ESPecter

Zagrożenie złośliwym oprogramowaniem, które potencjalnie było w stanie uniknąć wykrycia przez prawie dekadę, zostało w końcu wyłapane przez badaczy infosec. Odkryte przez ekspertów ds. cyberbezpieczeństwa zagrożenie o nazwie ESPecter to bootkit zaprojektowany do ładowania niepodpisanych sterowników na dysk ESP (EFI System Partition) zainfekowanego systemu.

Naukowcy prześledzili źródła zagrożenia co najmniej do 2012 r. W tym znaczącym okresie najbardziej drastyczną zmianą, jaką przeszło szkodliwe oprogramowanie, jest przejście z atakowania starszego systemu BIOS i głównego rekordu rozruchowego na ich następcę, UEFI. Unified Extensible Firmware Interface lub UEFI to kluczowy element, który łączy oprogramowanie układowe urządzenia z systemem operacyjnym.

Do tej pory ESPecter nie został przypisany żadnemu konkretnemu podmiotowi zagrażającemu, ze względu na brak wystarczających dowodów. Pewne znaki znalezione w komponentach zagrożenia, takie jak komunikaty debugowania, sugerują, że jego twórcy są osobami mówiącymi po chińsku. Podobnie nieznana jest obecnie metoda dystrybucji zastosowana w dostawie ESPectera. Aktor zagrożenia może wykorzystywać lukę zero-day UEFI, znany, ale wciąż niezałatany błąd, lub może mieć fizyczny dostęp do zaatakowanych maszyn.

Szczegóły techniczne

ESPecter umieszcza się w ESP i ustala jego trwałość za pomocą poprawki zastosowanej do Menedżera rozruchu systemu Windows. Ponadto łatka zapewnia ESPecterowi możliwość całkowitego ominięcia protokołów Windows Driver Signature Enforcement (DSE) i załadowania własnych niepodpisanych sterowników na zaatakowaną maszynę. Zagrożenie może również wstrzyknąć dodatkowe niebezpieczne komponenty, aby nawiązać połączenie z serwerem C2, C&C atakującego.

Badacze odkryli moduły keyloggera i kradzieży plików w systemach zainfekowanych ESPecter, wskazując, że głównym celem cyberprzestępcy może być cyberszpiegostwo i inwigilacja wybranych celów. Rzeczywiście, ESPecter jest również wyposażony w funkcję wykonywania dowolnych zrzutów ekranu i przechowywania ich w ukrytym katalogu, obok zebranych kluczowych dzienników i dokumentów.

Jednak, aby wykonać groźne działania, ESPecter wymaga wyłączenia funkcji Bezpiecznego rozruchu w systemie. Bezpieczny rozruch został po raz pierwszy wprowadzony jako funkcja systemu Windows wraz z wydaniem systemu Windows 8, więc wszystkie wcześniejsze wersje systemu operacyjnego automatycznie stają się podatne na atak ESPecter. Jednak korzystanie z nowszej wersji systemu Windows nie wystarczy. W ciągu ostatnich kilku lat pojawiły się liczne luki w oprogramowaniu UEFI, które umożliwiają atakującym wyłączenie lub całkowite ominięcie bezpiecznego rozruchu.