UEFI Exploit Malware vedvarer, selv efter geninstallation af OS
Sikkerhedsforskere er stødt på en UEFI-integreret trojan, der er i stand til at høste data på inficerede MS Windows-maskiner. I modsætning til andre populære Тrojans derude gennemborer den nye trussel et hul i Unified Extensible Firmware Interface (UEFI) og plantes således dybt inde i bundkortets flashhukommelse. Som et resultat får malware ren udholdenhed på den inficerede pc, hvilket giver den immunitet mod ethvert antivirusværktøj. Desuden ville Trojan ikke forsvinde, selv efter en ren installation af dit MS Windows OS.
Anden gang hackere har udtænkt et UEFI-skræddersyet stykke malware, kommer det to år efter, at Lojax-truslen dukkede op i horisonten i 2018.
Indholdsfortegnelse
Nyttelasten (e)
Den UEFI-baserede malware fungerede som bagdør for endnu en ondsindet eksekverbar kaldet "IntelUpdate.exe '. Sidstnævnte sigter mod at levere yderligere malware exfiltrere data fra inficerede maskiner. Desuden indlæses det under systemstart, og baner dig for en løkke igen og igen. Hvis du fjernede .exe-filen, ville den UEFI-placerede Trojan gendanne den under næste opstart, medmindre du helt fjerner UEFIs firmware.
Mål og mistænkte
Indtil videre har de fleste af de registrerede angreb rettet mod diplomatiske og ikke-statslige organisationer, der formodes at have forbindelser til Nordkorea på en eller anden måde. Spredt over Europa, Asien og Afrika fik ofrene malware gennem en ondsindet ramme kendt som MosaicRegressor. En nærmere undersøgelse af malware knyttede den til en bestemt C & C-server, der tidligere var forbundet med Winnti, en cybergang, der angiveligt støttes af de kinesiske myndigheder. Tilstedeværelsen af kinesiske symboler i selve koden understøtter yderligere også denne teori. Ikke desto mindre antyder manglen på hårde beviser, at påstanden kun kan være spekulation snarere end en kendsgerning.
Oprindelses- og infektionsvektor
Oprindelsen af den UEFI-baserede malware kan spores tilbage til 2015, da et italiensk overvågningsteknologivirksomhed kendt som Hacking Team blev offer for datatyveri. Dataene - et projekt, der beskæftiger sig med UEFI-målrettede malwareangreb - lækkede på nettet kort efter denne hændelse. Det er imidlertid ikke klart, om de ansvarlige skurke har påberåbt sig disse data eller udnyttet en anden BIOS-sårbarhed i stedet. Infektionsvektoren er derimod lige så vag. Selv om ofre ser ud til at have modtaget phishing-e-mails fra de pågældende hackere, har ingen af disse e-mails indeholdt nyttelasten.