Firmware Backdoor nalezený na milionech základních desek PC
Kyberzločinci stále častěji uplatňují záludnou taktiku skrývání škodlivých programů ve firmwaru UEFI počítače – základním kódu zodpovědném za spouštění operačního systému. Situace se však stává ještě alarmující, když výrobce základních desek nejenže začlení svá skrytá zadní vrátka do firmwaru milionů počítačů, ale nedokáže tento vchod řádně zabezpečit.
Nedávno tým výzkumníků kybernetické bezpečnosti specializující se na firmware objevil skrytý mechanismus zabudovaný ve firmwaru základních desek vyráběných Gigabyte, renomovanou tchajwanskou společností široce používanou v herních počítačích a vysoce výkonných počítačích. Po restartování počítače s dotčenou základní deskou Gigabyte skrytý kód ve firmwaru diskrétně spustí aktualizační program v počítači. Následně tento program stáhne a spustí další software bez vědomí nebo souhlasu uživatele.
Obsah
Záměry dobré, realizace nic moc
Zatímco skrytý kód objevený ve firmwaru základní desky Gigabyte byl pravděpodobně zamýšlen jako neškodný nástroj pro aktualizace firmwaru, výzkumníci identifikovali významné bezpečnostní chyby v jeho implementaci. Tyto zranitelnosti vytvářejí potenciální riziko, že tento mechanismus zneužijí záškodníci, kteří by jej mohli využít k instalaci malwaru namísto zamýšleného programu Gigabyte.
Problém komplikuje skutečnost, že aktualizační program je spouštěn z firmwaru počítače, který pracuje mimo oblast operačního systému uživatele. Díky tomu je pro uživatele neuvěřitelně náročné detekovat nebo odstranit problematický kód, což dále zvyšuje potenciální dopad této bezpečnostní chyby.
Zapojeno více než 270 modelů
Chcete-li zjistit, zda základní deska vašeho počítače obsahuje dotyčná zadní vrátka, přejděte ve Windows na "Start" a otevřete "Systémové informace".
Při zkoumání škodlivého kódu založeného na firmwaru výzkumníci učinili významný objev týkající se skrytého mechanismu firmwaru společnosti Gigabyte. Toto zjištění je zvláště pozoruhodné, protože sofistikovaní hackeři často používají podobné taktiky. Automatizované detekční skeny výzkumníků překvapivě odhalily mechanismus aktualizace Gigabyte, který se zapojoval do podezřelých aktivit připomínajících státem sponzorované hackerské nástroje. Konkrétně se jednalo o skrytí ve firmwaru a tiché spuštění programu, který stahuje kód z internetu.
Samotný aktualizační mechanismus Gigabyte podnítil obavy mezi uživateli, kteří se obávají vyhlídky na tiché instalace kódu prostřednictvím téměř nepostřehnutelného nástroje. Kromě toho existuje skutečná obava, že by se mechanismus Gigabyte mohl stát obětí zneužití ze strany hackerů, kteří infiltrují výrobce základních desek a využívají jeho skrytý přístup k ohavnému útoku na dodavatelský řetězec softwaru. Vyšetřování Eclypsia však odhalilo ještě znepokojivější odhalení. Mechanismus aktualizace, navržený tak, aby zlepšil uživatelský dojem, obsahuje do očí bijící zranitelnosti, které mohou být zneužity. Šokující je, že stahuje kód do počítače uživatele, aniž by prošel řádnou autentizací, a v některých případech dokonce využívá nezabezpečené připojení HTTP místo bezpečnějšího HTTPS.
Tato zející bezpečnostní díra umožňuje zlovolným hercům organizovat útoky typu man-in-the-middle, což jim umožňuje oklamat nic netušící uživatele podvržením zdroje instalace. V podstatě by se i nepoctivá síť Wi-Fi mohla stát nástrojem nebezpečí, zachycovat internetové připojení uživatele a ohrozit integritu jeho systému.
V jiných případech umožňuje mechanismus firmwaru Gigabyte aktualizátoru načítat soubory ke stažení z místního síťového úložiště (NAS). Tato funkce, zdánlivě zaměřená na usnadnění aktualizací v rámci podnikových sítí, zabraňuje rozsáhlému přístupu k internetu ze všech strojů. Když k tomu však dojde, může zákeřný hráč ve stejné síti lstivě manipulovat s umístěním NAS a tajně nahradit autorizované aktualizace vlastním malwarem.
Oprava by mohla fungovat... nebo ne?
Navzdory potenciální snaze Gigabyte vyřešit problém s firmwarem se aktualizace firmwaru často ukončují tiše na počítačích uživatelů kvůli složité povaze procesu a výzvě sladit firmware s hardwarem. Toto odhalení je hluboce znepokojivé, vezmeme-li v úvahu obrovské množství zařízení, která by mohla být ovlivněna. Zatímco Gigabyte pravděpodobně neměl se svým skrytým firmwarovým nástrojem žádné zlomyslné nebo podvodné úmysly, bezpečnostní zranitelnosti ve skrytém kódu pod operačním systémem podkopávají základní důvěru uživatelů v jejich stroje.