Компания ESET ― лидер в области информационной безопасности ― сообщает об обнаружении ранее неизвестного буткита UEFI, который хранится в системном разделе EFI. Для загрузки своего неподписанного драйвера угроза может обходить принудительное исполнение подписей драйверов в Windows, что облегчает шпионскую деятельность злоумышленников.
ESPecter ― второй обнаруженный буткит UEFI. Он показывает, что реальные угрозы UEFI не ограничиваются внедрением флэш-модулей SPI, которые использовались в Lojax.
Стоит отметить, что ESPecter был обнаружен на скомпрометированном устройстве вместе с компонентом, который в сеансе пользователя обладает возможностями считывания нажатий клавиатуры и похищения документов. Именно поэтому исследователи ESET считают, что ESPecter используется в основном для шпионажа.
«Мы отслеживали эту угрозу как минимум до 2012 года. Стоит отметить, что ранее она работала как буткит для систем с устаревшими версиями BIOS. Несмотря на длительное существование ESPecter, ее функционирование и обновление не были зафиксированы до сих пор», ― комментируют исследователи ESET.
«За последние несколько лет мы обнаружили подтвержденные примеры буткитов UEFI, утечки документов и исходного кода, что свидетельствует о существовании настоящего вредоносного программного обеспечения для UEFI в виде внедренных флэш-модулей SPI или модулей ESP. Несмотря на это, в реальной средебыло выявлено только четыре случаи вредоносного ПО для UEFI, включая ESPecter», ― объясняют исследователи ESET.
Компоненты вредоносной программы практически не изменились в течение многих лет, а различия между версиями 2012 и 2020 годов весьма незначительны. После всех изменений злоумышленники, использующие ESPecter, вероятно, решили перенести свои вредоносные программы из устаревших систем BIOS на современные системы UEFI.
Среди компонентов ESPecter ― бэкдор, который содержит большой набор команд и возможности автоматического перехвата данных, включая похищение документов, считывание нажатий клавиатуры и периодическое создание снимков экрана жертвы. Все собранные данные хранятся в скрытом каталоге.
«Злоумышленники полагаются на внедрение модулей во встроенное программное обеспечение UEFI, чтобы оставаться незамеченными в операционной системе. Несмотря на механизмы безопасности, такие как UEFI Secure Boot, киберпреступники создают вредоносные программы, которые можно легко заблокировать с помощью таких механизмов при условии их включения и правильной настройки», ― добавляют исследователи ESET.
Чтобы защититься от ESPecter и подобных угроз, специалисты ESET рекомендуют пользователям соблюдать следующие правила:
- всегда использовать актуальную версию микропрограммы от производителя аппаратного обеспечения;
- убедиться в правильности настройки системы и включить Secure Boot;
- настроить «Управление привилегированными учетными записями», чтобы предотвратить доступ злоумышленников к аккаунтам с расширенными правами, которые необходимы для установки буткита.
Стоит отметить, что в решениях ESET реализован сканер UEFI, который способен обнаруживать подобные угрозы и сообщать о них пользователю.
Больше информации об угрозе ESPecter доступно по ссылке.
Читайте также:
Система безопасности UEFI: как технология машинного обучения помогает обнаружить сложные угрозы
Рейтинг Интернет-угроз: наиболее активные вредоносные программы в мае-августе 2021