Бэкдорная прошивка обнаружена на миллионах материнских плат ПК
Киберпреступники все чаще используют изощренную тактику, скрывая вредоносные программы в прошивке компьютера UEFI — основном коде, отвечающем за загрузку операционной системы. Однако ситуация становится еще более тревожной, когда производитель материнских плат не только включает свой скрытый бэкдор в прошивку миллионов компьютеров, но и не может должным образом защитить этот вход.
Недавно группа исследователей кибербезопасности, специализирующихся на микропрограммах, обнаружила скрытый механизм, встроенный в микропрограммы материнских плат производства Gigabyte, известной тайваньской компании, широко используемой в игровых и высокопроизводительных компьютерах. При перезагрузке компьютера с поврежденной материнской платой Gigabyte скрытый код микропрограммы незаметно запускает программу обновления на компьютере. Впоследствии эта программа загружает и запускает другую часть программного обеспечения без ведома или согласия пользователя.
Оглавление
Намерения хорошие, реализация не очень
Хотя скрытый код, обнаруженный в прошивке материнской платы Gigabyte, предположительно предназначался как безвредный инструмент для обновления прошивки, исследователи выявили в его реализации существенные недостатки безопасности. Эти уязвимости создают потенциальный риск использования механизма злоумышленниками, которые могут использовать его для установки вредоносного ПО вместо предполагаемой программы Gigabyte.
Проблема усугубляется тем фактом, что программа обновления запускается из микропрограммы компьютера, работая вне области операционной системы пользователя. Из-за этого пользователям невероятно сложно обнаружить или удалить проблемный код, что еще больше усугубляет потенциальное влияние уязвимости системы безопасности.
Задействовано более 270 моделей
Чтобы узнать, содержит ли материнская плата вашего компьютера рассматриваемый бэкдор, перейдите в «Пуск» в Windows и откройте «Информация о системе».
Исследуя вредоносный код на основе прошивки, исследователи сделали важное открытие относительно скрытого механизма прошивки Gigabyte. Этот вывод особенно примечателен, поскольку опытные хакеры часто используют подобную тактику. Удивительно, но автоматические проверки обнаружения, проведенные исследователями, выявили в механизме обновлений Gigabyte подозрительные действия, напоминающие хакерские инструменты, спонсируемые государством. В частности, это заключалось в том, чтобы спрятаться в прошивке и тихо выполнить программу, которая загружает код из Интернета.
Сам по себе механизм обновления Gigabyte вызвал опасения у пользователей, опасающихся перспективы автоматической установки кода с помощью почти незаметного инструмента. Более того, существуют опасения, что механизм Gigabyte может стать жертвой эксплуатации со стороны хакеров, которые проникнут к производителю материнских плат, используя его скрытый доступ для гнусной атаки на цепочку поставок программного обеспечения. Однако расследование Эклипсиума выявило еще более тревожное открытие. Механизм обновления, разработанный для улучшения взаимодействия с пользователем, содержит вопиющие уязвимости, которые могут быть взломаны злоумышленниками. Удивительно, но он загружает код на компьютер пользователя без надлежащей аутентификации, а в некоторых случаях даже использует небезопасное HTTP-соединение вместо более безопасного HTTPS.
Эта зияющая дыра в системе безопасности позволяет злоумышленникам организовывать атаки «человек посередине», что позволяет им обманывать ничего не подозревающих пользователей, подделывая источник установки. По сути, даже мошенническая сеть Wi-Fi может стать инструментом опасности, перехватывая интернет-соединение пользователя и нарушая целостность его системы.
В других случаях механизм встроенного ПО Gigabyte позволяет программе обновления получать загрузки с локального сетевого устройства хранения данных (NAS). Эта функция, по-видимому, направленная на облегчение обновлений в бизнес-сетях, позволяет избежать обширного доступа в Интернет со всех компьютеров. Однако когда это происходит, злоумышленник в той же сети может обманным путем манипулировать расположением NAS, тайно заменяя авторизованные обновления своим собственным вредоносным ПО.
Исправление может сработать... или нет?
Несмотря на потенциальные усилия Gigabyte по решению проблемы с прошивкой, обновления прошивки часто автоматически прекращаются на компьютерах пользователей из-за сложного характера процесса и сложности согласования прошивки с оборудованием. Это откровение вызывает глубокую обеспокоенность, учитывая огромное количество устройств, которые могут быть затронуты. Хотя у Gigabyte, вероятно, не было никаких злонамеренных или обманных намерений с их скрытым инструментом прошивки, уязвимости безопасности в скрытом коде операционной системы подрывают фундаментальное доверие пользователей к своим машинам.