UEFI rootkits – fra en teoretisk til en reell trussel
UEFI-rootkits, hackernes hellige gral, var lenge fryktet, men ingen hadde sett tegn på at de hadde blitt brukt i den virkelige verden – før ESET oppdaget et angrep fra den beryktede Sednit APT-gruppen. Enkelte UEFI-rootkits har blitt presentert under sikkerhetskonferanser som rene konsepter, og det finnes også bevis på et enkelte offentlige etater har tilgang til slike verktøy. Men før august 2018 hadde det ikke blitt registrert tegn på at UEFI-rootkit hadde blitt brukt i reelle cyberangrep.
Det nevnte Sednit-angrepet brukte et UEFI-rootkit som ESETs eksperter ga navnet LoJax. Du finner ESETs analyse av angrepet i følgende white apper: «LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group». Du finner også mer informasjon om UEFI-relatert sikkerhet på ESETs sikkerhetsblogg WeLiveSecurity.
Sikkerhetsrisikoer for fastvare, UEFI, rootkits
Koden som kjøres etter at datamaskinen slås på, og som har full kontroll over datamaskinens operativsystem (og følgelig hele maskinen), kalles fastvare. Standarden, eller regelsettet, for hvordan fastvaren oppfører seg, kalles UEFI (den tidligere varianten ble kalt BIOS). Fastvare og UEFI er ofte koblet sammen, og kalles da UEFI-fastvare.
Et rootkit er farlig, ondsinnet programvare som er laget for å gi «ulovlig» og varig tilgang til ting som man ellers ikke har tilgang til. Normalt vil et rootkit også skjule seg, eller skjule den ondsinnede programvaren.
Mer informasjon
Et UEFI-rootkit er et rootkit som skjuler seg i fastvaren, og det er to grunner til hvorfor denne typen rootkit er så farlig. For det første er UEFI-rootkits svært levedyktige. De overlever omstart av datamaskinen, at operativsystemet installeres på nytt og til og med at harddisken byttes. For det andre er de vanskelige å oppdage. Fastvaren kontrolleres normalt ikke for å undersøke kodens integritet. ESETs sikkerhetsløsninger med et eget beskyttelseslag, ESET UEFI Scanner, er et unntak.
Ondsinnet UEFI-fastvare er et mareritt for alle som arbeider med IT-sikkerhet. Den kan forårsake store skader, og den er vanskelig å oppdage
Jean-Ian Boutin, Senior Malware Researcher hos ESET
Slik kan ESET beskytte deg mot ondsinnet UEFI-fastvare
ESET er den eneste store leverandøren av internettsikkerhet som bruker et eget lag, ESET UEFI Scanner, som er utformet for å detektere ondsinnede komponenter i fastvaren.
ESET UEFI Scanner er et verktøy som gjør det mulig å skanne fastvaren. Altså blir fastvarens kode skannet av teknologi som er utformet for å detektere ondsinnet programvare. ESETs kunder kan skanne datamaskinens fastvare regelmessig eller ved behov. De fleste av deteksjonene merkes som Potensielt usikre applikasjoner, en kode som har stor påvirkning på systemet, og følgelig kan misbrukes. Den samme koden kan være helt legitim hvis brukeren eller administratoren kjenner til den, eller ondsinnet hvis den ble installert uten at de kjente til eller samtykket til det.
Mer informasjon
Siden det første cyberangrepet med et UEFI-rootkit ble oppdaget, har ESETs kunder med ESET UEFI Scanner også hatt muligheten til å detektere disse ondsinnede endringene, slik at de har svært gode muligheter til å beskytte seg selv.
Når det kommer til rettinger, er dette ikke noe en typisk bruker vil kunne gjøre selv. I prinsippet vil det alltid hjelpe å flashe chipen på nytt med ny fastvare. Hvis dette ikke er mulig, er det eneste alternativet å bytte hovedkort i datamaskinen.
Spørsmål og svar
ESET er den eneste leverandøren av endepunktsikkerhet som beskytter kundene sine mot UEFI-rootkitangrep. Stemmer det?
Stemmer det at ESET er den eneste leverandøren av sikkerhetsløsninger for endepunkt som lar kundene skanne UEFI-fastvaren sin for ondsinnede komponenter? Og hvis det stemmer, hvorfor har ikke ESETs konkurrenter slik teknologi?
ESET er den eneste av de 20 beste leverandørene av sikkerhetsløsninger som tilbyr sine brukere UEFI-skanneteknologi i løsningene for endepunktbeskyttelse. Selv om enkelte andre leverandører inkluderer teknologi med «UEFI» i navnet, er formålet deres et annet enn det en ekte fastvareskanner skal oppfylle.
Derfor er ESET den eneste leverandøren som beskytter kundenes UEFI-fastvare, noe som viser ESETs tilnærming til beskyttelse. UEFI-fastvarebaserte angrep skjer sjelden, og hittil har de stort sett vært begrenset til fysisk manipulering av datamaskinen. Men hvis et slikt angrep lykkes, vil det føre til at du mister all kontroll over maskinen. Derfor besluttet ESET å bruke ressurser på å beskytte kundene sine mot UEFI-fastvarebaserte angrep.
Den nylige oppdagelsen av LoJax, det første UEFI-rootkitet som har blitt avdekket i reelle angrep, viser at UEFI-rootkits dessverre kan bli en vanlig del av avanserte datamaskinangrep.
Men takket være ESETs UEFI-skanner kan kundene våre oppdage slike angrep, og forsvare seg mot dem.
Hvorfor er det så viktig å skanne datamaskinens fastvare?
Kort forklart må fastvaren skannes for at man skal kunne oppdage at den har blitt endret. For sikkerheten er ødelagt fastvare ekstremt farlig, siden den er vanskelig å oppdage, og siden den kan overleve sikkerhetstiltak som å installere operativsystemet på nytt. Den overlever til og med om harddisken byttes.
Fastvaren kan kompromitteres når datamaskinen bygges, eller under transport, eller ved at fastvaren flashes på nytt hvis angriperen får fysisk tilgang til enheten. Men ny ESET-forskning viser også at fastvaren kan kompromitteres ved hjelp av et sofistikert angrep med ondsinnet programvare.
Hvordan fungerer ESET UEFI Scanner?
Vanligvis har ikke sikkerhetsløsninger tilgang til å skanne fastvaren, og derfor er slike løsninger normalt utformet for å skanne harddisker og minne. Man trenger spesialverktøy, en skanner, for å få tilgang til fastvaren.
«UEFI-skanneren» er en modul i ESETs sikkerhetsløsning som bare har én oppgave – å lese innholdet i UEFI-fastvaren, og gjøre det tilgjengelig for kontroll. Derfor gjør ESET UEFI Scanner det mulig for ESETs skannemotor å kontrollere og håndheve sikkerheten i miljøet før oppstart.
ESETs sikkerhetsløsninger, som har teknologi for UEFI-skanning, er utformet for å detektere mistenkelige eller ondsinnede komponenter i fastvaren, og rapportere dem til brukeren.
Hvordan kan du reparere din UEFI-fastvare?
Når en mistenkelig eller ondsinnet komponent detekteres i fastvaren, varsles brukeren, slik at vedkommende kan iverksette egnede tiltak.
I ett scenario er det ikke noe galt med det som har blitt detektert. Den mistenkelige komponenten kan for eksempel tilhøre en tyverisikringsløsning som er utformet for maksimal beskyttelse av systemet.
Men i et annet scenario er det ingen legitim grunn til at den unormale komponenten skal være i fastvaren. I slike tilfeller må det iverksettes tiltak.
Det finnes dessverre ingen enkel måte å fjerne slike trusler fra systemet på. Fastvaren må vanligvis flashes på nytt for å fjerne den ondsinnede komponenten. Hvis flashing av UEFI ikke er et alternativ, er den eneste løsningen å bytte hovedkortet i det infiserte systemet.
Hvordan fant ESETs eksperter kampanjen som bruker UEFI-rootkitet?
ESETs oppdagelse er grundig beskrevet i et blogginnlegg og en white paper som er publisert på ESETs sikkerhetsblogg, WeLiveSecurity.
Kort fortalt gjorde ESETs eksperter, ledet av Jean-Ian Boutin, ESET Senior Researcher, en svært god jobb. De kombinerte den grundige kunnskapen om Sednit APT-gruppen med telemetridata fra ESETs deteksjonssystemer og en tidligere oppdagelse fra kolleger ved Arbor Network. Resultatet ble at de oppdaget et helt nytt verktøysett for cyberangrep, inkludert det første UEFI-rootkitet som har blitt oppdaget i bruk.
Hva er Sednit APT-gruppen?
Sednit, som har eksistert siden 2004 og også er kjent som APT28, STRONTIUM, Sofacy og Fancy Bear, er en av de mest aktive APT-gruppene (Advanced Persistent Threat). Slike grupper er kjent for å gjennomføre cyberspionasje og andre cyberangrep rettet mot profilerte mål.
Man mener at Sednit står bak hackingen av Democratic National Committee, som påvirket valget i USA i 2016, hackingen av den globale TV-stasjonen TV5Monde, e-postlekkasjen fra World Anti-Doping Agency og mange andre angrep.
Denne gruppen har et stort utvalg av ondsinnede verktøy i sitt arsenal, og ESETs eksperter har dokumenter flere av disse i forrige white paper, og i mange blogginnlegg på WeLiveSecurity. Oppdagelsen av UEFI-rootkitet LoJax UEFI viser at Sednit APT-gruppen er enda mer avansert og farlig enn tidligere antatt, ifølge Jean-Ian Boutin, ESET Senior Malware Researcher, som ledet undersøkelsen av Sednits nyeste kampanje.
Når det kommer tilskrivelse, gjennomfører ikke ESET geopolitiske tilskrivelser. Å gjennomføre tilskrivelser på en seriøs og vitenskapelig måte er en ømtålig oppgave som ikke ligger i ESETs sikkerhetseksperters mandat. Det ESETs eksperter kaller «Sednit-gruppen», er et sett programvare og tilknyttet nettverksinfrastruktur, uten tilknytning til en bestemt organisasjon.
Med ESET kan du være ett skritt foran
WeLiveSecurity-blogg
ESETs prisbelønte sikkerhetsblogg har siste nytt om dette og andre funn
ESET Teknologi
Flerlagsbeskyttelse som kombinerer maskinlæring, menneskelig ekspertise og global trusselinformasjon