ESPecter

Haittaohjelmauhka, joka on mahdollisesti kyennyt välttämään havaitsemisen lähes vuosikymmenen ajan, on vihdoin saatu kiinni infosec-tutkijoille. Kyberturvallisuusasiantuntijoiden löytämä uhka nimeltä ESPecter on käynnistyssarja, joka on suunniteltu lataamaan allekirjoittamattomia ohjaimia tartunnan saaneiden järjestelmien ESP (EFI System Partition) -asemaan.

Tutkijat jäljittelivät uhan alkuperän ainakin vuoteen 2012. Tänä merkittävänä ajanjaksona jyrkin haittaohjelman läpikäymä muutos on siirtyminen vanhojen BIOS- ja Master Boot Record -tietojen kohdistamisesta seuraajaan UEFI:ään. Unified Extensible Firmware Interface tai UEFI on tärkeä komponentti, joka yhdistää koneen laiteohjelmiston käyttöjärjestelmään.

Toistaiseksi ESPecteria ei ole liitetty minkään tietyn uhkatoimijan syyksi riittävien todisteiden puutteen vuoksi. Tietyt uhan osista löydetyt merkit, kuten sen virheenkorjausviestit, viittaavat siihen, että sen tekijät ovat kiinaa puhuvia henkilöitä. ESPecterin toimituksessa käytetty jakelutapa on samoin tuntematon tällä hetkellä. Uhkatekijä voi käyttää nollapäivän UEFI-haavoittuvuutta, tunnettua, mutta vielä korjaamatonta bugia tai hänellä voi olla fyysinen pääsy kohteena oleviin koneisiin.

Tekniset yksityiskohdat

ESPecter asettuu ESP:hen ja varmistaa sen pysyvyyden Windowsin käynnistyshallintaan asennetun korjaustiedoston avulla. Lisäksi korjaustiedosto tarjoaa ESPecterille mahdollisuuden ohittaa kokonaan Windows Driver Signature Enforcement (DSE) -protokollat ja ladata omat allekirjoittamattomat ohjaimensa vaarantuneeseen koneeseen. Uhka voi myös lisätä vaarallisia komponentteja yhteyden muodostamiseksi hyökkääjän komento- ja ohjauspalvelimeen (C2, C&C).

Tutkijat löysivät ESPecter-tartunnan saaneista järjestelmistä näppäinloki- ja tiedostovarastomoduuleja, mikä viittaa siihen, että uhkatoimijan päätavoite voisi olla kybervakoilu ja valittujen kohteiden valvonta. Itse asiassa ESPecter on varustettu myös toiminnolla, jolla voidaan ottaa mielivaltaisia kuvakaappauksia ja tallentaa ne piilotettuun hakemistoon kerättyjen avainlokien ja asiakirjojen rinnalle.

Kuitenkin suorittaakseen uhkaavia toimintojaan ESPecter tarvitsee järjestelmän Secure Boot -ominaisuuden pois käytöstä. Secure Boot esiteltiin ensimmäisen kerran Windows-ominaisuudena Windows 8:n julkaisun myötä, joten kaikki aiemmat käyttöjärjestelmän versiot tulevat automaattisesti alttiiksi ESPecter-hyökkäykselle. Uudemman Windows-version käyttö ei kuitenkaan riitä. Viimeisten parin vuoden aikana on ilmaantunut lukuisia UEFI-laiteohjelmiston haavoittuvuuksia, joiden avulla hyökkääjät voivat poistaa Secure Bootin käytöstä tai ohittaa sen kokonaan.