ESET upptäcker den första Cyber-attacken någonsin som använder UEFI-rootkit

UEFI-rootkit – från teori till verkligt hot

UEFI rootkits image

UEFI-rootkits, man fruktade länge ”hackarnas heliga graal” men inget upptäcktes någonsin ute på nätet, tills ESET upptäckte en kampanj som utfördes av den ökända APT-gruppen Sednit. Vissa UEFI-rootkit har presenterats på säkerhetskonferenser som bevis på koncept. Det är känt att några sådana är tillgängliga för vissa statliga myndigheter. Men fram till augusti 2018 upptäcktes aldrig något UEFI-rootkit i någon verklig cyberattack.

Den Sednit-kampanj som nämndes ovan använde ett UEFI-rootkit som ESET-forskarna döpte till LoJax. ESETs analys av kampanjen beskrivs ingående i vitboken LoJax: Det första UEFI-rootkit som upptäckts i det fria, med hälsning från gruppen Sednit. Mer information om säkerhetsfrågor kring UEFI finns att läsa i ESETs säkerhetsblogg, WeLiveSecurity.

Säkerhetsrisker i firmware, UEFI, rootkit

Datorkoden som startar direkt när man slår på datorn och har den yttersta makten över datorns operativsystem (och därmed över hela maskinen) kallas för inbyggd programvara eller firmware. Standarden – som man kan beteckna som en uppsättning regler – för hur firmware uppträder, kallas för UEFI (föregångaren kallades för BIOS). Firmware och UEFI kopplas ofta samman och benämns då UEFI-firmware.

Ett rootkit är ett farligt skadeprogram som är utformat för att skaffa sig ”otillåten” och ständig åtkomst till något som annars inte vore åtkomligt. Vanligtvis brukar ett rootkit även dölja sin existens och förekomsten av andra skadeprogram.

Läs mer

Ett UEFI-rootkit är ett rootkit som gömmer sig i firmware, och det finns två skäl till att denna typ av rootkit är extremt farliga. För det första är UEFI-rootkit mycket seglivade. De kan överleva att en dator startas om, ominstalleras och till och med ett byte av hårddisk. För det andra är det svåra att upptäcka eftersom man vanligtvis inte kontrollerar att firmware inte har modifierats. ESETs säkerhetslösningar som innehåller ett specialiserat skyddslager – ESET UEFI scanner, utgör ett undantag.

Firmware, UEFI, rootkits image

Skadlig UEFI-firmware är en mardröm för alla som arbetar med IT-säkerhet. Det är mycket skadligt och svårt att upptäcka

Jean-Ian Boutin, Senior forskare i skadeprogram hos ESET

Så skyddar ESET mot skadlig UEFI-firmware

ESET är den enda större leverantören av internet-säkerhet som har lagt till ett specialiserat lager, ESET UEFI Scanner, som är konstruerat för att kunna upptäcka skadliga komponenter i datorns firmware.

ESET UEFI Scanner är ett verktyg som gör att datorns firmware blir åtkomlig för genomsökning. Därefter genomsöks programkoden i datorns firmware med hjälp av teknik för upptäckt av skadeprogram. ESETs kunder kan genomsöka firmware i sina datorer antingen regelbundet eller vid behov. De flesta funktioner som upptäcks betecknas som potentiellt osäkra program – programkod som har stor makt över systemet och därför kan missbrukas. Exakt samma programkod kan vara helt legitim om användaren eller en administratör känner till att den finns där, eller så kan den vara skadlig om den installerats utan deras kännedom och samtycke.

Läs mer

Sedan den första cyberattacken med hjälp av ett UEFI-rootkit avslöjades kan ESETs kunder naturligtvis med hjälp av ESET UEFI Scanner också upptäcka sådana skadliga modifieringar och har därmed utmärkta möjligheter att skydda sig.

När det gäller rensning så är det något som ligger utom räckhåll för den typiska användaren. I princip hjälper det alltid att programmera om datorkretsen med ren firmware. Om detta inte är möjligt är det enda återstående alternativet att byta ut datorns moderkort.

Vanliga frågor och svar

ESET är den enda leverantören av endpoint-säkerhet som skyddar mot cyber-attacker med UEFI-rootkit – stämmer det?

Stämmer det att ESET är den enda leverantören av lösningar för endpoint-säkerhet, vars kunder kan genomsöka sin inbyggda UEFI-programvara efter skadliga komponenter? Om så är fallet, varför använder inte ESETs konkurrenter samma typ av teknik?

ESET är den enda bland de 20 intäktsmässigt största leverantörerna av lösningar för endpoint-säkerhet som ger sina användare en teknik för genomsökning av UEFI som en del av lösningarna för endpoint-skydd. Även om vissa andra leverantörer kanske har någon teknik med förkortningen UEFI i sitt namn, är deras syfte inte samma som den funktion en verklig skanner av inbyggd programvara bör ha.

Vad gäller anledningen till att ESET är den enda leverantören i sitt område som säkrar sina kunders inbyggda programvara UEFI visar detta ESETs ansvarsfulla inställning till säkerheten. Ja, attacker som utnyttjar den inbyggda programvaran UEFI förekommer endast sporadiskt och har hittills mestadels varit begränsade till fysisk manipulering med måldatorn. Men om en sådan attack skulle lyckas ger den total kontroll över maskinen och med nästan komplett permanent uthållighet. Därför har ESET beslutat att investera resurser i förmågan att skydda kunderna mot attacker baserade på den inbyggda programvaran UEFI.

När man nyligen upptäckte LoJax, det första UEFI-rootkit som upptäckts i en verklig attack mot datorer gav detta bevis på att UEFI-rootkit tyvärr kan komma att bli ett vanligt inslag i avancerade attacker mot datorer.

Tack vare vår ESET UEFI Scanner har våra kunder lyckligtvis utmärkta möjligheter att upptäcka sådana attacker och skydda sig mot dem.

Varför är det så viktigt att genomsöka datorns firmware?

Kort sagt är genomsökning av systemets inbyggda programvara det enda sättet att upptäcka om ändringar skett. Ur säkerhetssynpunkt är förändrad inbyggd programvara extremt farligt eftersom det är svårt att upptäcka det till och med kan överleva sådana säkerhetsåtgärder som ominstallation av operativsystemet och till och med byte av hårddisken.

Den inbyggda programvaran kan förändras i samband med datorns tillverkning, i samband med dess leverans eller via omprogrammering av datorns inbyggda programvara om angriparen får fysisk tillgång till enheten, men även, vilket ESETs forskning på senare tid visar, via attacker med sofistikerad skadlig programvara.

Hur fungerar ESET UEFI Scanner?

Vanligtvis kommer säkerhetslösningar inte åt att genomsöka den inbyggda programvaran, vilket gör att säkerhetslösningarna utformas så att de enbart genomsöker diskenheter och datorns minne. För att komma åt enhetens inbyggda programvara behöver man ett specialverktyg, en skanner.

”UEFI-skannern” är en modul i ESETs säkerhetslösningar vars enda funktion är att läsa innehållet i den inbyggda programvaran UEFI och göra den tillgänglig för inspektion. Därmed gör ESET UEFI Scanner det möjligt för ESETs vanliga skanning-verktyg att kontrollera och säkerställa säkerheten i enhetens programmiljö före systemstart.

Sammanfattningsvis är ESETs säkerhetslösningar, med hjälp av tekniken för genomsökning av UEFI, utformade så att de kan upptäcka misstänkta eller skadliga komponenter i den inbyggda programvaran och rapportera dessa till användaren.

Hur reparerar du din UEFI-firmware?

Så snart en misstänkt eller skadlig komponent har upptäcks i den inbyggda programvaran informeras användaren för att rätt åtgärder ska kunna vidtas.

I vissa fall är det inget problem med de detekterade förändringarna – den misstänkta komponenten kan till exempel ingå i en stöldskyddslösning som är utformad för maximal uthållighet i systemet.

I andra fall saknas dock legitima orsaker till att systemets inbyggda programvara innehåller en komponent som avviker från standardinnehållet. I så fall måste felavhjälpning ske.

Tyvärr finns det inget enkelt sätt att rensa ett system från denna typ av hot. Vanligtvis behöver den inbyggda programvaran brännas om för att man ska kunna avlägsna den skadliga komponenten. Om man av någon anledning inte kan bränna om UEFI är det enda alternativet att byta ut det infekterade systemets moderkort.

Hur upptäckte ESETs forskare kampanjen som utnyttjade ett UEFI-rootkit?

ESETs upptäckt beskrivs ingående och utförligt i ett blogginlägg och en vitbok som publicerats i ESETs säkerhetsblogg, WeLiveSecurity.

Kort sagt, ESETs forskare, under ledning av Jean-Ian Boutin, senior forskare på ESET, utförde en omfattande forskningsarbete där de kombinerade sin djupa kunskaper om gruppen Sednit APT, telemetridata från ESETs detektionssystem och en tidigare upptäckt av kollegorna på Arbor Network. Som ett resultat, de upptäckte en helt ny uppsättning verktyg för cyberattacker, inklusive ett första UEFI-rootkit som används aktivt ute på nätet.

Vad är APT-gruppen Sednit för något?

Gruppen Sednit, även känd som APT28, STRONTIUM, Sofacy och Fancy Bear, är verksam sedan åtminstone år 2004 och är en av de mest aktiva APT-grupperna (Advanced Persistent Threat – avancerat ständigt hot). Sådana grupper är kända för att bedriva cyberspionage och utföra andra cyberangrepp mot kända mål.

Hacket mot Democratic National Committee som påverkade det amerikanska valet 2016, hacket av det globala TV-nätet TV5Monde, e-postläckan från World Anti-Doping Agency och många andra händelser tros vara utförda av Sednit.

I sin arsenal har gruppen en mångskiftande uppsättning verktyg i form av olika skadeprogram. ESETs forskare dokumenterade flera prov på dessa i sin tidigare vitbok samt i en rad blogginlägg på WeLiveSecurity. Upptäckten av UEFI-rootkitet LoJax visar att APT-gruppen Sednit är ännu farligare och mer avancerad än man tidigare trott, enligt Jean-Ian Boutin, Senior forskare i skadeprogram hos ESET, som ledde utforskningen av Sednits drive nyligen.

Vad gäller härkomst gör ESET ingen geopolitisk koppling. Att härleda ursprunget på ett seriöst och vetenskapligt sätt är en svår uppgift som ligger utanför ansvarsområdet för ESETs säkerhetsforskare. Det ESET betecknar som ”Sednit-gruppen” är bara en uppsättning programvaror och tillhörande nätverksinfrastruktur, utan någon koppling till någon viss organisation.

Håll dig steget före med ESET

We Live Security blog icon

Bloggen WeLiveSecurity

ESETs prisbelönta säkerhetsblogg har de senaste nyheterna om denna och andra upptäckter

ESET Technology icon

ESET:s teknik

Skydd i flera nivåer kombinerar maskininlärning, mänsklig expertis och information om globala hot