ESET oppdager verdens første cyberangrep med UEFI-rootkit

Stemmer det at ESET er den eneste leverandøren av sikkerhetsløsninger for endepunkt som lar kundene skanne UEFI-fastvaren sin for ondsinnede komponenter? Og hvis det stemmer, hvorfor har ikke ESETs konkurrenter slik teknologi?

ESET er den eneste av de 20 beste leverandørene av sikkerhetsløsninger som tilbyr sine brukere UEFI-skanneteknologi i løsningene for endepunktbeskyttelse. Selv om enkelte andre leverandører inkluderer teknologi med «UEFI» i navnet, er formålet deres et annet enn det en ekte fastvareskanner skal oppfylle.

Derfor er ESET den eneste leverandøren som beskytter kundenes UEFI-fastvare, noe som viser ESETs tilnærming til beskyttelse. UEFI-fastvarebaserte angrep skjer sjelden, og hittil har de stort sett vært begrenset til fysisk manipulering av datamaskinen. Men hvis et slikt angrep lykkes, vil det føre til at du mister all kontroll over maskinen. Derfor besluttet ESET å bruke ressurser på å beskytte kundene sine mot UEFI-fastvarebaserte angrep.

Den nylige oppdagelsen av LoJax, det første UEFI-rootkitet som har blitt avdekket i reelle angrep, viser at UEFI-rootkits dessverre kan bli en vanlig del av avanserte datamaskinangrep.

Men takket være ESETs UEFI-skanner kan kundene våre oppdage slike angrep, og forsvare seg mot dem.

Kort forklart må fastvaren skannes for at man skal kunne oppdage at den har blitt endret. For sikkerheten er ødelagt fastvare ekstremt farlig, siden den er vanskelig å oppdage, og siden den kan overleve sikkerhetstiltak som å installere operativsystemet på nytt. Den overlever til og med om harddisken byttes.

Fastvaren kan kompromitteres når datamaskinen bygges, eller under transport, eller ved at fastvaren flashes på nytt hvis angriperen får fysisk tilgang til enheten. Men ny ESET-forskning viser også at fastvaren kan kompromitteres ved hjelp av et sofistikert angrep med ondsinnet programvare.

Vanligvis har ikke sikkerhetsløsninger tilgang til å skanne fastvaren, og derfor er slike løsninger normalt utformet for å skanne harddisker og minne. Man trenger spesialverktøy, en skanner, for å få tilgang til fastvaren.

«UEFI-skanneren» er en modul i ESETs sikkerhetsløsning som bare har én oppgave – å lese innholdet i UEFI-fastvaren, og gjøre det tilgjengelig for kontroll. Derfor gjør ESET UEFI Scanner det mulig for ESETs skannemotor å kontrollere og håndheve sikkerheten i miljøet før oppstart.

ESETs sikkerhetsløsninger, som har teknologi for UEFI-skanning, er utformet for å detektere mistenkelige eller ondsinnede komponenter i fastvaren, og rapportere dem til brukeren.

Når en mistenkelig eller ondsinnet komponent detekteres i fastvaren, varsles brukeren, slik at vedkommende kan iverksette egnede tiltak.

I ett scenario er det ikke noe galt med det som har blitt detektert. Den mistenkelige komponenten kan for eksempel tilhøre en tyverisikringsløsning som er utformet for maksimal beskyttelse av systemet.

Men i et annet scenario er det ingen legitim grunn til at den unormale komponenten skal være i fastvaren. I slike tilfeller må det iverksettes tiltak.

Det finnes dessverre ingen enkel måte å fjerne slike trusler fra systemet på. Fastvaren må vanligvis flashes på nytt for å fjerne den ondsinnede komponenten. Hvis flashing av UEFI ikke er et alternativ, er den eneste løsningen å bytte hovedkortet i det infiserte systemet.

ESETs oppdagelse er grundig beskrevet i et blogginnlegg og en white paper som er publisert på ESETs sikkerhetsblogg, WeLiveSecurity.

Kort fortalt gjorde ESETs eksperter, ledet av Jean-Ian Boutin, ESET Senior Researcher, en svært god jobb. De kombinerte den grundige kunnskapen om Sednit APT-gruppen med telemetridata fra ESETs deteksjonssystemer og en tidligere oppdagelse fra kolleger ved Arbor Network. Resultatet ble at de oppdaget et helt nytt verktøysett for cyberangrep, inkludert det første UEFI-rootkitet som har blitt oppdaget i bruk.

Sednit, som har eksistert siden 2004 og også er kjent som APT28, STRONTIUM, Sofacy og Fancy Bear, er en av de mest aktive APT-gruppene (Advanced Persistent Threat). Slike grupper er kjent for å gjennomføre cyberspionasje og andre cyberangrep rettet mot profilerte mål.

Man mener at Sednit står bak hackingen av Democratic National Committee, som påvirket valget i USA i 2016, hackingen av den globale TV-stasjonen TV5Monde, e-postlekkasjen fra World Anti-Doping Agency og mange andre angrep.

Denne gruppen har et stort utvalg av ondsinnede verktøy i sitt arsenal, og ESETs eksperter har dokumenter flere av disse i forrige white paper, og i mange blogginnlegg på WeLiveSecurity. Oppdagelsen av UEFI-rootkitet LoJax UEFI viser at Sednit APT-gruppen er enda mer avansert og farlig enn tidligere antatt, ifølge Jean-Ian Boutin, ESET Senior Malware Researcher, som ledet undersøkelsen av Sednits nyeste kampanje.

Når det kommer tilskrivelse, gjennomfører ikke ESET geopolitiske tilskrivelser. Å gjennomføre tilskrivelser på en seriøs og vitenskapelig måte er en ømtålig oppgave som ikke ligger i ESETs sikkerhetseksperters mandat. Det ESETs eksperter kaller «Sednit-gruppen», er et sett programvare og tilknyttet nettverksinfrastruktur, uten tilknytning til en bestemt organisasjon.