Oprogramowanie sprzętowe backdoora znalezione na milionach płyt głównych komputerów PC
Cyberprzestępcy coraz częściej stosują przebiegłą taktykę, ukrywając złośliwe programy w oprogramowaniu komputerowym UEFI — podstawowym kodzie odpowiedzialnym za uruchamianie systemu operacyjnego. Jednak sytuacja staje się jeszcze bardziej niepokojąca, gdy producent płyt głównych nie tylko umieszcza swój ukryty backdoor w oprogramowaniu sprzętowym milionów komputerów, ale nie udaje mu się odpowiednio zabezpieczyć tego wejścia.
Niedawno zespół badaczy cyberbezpieczeństwa specjalizujących się w oprogramowaniu układowym odkrył ukryty mechanizm wbudowany w oprogramowanie układowe płyt głównych Gigabyte, renomowanej tajwańskiej firmy, szeroko stosowanej w komputerach do gier i komputerach o wysokiej wydajności. Po ponownym uruchomieniu komputera z płytą główną Gigabyte, której dotyczy problem, ukryty kod w oprogramowaniu sprzętowym dyskretnie uruchamia program aktualizujący na komputerze. Następnie ten program pobiera i uruchamia inne oprogramowanie bez wiedzy i zgody użytkownika.
Spis treści
Intencje dobre, realizacja niezbyt
Podczas gdy ukryty kod odkryty w oprogramowaniu sprzętowym płyty głównej Gigabyte miał prawdopodobnie służyć jako nieszkodliwe narzędzie do aktualizacji oprogramowania układowego, badacze zidentyfikowali poważne luki w zabezpieczeniach w jego implementacji. Luki te stwarzają potencjalne ryzyko wykorzystania mechanizmu przez złośliwych aktorów, którzy mogliby go wykorzystać do zainstalowania złośliwego oprogramowania zamiast zamierzonego programu Gigabyte.
Sprawę komplikuje fakt, że program aktualizujący jest inicjowany z oprogramowania sprzętowego komputera, działając poza obszarem systemu operacyjnego użytkownika. To sprawia, że wykrycie lub usunięcie problematycznego kodu jest niezwykle trudne dla użytkowników, co jeszcze bardziej pogarsza potencjalny wpływ luki w zabezpieczeniach.
Zaangażowanych jest ponad 270 modeli
Aby sprawdzić, czy płyta główna komputera zawiera dany backdoor, przejdź do „Start” w systemie Windows i uzyskaj dostęp do „Informacji o systemie”.
Podczas badania szkodliwego kodu opartego na oprogramowaniu układowym badacze dokonali istotnego odkrycia dotyczącego ukrytego mechanizmu oprogramowania układowego firmy Gigabyte. To odkrycie jest szczególnie godne uwagi, ponieważ wyrafinowani hakerzy często stosują podobne taktyki. Co zaskakujące, zautomatyzowane skanowanie wykrywające badaczy wskazało mechanizm aktualizacji Gigabyte do angażowania się w podejrzane działania przypominające sponsorowane przez państwo narzędzia hakerskie. W szczególności wymagało to ukrycia się w oprogramowaniu układowym i cichego wykonania programu, który pobiera kod z Internetu.
Sam mechanizm aktualizatora Gigabyte wzbudził obawy wśród użytkowników, którzy obawiają się perspektywy cichej instalacji kodu za pomocą prawie niezauważalnego narzędzia. Ponadto istnieje prawdziwa obawa, że mechanizm Gigabyte może paść ofiarą wykorzystania przez hakerów, którzy infiltrują producenta płyty głównej, wykorzystując jego ukryty dostęp do nikczemnego ataku na łańcuch dostaw oprogramowania. Jednak dochodzenie Eclypsium ujawniło jeszcze bardziej niepokojące odkrycie. Mechanizm aktualizacji, zaprojektowany w celu zwiększenia wygody użytkownika, zawiera rażące luki, które mogą zostać złośliwie przejęte. Szokująco, pobiera kod na maszynę użytkownika bez odpowiedniego uwierzytelnienia, aw niektórych przypadkach wykorzystuje nawet niezabezpieczone połączenie HTTP zamiast bezpieczniejszego HTTPS.
Ta dziura w zabezpieczeniach umożliwia wrogim podmiotom organizowanie ataków typu man-in-the-middle, co pozwala im oszukiwać niczego niepodejrzewających użytkowników poprzez fałszowanie źródła instalacji. Zasadniczo nawet nieuczciwa sieć Wi-Fi może stać się narzędziem zagrożenia, przechwytując połączenie internetowe użytkownika i naruszając integralność jego systemu.
W innych przypadkach mechanizm oprogramowania sprzętowego firmy Gigabyte umożliwia aktualizatorowi pobieranie plików z lokalnego urządzenia pamięci masowej podłączonego do sieci (NAS). Ta funkcja, pozornie mająca na celu ułatwienie aktualizacji w sieciach biznesowych, pozwala uniknąć rozległego dostępu do Internetu przez wszystkie maszyny. Jednak w takim przypadku złośliwy aktor w tej samej sieci może podstępnie manipulować lokalizacją NAS, potajemnie zastępując autoryzowane aktualizacje własnym złośliwym oprogramowaniem.
Poprawka może zadziałać… czy nie?
Pomimo potencjalnych wysiłków Gigabyte zmierzających do rozwiązania problemu z oprogramowaniem układowym, aktualizacje oprogramowania układowego często kończą się po cichu na komputerach użytkowników ze względu na skomplikowany charakter procesu i wyzwanie związane z dostosowaniem oprogramowania układowego do sprzętu. To odkrycie jest głęboko niepokojące, biorąc pod uwagę ogromną liczbę urządzeń, na które może to mieć wpływ. Podczas gdy Gigabyte prawdopodobnie nie miał złośliwych ani oszukańczych zamiarów w swoim ukrytym oprogramowaniu układowym, luki w zabezpieczeniach ukrytego kodu pod systemem operacyjnym podważają fundamentalne zaufanie użytkowników do ich maszyn.