Normalt skal firmwaren geninstalleres for at fjerne den ondsindede komponent. Hvis geninstallation af UEFI'en ikke er muligt, er den eneste anden mulighed at skifte bundkortet med det inficerede system.

ESET's opdagelse er udførligt beskrevet i sin helhed i et blogindlæg og en hvidbog, der er udgivet på ESET's sikkerhedsblog, WeLiveSecurity.

Kort sagt har ESET's forskere, ledet af Jean-Ian Boutin, ESET-seniorforsker, udført et stort forskningsarbejde, der kombinerer deres indgående kendskab til Sednit APT-gruppen, telemetridata fra ESET's detektionssystemer og en tidligere opdagelse af deres kolleger på Arbor Network. Som resultat har de opdaget et helt nyt sæt værktøjer til cyberangreb, herunder det første "in-the-wild" UEFI-rootkit.

Sednit, der mindst har virket siden 2004 og desuden er kendt som APT28, STRONTIUM, Sofacy og Fancy Bear, er en af de mest aktive APT-grupper (Advanced Persistent Threat). Sådanne grupper er kendt for at udføre cyberspionage og andre cyberangreb på højt profilerede mål.

Angrebet mod den demokratiske nationale komité, der ramte det amerikanske valg i 2016, hacking af det globale tv-netværk TV5Monde, maillækagen hos World Anti-Doping Agency og mange andre menes at være udført af Sednit.

Denne gruppe har et diversificeret sæt malwareværktøjer til rådighed, og ESET-forskere har dokumenteret flere eksempler af dem i deres tidligere hvidbog samt i talrige blogindlæg om WeLiveSecurity. Opdagelsen af LoJax UEFI-rootkit viser, at Sednit APT-gruppen er endnu mere avanceret og farlig, end man tidligere har troet, ifølge Jean-Ian Boutin, ESET-seniorforsker af malware, der har ledt forskningen i den seneste Sednit-kampagne.

Med hensyn til tillæggelse udfører ESET ikke nogen geopolitisk tillæggelse. Gennemførelse af tillæggelse på en seriøs, videnskabelig måde er en kompliceret opgave, som ikke skal udføres af ESET-sikkerhedsforskerne. Det, som ESET-forskere kalder "Sednit-gruppen", er blot et stykke software og den relaterede netværksinfrastruktur uden nogen sammenhæng med en specifik organisation.