נחשפה מתקפת סייבר שהשתמשה ברוטקיט מסוג UEFI לבסס נוכחות במחשבים
מאת:
מערכת Telecom News, 27.9.18, 18:27
כלי לאיתור לפטופים שנגנבו שימש קבוצת האקרים ידועה. רוטקיטים מסוג UEFI הם כלים מסוכנים המיועדים להתחלת מתקפות סייבר. הם משמשים כמפתח למחשב, קשים לזיהוי ומסוגלים לשרוד אמצעי אבטחת סייבר, כגון התקנה מחדש של מערכת ההפעלה או החלפת דיסק קשיח. איך זה עבד?
חוקרי
ESET חשפו מתקפת סייבר ,שעשתה שימוש ברוטקיט מסוג
UEFI, כדי לבסס נוכחות במחשביהם של קורבנות המתקפה. עם הכינוי
LoJax, שהוענק לו ע"י החברה, אותו רוטקיט היה חלק מקמפיין המופעל ע"י קבוצת
Sednit נגד מטרות בעלות נוכחות בולטת במרכז ומזרח אירופה, ומהווה את המתקפה הראשונה מסוג זה המוכרת לציבור.
קבוצת ההאקרים השתמשה בתוכנת אנטי גניבה ,שנקראה בעבר
LoJack/ Computrace ונמצאת באופן מובנה בחומרה של לפטופים ומחשבים ממותגים של היצרניות הגדולות בעולם. ברגע שהשירות הופעל, המחשב היה מתקשר בחזרה אל שרתי השליטה והבקרה שלו ואילו בעליו היה מקבל הודעה בנוגע למיקומו, במקרה שנעלם או נגנב.
מאחר שהכוונה מאחורי התוכנה היא להגן על מערכות בפני גניבה, יש חשיבות לכך, שלא יהיה ניתן להסיר אותה בהתקנה מחדש של מערכת הפעלה או החלפת דיסק קשיח. לפיכך, היא מופעלת כמודול
UEFI/BIOS, עם היכולת להוסיף ולהתקיים גם באירועים כאלה. הפתרון מגיע מותקן מראש בקושחה של מספר גדול של מחשבים ניידים המיוצרים ע"י היצרניות המוכרות בשוק.
רוטקיטים מסוג
UEFI (רכיב החומרה האחראי לניהול כל ההתקנים הפיזיים במחשב), הם כלים מסוכנים ביותר המיועדים להתחלתן של מתקפות סייבר. הם משמשים כמפתח למחשב כולו, קשים לזיהוי ומסוגלים לשרוד אמצעי אבטחת סייבר, כגון התקנה מחדש של מערכת ההפעלה או אפילו החלפת דיסק קשיח. מלבד זאת, גם ניקוי מערכת הנגועה ברוטקיט מסוג
UEFI דורש ידע, שהוא מעבר להישג ידו של המשתמש הממוצע, כגון עדכון הקושחה.
Sednit, הידועה גם כ-
APT28, STRONTIUM, Sofacy או
Fancy Bear היא אחת מקבוצות ה-
APT הפעילות ביותר הפועלת מ-2004 לפחות. האמונה הרווחת היא, שהפריצה לוועידה הדמוקרטית הלאומית, שהשפיעה על בחירות 2016, הפריצה לרשת הטלוויזיה העולמית
TV5Monde, דליפת המיילים של הסוכנות הבינלאומית נגד שימוש בסמים ופריצות רבות אחרות, בוצעו ע"י
Sednit.
הקבוצה מחזיקה בארסנל שלה מגוון רחב של תוכנות זדוניות, דוגמאות אחדות, שחוקרי
ESET תיעדו במחקר.
גילויו הראשון אי פעם של רוטקיט מסוג
UEFI בשטח מהווה נורת אזהרה עבור משתמשים וארגוניהם, הנוטים להתעלם מהסיכונים הקשורים בשינויי קושחה.
ז'אן-יאן בוטין, חוקר אבטחה בכיר ב-
ESET, שהוביל את המחקר על
LoJax ועל הקמפיין של
Sednit: "למרות שבאופן תיאורטי היינו מודעים לקיומם של רוטקיטים מסוג
UEFI, הגילוי שלנו מאשר, שהם שימשו קבוצת
APT פעילה. כך, שהם כבר לא נושא חם בכנסים, אלא איום של ממש.
עכשיו אין תירוץ, שלא לבדוק גם את הקושחה במסגרת בדיקה סדירה. אכן, התקפות באמצעות
UEFI אמנם נדירות ביותר, ועד כה הן היו מוגבלות בעיקר לחבלה פיזית במחשב היעד. עם זאת, התקפה מוצלחת כזו תוביל לשליטה מלאה על המחשב".
ניתוח קמפיין
Sednit של
ESET, שעושה שימוש ברוטקיט
UEFI הפעיל הראשון, מתואר בפירוט במחקר:
LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group.