UEFI-rootkitit – teoriasta todelliseksi uhaksi
UEFI-rootkit, hakkereiden Graalin malja, oli pitkään pelätty, mutta sitä ei koskaan tavattu käytännössä – kunnes ESET löysi pahamaineisen Sednit APT-ryhmän kampanjan. Joitakin UEFI-rootkitejä oli esitetty turvallisuuskonferensseissa konseptin todisteena ja toisten tiedetään olevan valtion virastojen käytettävissä. Elokuuhun 2018 mennessä UEFI-rootkitejä ei oltu kuitenkaan havaittu todellisissa verkkohyökkäyksissä.
Edellä mainittu Sednit-kampanja käytti UEFI-rootikitia, jolle ESETin tutkijat antoivat nimeksi LoJax. ESETin analyysi kampanjasta on kuvattu yksityiskohtaisesti tutkimuksessa "LoJax: Ensimmäinen luonnosta löytynyt UEFI-rootkit, Sednit-ryhmän kautta”. Lisätietoa UEFI-aiheisesta turvallisuudesta on ESETIN WeLiveSecurity-turvallisuusblogissa.
Laiteohjelmiston turvallisuusriskit, UEFI, rootkitit
Tietokonekoodi, joka käynnistyy heti tietokoneen käynnistämisen jälkeen ja joka hallitsee täysin koko tietokoneen käyttöjärjestelmää (ja siten koko laitetta) on nimeltään laiteohjelmisto. Standardi – jota voidaan ajatella joukkona sääntöjä – laiteohjelmiston käyttäytymiseen liittyen on nimeltään UEFI (sen edeltäjän nimi oli BIOS). Laiteohjelmisto ja UEFI ovat usein sidoksissa toisiinsa ja niitä kutsutaan UEFI-laiteohjelmistoksi.
Rootkit on vaarallinen haittaohjelma, jonka tarkoituksena on saavuttaa “laiton” ja jatkuva käyttö sellaiseen, mitä ei muutoin sallita. Rootkit peittää yleensä myös olemassaolonsa tai toisen haittaohjelman olemassaolon.
Lisätietoja
UEFI-rootkit on rootkit, joka piiloutuu laiteohjelmistoon ja tämäntyyppinen rootkit on erittäin vaarallinen kahdesta syystä. Ensinnäkin UEFI-rootkitit ovat hyvin sitkeitä ja ne selviävät tietokoneen uudelleenkäynnistyksestä, käyttöjärjestelmän uudelleenasennuksesta ja jopa kovalevyn vaihdosta. Toiseksi ne on vaikea havaita, koska laiteohjelmistoa ei yleensä tarkasteta koodin eheyden osalta. ESETin turvaratkaisut, jotka sisältävät erillisen suojauskerroksen, ESETin UEFI-skannerin, ovat poikkeus.
Haitallinen UEFI-laiteohjelmisto on painajainen jokaiselle tietoturvallisuudesta huolissaan olevalle. Se on erittäin vahingollinen ja vaikeasti havaittava
Jean-Ian Boutin, ESETin haittaohjelmatutkija
Miten ESET suojaa haitalliselta UEFI-laiteohjelmistolta
ESET on ainoa merkittävä verkkoturvallisuusratkaisujen tarjoaja, joka on lisännyt erillisen kerroksen ESETin UEFI-skannerin, joka on suunniteltu havaitsemaan haitallisia komponentteja laiteohjelmistossa.
ESETin UEFI-skanneri on työkalu, jonka avulla laiteohjelmistoa voidaan skannata. Tämän myötä laiteohjelmiston koodi skannataan haittaohjelmien tunnistusteknologioiden toimesta. ESETin asiakkaat voivat skannata tietokoneensa laiteohjelmistot säännöllisesti tai pyydettäessä. Useimmat havainnoista ovat mahdollisesti haitallisia sovelluksia. Tällä koodilla on laaja valta järjestelmään ja siksi sitä voidaan käyttää väärin. Sama koodi voi olla täysin laillinen, jos käyttäjä tai järjestelmänvalvoja tietää sen olemassaolosta, tai se voi olla haitallinen, jos se on asennettu ilman heidän tietämystään ja lupaansa.
Lisätietoja
Ensimmäisen UEFI-rootkitia käyttävän verkkohyökkäyksen havaitsemisen jälkeen ESETin UEFI-skannerin omistavat ESET-asiakkaat voivat luonnollisesti havaita nämä haitalliset muokkaukset ja heillä on siten loistava tilaisuus suojautua niiltä.
Mitä korjaukseen tulee, tyypillinen käyttäjä ei voi tehdä sitä. Periaatteessa sirun uudelleenasentaminen puhtaalla laiteohjelmistolla auttaa aina. Jos se ei ole mahdollista, ainoana vaihtoehtona on vaihtaa tietokoneen emolevy.
Usein kysyttyjä kysymyksiä
ESET on ainoa päätelaitteiden turvaratkaisujen toimittaja, joka suojaa UEFI-rootkit- verkkohyökkäyksiltä. Totta?
Onko totta, että ESET on ainoa päätelaitteiden turvaratkaisujen tarjoaja, jonka asiakkaat voivat saada UEFI-laiteohjelmistonsa skannattua haitallisten komponenttien varalta? Jos on, miksi ESETin kilpailijoilla ei ole käytössään kyseistä teknologiaa?
ESET on ainoa toimittaja 20 liikevoitoiltaan parhaan päätelaitteiden turvaratkaisujen tarjoajista, joka tarjoaa käyttäjilleen UEFI-skannausteknologiaa, joka on otettu käyttöön sen päätelaitteiden turvaratkaisuissa. Vaikka joidenkin toimittajien nimessä saattaa esiintyä joitakin teknologioita, joissa on kirjaimet UEFI, niiden tarkoitus on erilainen kuin se, millaista toimintoa aidon laiteohjelmiston skannerin tulisi suorittaa.
Koska ESET on oman alansa ainoa toimittaja, joka tarjoaa asiakkailleen UEFI-laiteohjelmiston, tämä osoittaa ESETin vastuullisen näkökannan suojaamiseen. Kyllä, UEFI-laiteohjelmiston kautta tehdyt hyökkäykset ovat satunnaisia ja tähän saakka ne ovat rajoittuneet suurimmalta osin kohdelaitteen fyysiseen peukalointiin. Kyseinen hyökkäys johtaisi kuitenkin onnistuessaan laitteen täydelliseen hallintaan ja lähes täydelliseen pysyvyyteen. Siksi ESET teki päätöksen investoida resurssejaan suojellakseen asiakkaitaan UEFI-laiteohjelmiston kautta tehdyiltä hyökkäyksiltä.
LoJaxin viimeaikainen löytäminen, kaikkien aikojen ensimmäinen UEFI-rootkit, joka on havaittu oikeassa tietokonehyökkäyksessä osoittaa, että UEFI-rootkiteistä saattaa valitettavasti tulla säännöllinen osa edistyksellisiä tietokonehyökkäyksiä.
Onneksi ESETin UEFI-skannerin ansiosta asiakkaillamme on loistava tilaisuus havaita tällaisia hyökkäyksiä ja puolustaa itseämme niitä vastaan.
Miksi on tärkeää skannata tietokoneen laiteohjelmisto?
Lyhyesti sanottuna laiteohjelmiston skannaus on ainoa tapa havaita siihen tehtyjä muutoksia. Turvallisuusnäkökulmasta haitallinen laiteohjelmisto on erittäin vaarallinen, koska se on vaikea havaita ja se selviytyy turvallisuustoimenpiteistä kuten käyttöjärjestelmän uudelleenasennuksesta ja myös kovalevyn vaihdosta.
Laiteohjelmisto saattaa vaarantua tietokoneen valmistuksen aikana tai sen toimittamisen aikana tai laiteohjelmiston uudelleenohjelmoinnin aikana, jos hyökkääjä saa laitteen fyysiseen käyttöönsä mutta myös, kuten ESETin tutkimus osoittaa, edistyksellisten haittaohjelmahyökkäysten kautta.
Miten ESETin UEFI-skanneri toimii?
Turvaratkaisut eivät yleensä kata laiteohjelmistoa ja tuloksena turvaratkaisut on suunniteltu vain skannaamaan levyasemat ja muistin. Laiteohjelmiston saavuttamiseen tarvitaan erityinen työkalu, skanneri.
“UEFI-skanneri” on ESETin turvaratkaisujen moduuli, jonka ainoana toimintona on lukea UEFI-laiteohjelmiston sisältö ja valmistella se tarkastettavaksi. Näin ESETin UEFI-skanneri mahdollistaa ESETin säännöllisen skannausmoduulin tarkistavan ja valvovan esikäynnistysympäristön turvallisuutta.
Kaiken kaikkiaan ESETin turvaratkaisut, joilla on UEFI-skannausteknologian ominaisuuksia, on suunniteltu havaitsemaan epäilyttäviä tai haitallisia komponentteja laiteohjelmistossa ja raportoimaan niistä käyttäjälle.
Miten UEFI-laiteohjelma voidaan korjata?
Kun epäilyttävä tai haitallinen komponentti havaitaan laiteohjelmistossa, käyttäjää tiedotetaan, jotta tämä voi ryhtyä asianmukaisiin toimenpiteisiin.
Yhdessä skenaariossa havainnoissa ei ole mitään väärää. Epäilyttävä komponentti saattaa kuulua esimerkiksi varkaudenestoratkaisuun, joka on suunniteltu parhaan mahdolliseen pysyvyyteen järjestelmässä.
Toisessa skenaariossa ei ole kuitenkaan perusteltua syytä havaitun epätavallisen komponentin läsnäoloon laiteohjelmistossa. Tällaisessa tilanteessa tulee ryhtyä korjaustoimiin.
Valitettavasti ei ole helppoja tapoja puhdistaa kyseiset uhat järjestelmästä. Laiteohjelmisto tulee yleensä asentaa uudelleen haitallisen komponentin poistamiseksi. Jos UEFIn uudelleenasentaminen ei ole vaihtoehto, ainoa vaihtoehto on vaihtaa tartunnan saaneen järjestelmän emolevy.
Miten ESETin tutkijat löysivät kampanjan käyttämällä UEFI-rootkitia?
ESETin löytö on kuvattu kokonaisuudessaan blogikirjoituksessa ja tutkimuksessa, joka julkaistiin ESETin WeLiveSecurity-turvallisuusblogissa.
Lyhyesti sanottuna ESETin tutkijat tekivät erikoistutkija Jean-Ian Boutinin johdolla hienoa tutkimustyötä yhdistämällä perusteellisen asiantuntemuksensa Sednit APT-ryhmästä, kaukomittaustiedot ESETin tunnistusjärjestelmistä ja Arbor Networkin kollegojen edelliset löydökset. Tämän seurauksena he löysivät aivan uuden työkalun verkkohyökkäyksiä vastaan mukaan lukien ensimmäisen luonnollisen UEFI- rootikitin.
Sednit APT-ryhmä – mikä se on?
Sednit, joka on toiminut vähintään vuodesta 2004 ja joka tunnetaan myös nimillä APT28, STRONTIUM, Sofacy ja Fancy Bear, on yksi aktiivisimmista APT-ryhmistä (Advanced Persistent Threat). Kyseisten ryhmien tiedetään suorittavan kybervakoilua ja tekevän muita verkkohyökkäyksiä korkean profiilin kohteisiin.
Demokraattisen kansallisen komitean hakkerointi, joka vaikutti Yhdysvaltain vuoden 2016 vaaleihin, maailmanlaajuisen televisioverkon TV5Monden hakkerointi, maailman antidopingtoimiston sähköpostivuoto ja monet muut ovat oletettavasti Sednitin tekemisiä.
Tällä ryhmällä on monipuolinen valikoima haittaohjelmien työkaluja käytössään, useita esimerkkejä, joista ESETin tutkijat ovat maininneet edellisissä tutkimuksissaan sekä useissa blogikirjoituksissa WeLiveSecurity-blogissa. LoJax UEFI rootkitin löytäminen osoittaa, että Sednit APT-ryhmä on vieläkin edistyksellisempi ja vaarallisempi kuin aikaisemmin luultiin. Näin sanoo Jean-Ian Boutin, ESETin erikoistutkija, joka johti tutkimusta Sednitin viimeaikaisessa kampanjassa.
ESET ei suorita geopoliittista kohdistamista. Sen tekeminen vakavalla tieteellisellä tavalla on arkaluontoinen tehtävä, joka ei kuulu ESETin turvallisuustutkijoiden piiriin. Se, mitä ESETin tutkijat kutsuvat “Sednit-ryhmäksi” on vain joukko ohjelmia ja niihin liittyvä verkkoinfrastruktuuri, joka ei liity mihinkään erityiseen organisaatioon.
Pysy askeleen edellä ESETin ansiosta
WeLiveSecurity blogi
ESETin palkitussa turvallisuusblogissa on uusimmat uutiset tästä ja muista löydöistä
ESET-teknologia
Monikerroksinen suojaus, jossa yhdistyvät koneoppiminen, inhimillinen asiantuntemus ja maailmanlaajuisten uhkien tuntemus