Backdoor firmware pronađen na milijunima PC matičnih ploča
Kibernetički kriminalci sve više koriste lukavu taktiku skrivajući zlonamjerne programe unutar UEFI firmwarea računala — temeljnog koda odgovornog za pokretanje operativnog sustava. Međutim, situacija postaje još alarmantnija kada proizvođač matične ploče ne samo da uključi svoja skrivena stražnja vrata u firmware milijuna računala, već ne uspije pravilno osigurati taj ulaz.
Nedavno je tim istraživača kibernetičke sigurnosti specijaliziranih za firmware otkrio skriveni mehanizam ugrađen u firmware matičnih ploča koje proizvodi Gigabyte, renomirana tajvanska tvrtka koja se široko koristi u računalima za igre i računalima visokih performansi. Nakon ponovnog pokretanja računala s pogođenom Gigabyte matičnom pločom, skriveni kod unutar firmvera diskretno pokreće program za ažuriranje na računalu. Nakon toga, ovaj program preuzima i pokreće drugi softver bez znanja ili pristanka korisnika.
Sadržaj
Namjere dobre, provedba ne toliko
Iako je skriveni kod otkriven u Gigabyte firmware-u matične ploče vjerojatno bio zamišljen kao bezopasan alat za ažuriranje firmware-a, istraživači su identificirali značajne sigurnosne propuste u njegovoj implementaciji. Ove ranjivosti stvaraju potencijalni rizik od zlonamjernih aktera koji iskorištavaju mehanizam, koji bi ga mogli iskoristiti za instaliranje zlonamjernog softvera umjesto predviđenog Gigabyte programa.
Problem otežava činjenica da se program za ažuriranje pokreće iz firmvera računala, radeći izvan domene korisničkog operativnog sustava. To korisnicima čini nevjerojatno izazovnim otkrivanje ili uklanjanje problematičnog koda, dodatno pogoršavajući potencijalni utjecaj sigurnosne ranjivosti.
Uključeno više od 270 modela
Kako biste vidjeli sadrži li matična ploča vašeg računala sporna stražnja vrata, idite na "Start" u sustavu Windows i pristupite "Informacijama o sustavu".
Dok su istraživali maliciozni kod temeljen na firmwareu, istraživači su došli do značajnog otkrića vezano uz Gigabyteov skriveni firmware mehanizam. Ovo je otkriće posebno značajno jer sofisticirani hakeri često koriste slične taktike. Iznenađujuće, automatsko skeniranje otkrivanja koje su izvršili istraživači označilo je Gigabyteov mehanizam ažuriranja za sudjelovanje u sumnjivim aktivnostima koje podsjećaju na državno sponzorirane alate za hakiranje. Točnije, uključivalo je skrivanje unutar firmvera i tiho izvršavanje programa koji preuzima kod s interneta.
Sam Gigabyteov mehanizam ažuriranja izazvao je zabrinutost među korisnicima koji su zabrinuti zbog mogućnosti tihe instalacije koda putem gotovo neprimjetnog alata. Nadalje, postoji istinski strah da bi Gigabyteov mehanizam mogao postati žrtva iskorištavanja hakera koji se infiltriraju u proizvođača matične ploče, iskorištavajući njegov skriveni pristup za opaki napad na lanac nabave softvera. Međutim, Eclypsiumova istraga otkrila je još alarmantnije otkriće. Mehanizam ažuriranja, osmišljen za poboljšanje korisničkog iskustva, sadrži očigledne ranjivosti koje mogu biti zlonamjerno preuzete. Šokantno, preuzima kod na korisnikov stroj bez prolaska odgovarajuće provjere autentičnosti, a u nekim slučajevima čak koristi nesigurnu HTTP vezu umjesto sigurnijeg HTTPS-a.
Ova zjapeća sigurnosna rupa omogućuje zlonamjernim akterima da orkestriraju napade tipa "čovjek u sredini", što im omogućuje da prevare korisnike koji ništa ne sumnjaju lažiranjem izvora instalacije. U biti, čak i lažna Wi-Fi mreža može postati instrument opasnosti, presrećući internetsku vezu korisnika i ugrožavajući integritet njihova sustava.
U drugim slučajevima, Gigabyteov firmware mehanizam omogućuje ažuriranju dohvaćanje preuzimanja s lokalnog mrežnog uređaja za pohranu (NAS). Ova značajka, naizgled usmjerena na olakšavanje ažuriranja unutar poslovnih mreža, izbjegava ekstenzivan pristup internetu za sva računala. Međutim, kada se to dogodi, zlonamjerni akter na istoj mreži može prijevarno manipulirati lokacijom NAS-a, potajno zamjenjujući ovlaštena ažuriranja vlastitim zlonamjernim softverom.
Popravak bi mogao funkcionirati ... ili ne?
Unatoč Gigabyteovim potencijalnim naporima da riješi problem firmvera, ažuriranja firmvera često se tiho prekidaju na korisničkim strojevima zbog zamršene prirode procesa i izazova usklađivanja firmvera s hardverom. Ovo otkriće je duboko zabrinjavajuće, s obzirom na ogroman broj uređaja koji bi mogli biti pogođeni. Iako Gigabyte vjerojatno nije imao zlonamjerne ili prijevarne namjere sa svojim skrivenim firmware alatom, sigurnosne ranjivosti unutar skrivenog koda ispod operativnog sustava potkopavaju temeljno povjerenje korisnika u njihove strojeve.