Firmvér Backdoor nájdený na miliónoch základných dosiek PC
Kyberzločinci čoraz viac využívajú úskočnú taktiku ukrývania škodlivých programov vo firmvéri UEFI počítača – základnom kóde zodpovednom za spustenie operačného systému. Situácia sa však stáva ešte alarmujúcejšou, keď výrobca základnej dosky nielenže zahrnie svoje skryté zadné dvierka do firmvéru miliónov počítačov, ale nedokáže tento vchod správne zabezpečiť.
Nedávno tím výskumníkov v oblasti kybernetickej bezpečnosti, ktorí sa špecializujú na firmvér, objavil skrytý mechanizmus zabudovaný do firmvéru základných dosiek vyrábaných spoločnosťou Gigabyte, renomovanou taiwanskou spoločnosťou široko používanou v herných počítačoch a vysokovýkonných počítačoch. Po reštartovaní počítača s dotknutou základnou doskou Gigabyte skrytý kód vo firmvéri diskrétne spustí aktualizačný program v počítači. Následne tento program stiahne a spustí ďalší softvér bez vedomia alebo súhlasu používateľa.
Obsah
Zámery dobré, realizácia nie až tak veľa
Zatiaľ čo skrytý kód objavený vo firmvéri základnej dosky Gigabyte bol pravdepodobne určený ako neškodný nástroj na aktualizáciu firmvéru, výskumníci identifikovali významné bezpečnostné chyby v jeho implementácii. Tieto zraniteľnosti vytvárajú potenciálne riziko, že tento mechanizmus zneužijú záškodníci, ktorí by ho mohli využiť na inštaláciu škodlivého softvéru namiesto zamýšľaného programu Gigabyte.
Problémom je skutočnosť, že aktualizačný program je spustený z firmvéru počítača, ktorý pracuje mimo sféry operačného systému používateľa. Vďaka tomu je pre používateľov neuveriteľne náročné odhaliť alebo odstrániť problematický kód, čo ešte viac zhoršuje potenciálny vplyv bezpečnostnej zraniteľnosti.
Zapojených viac ako 270 modelov
Ak chcete zistiť, či základná doska vášho počítača obsahuje príslušné zadné vrátka, prejdite v systéme Windows na „Štart“ a prejdite na „Informácie o systéme“.
Počas skúmania škodlivého kódu založeného na firmvéri výskumníci urobili významný objav týkajúci sa skrytého mechanizmu firmvéru Gigabyte. Toto zistenie je obzvlášť pozoruhodné, pretože sofistikovaní hackeri často používajú podobné taktiky. Automatizované detekčné skeny výskumníkov prekvapivo označili mechanizmus aktualizácie Gigabyte na zapojenie sa do podozrivých aktivít, ktoré pripomínajú štátom sponzorované hackerské nástroje. Konkrétne išlo o skrytie vo firmvéri a tiché spustenie programu, ktorý sťahuje kód z internetu.
Samotný aktualizačný mechanizmus Gigabyte vyvolal obavy medzi používateľmi, ktorí sa obávajú možnosti tichých inštalácií kódu prostredníctvom takmer nepostrehnuteľného nástroja. Okrem toho existuje skutočná obava, že mechanizmus Gigabyte by sa mohol stať obeťou zneužitia hackermi, ktorí sa infiltrujú do výrobcu základnej dosky a využívajú jeho skrytý prístup na hanebný útok na dodávateľský reťazec softvéru. Vyšetrovanie Eclypsia však odhalilo ešte znepokojivejšie odhalenie. Mechanizmus aktualizácie, navrhnutý na zlepšenie používateľského zážitku, obsahuje do očí bijúce zraniteľnosti, ktoré môžu byť zneužité. Šokujúce je, že sťahuje kód do počítača používateľa bez toho, aby prešiel riadnou autentifikáciou, a v niektorých prípadoch dokonca využíva nezabezpečené pripojenie HTTP namiesto bezpečnejšieho HTTPS.
Táto priepastná bezpečnostná diera umožňuje zlomyseľným hercom organizovať útoky typu man-in-the-middle, čo im umožňuje oklamať nič netušiacich používateľov sfalšovaním inštalačného zdroja. V podstate aj nečestná Wi-Fi sieť by sa mohla stať nástrojom nebezpečenstva, ktorý by zachytil internetové pripojenie používateľa a ohrozil integritu jeho systému.
V iných prípadoch mechanizmus firmvéru Gigabyte umožňuje aktualizátoru načítať stiahnuté súbory z lokálneho sieťového úložného zariadenia (NAS). Táto funkcia, zdanlivo zameraná na uľahčenie aktualizácií v rámci podnikových sietí, zabraňuje rozsiahlemu prístupu na internet zo všetkých zariadení. Keď k tomu však dôjde, zákerný hráč v tej istej sieti môže klamlivo manipulovať s umiestnením NAS a tajne nahradiť autorizované aktualizácie vlastným škodlivým softvérom.
Oprava môže fungovať... alebo nie?
Napriek potenciálnemu úsiliu spoločnosti Gigabyte vyriešiť problém s firmvérom sa aktualizácie firmvéru často ukončia ticho na počítačoch používateľov kvôli zložitej povahe procesu a výzve zosúladiť firmvér s hardvérom. Toto odhalenie je hlboko znepokojujúce vzhľadom na obrovské množstvo zariadení, ktoré by mohli byť ovplyvnené. Zatiaľ čo Gigabyte pravdepodobne nemal so svojím skrytým firmwarovým nástrojom žiadne zlomyseľné alebo podvodné úmysly, bezpečnostné nedostatky v skrytom kóde pod operačným systémom podkopávajú základnú dôveru používateľov v ich stroje.