Firmware Backdoor i gjetur në miliona pllaka amë për PC
Kriminelët kibernetikë kanë përdorur gjithnjë e më shumë një taktikë dinak duke fshehur programet me qëllim të keq brenda firmuerit UEFI të një kompjuteri – kodi themelor përgjegjës për nisjen e sistemit operativ. Megjithatë, situata bëhet edhe më alarmante kur një prodhues i motherboard-it jo vetëm që përfshin backdoor- in e tij të fshehur në firmware-in e miliona kompjuterëve, por nuk arrin ta sigurojë atë hyrje siç duhet.
Kohët e fundit, një ekip studiuesish të sigurisë kibernetike të specializuar në firmware ka zbuluar një mekanizëm të fshehur të ngulitur në firmware-in e pllakave amë të prodhuar nga Gigabyte, një kompani e njohur tajvaneze e përdorur gjerësisht në PC-të e lojrave dhe kompjuterët me performancë të lartë. Pas rinisjes së një kompjuteri me motherboard-in e prekur Gigabyte, kodi i fshehur brenda firmware-it aktivizon në mënyrë diskrete një program përditësues në kompjuter. Më pas, ky program shkarkon dhe ekzekuton një pjesë tjetër të softuerit pa dijeninë ose pëlqimin e përdoruesit.
Tabela e Përmbajtjes
Synimet e mira, zbatimi jo aq shumë
Ndërsa kodi i fshehur i zbuluar në firmuerin e motherboard-it Gigabyte ishte menduar si një mjet i padëmshëm për përditësimet e firmuerit, studiuesit kanë identifikuar të meta të rëndësishme sigurie në zbatimin e tij. Këto dobësi krijojnë një rrezik potencial të aktorëve keqdashës që shfrytëzojnë mekanizmin, të cilët mund ta përdorin atë për të instaluar malware në vend të programit të synuar Gigabyte.
Çështja e ndërlikuar është fakti që programi përditësues niset nga firmware-i i kompjuterit, që funksionon jashtë sferës së sistemit operativ të përdoruesit. Kjo e bën tepër sfidues për përdoruesit zbulimin ose heqjen e kodit problematik, duke përkeqësuar më tej ndikimin e mundshëm të cenueshmërisë së sigurisë.
Më shumë se 270 modele të përfshira
Për të parë nëse motherboard i kompjuterit tuaj përmban derën e pasme në fjalë, lundroni te "Start" në Windows dhe hyni në "System Information".
Ndërsa hetonin kodin me qëllim të keq të bazuar në firmware, studiuesit bënë një zbulim domethënës në lidhje me mekanizmin e fshehur të firmuerit të Gigabyte. Ky zbulim është veçanërisht i dukshëm pasi hakerat e sofistikuar shpesh përdorin taktika të ngjashme. Çuditërisht, skanimet e zbulimit të automatizuar të studiuesve shënuan mekanizmin përditësues të Gigabyte për përfshirjen në aktivitete të dyshimta që të kujtojnë mjetet e hakerimit të sponsorizuara nga shteti. Në mënyrë të veçantë, ai përfshinte fshehjen brenda firmuerit dhe ekzekutimin në heshtje të një programi që shkarkon kodin nga interneti.
Vetëm mekanizmi përditësues i Gigabyte ka ndezur shqetësime midis përdoruesve të cilët janë të shqetësuar për mundësinë e instalimeve të kodit të heshtur përmes një mjeti pothuajse të padukshëm. Për më tepër, ekziston një frikë e vërtetë se mekanizmi i Gigabyte mund të bjerë viktimë e shfrytëzimit nga hakerat që depërtojnë në prodhuesin e motherboard-it, duke shfrytëzuar aksesin e tij të fshehur për një sulm të poshtër të zinxhirit të furnizimit të softuerit. Megjithatë, hetimi i Eclypsium zbuloi një zbulim edhe më alarmues. Mekanizmi i përditësimit, i krijuar për të përmirësuar përvojën e përdoruesit, përmban dobësi të dukshme që kanë potencialin për t'u rrëmbyer me qëllim të keq. Në mënyrë tronditëse, ai shkarkon kodin në makinën e përdoruesit pa iu nënshtruar vërtetimit të duhur, dhe në disa raste, ai madje përdor një lidhje të pasigurt HTTP në vend të HTTPS më të sigurt.
Kjo vrimë e zbrazët e sigurisë lejon aktorët keqdashës të orkestrojnë sulme njeriu në mes, duke i lejuar ata të mashtrojnë përdoruesit që nuk dyshojnë duke mashtruar burimin e instalimit. Në thelb, edhe një rrjet mashtrues Wi-Fi mund të bëhet një instrument rreziku, duke përgjuar lidhjen e internetit të përdoruesit dhe duke rrezikuar integritetin e sistemit të tyre.
Në raste të tjera, mekanizmi i firmuerit të Gigabyte i mundëson përditësuesit të marrë shkarkime nga një pajisje ruajtëse e lidhur me rrjetin lokal (NAS). Ky funksion, me sa duket synon lehtësimin e përditësimeve brenda rrjeteve të biznesit, shmang aksesin e gjerë në internet nga të gjitha makinat. Megjithatë, kur kjo ndodh, një aktor keqdashës në të njëjtin rrjet mund të manipulojë me mashtrim vendndodhjen e NAS, duke zëvendësuar në mënyrë të fshehtë përditësimet e autorizuara me malware-in e tyre.
Një rregullim mund të funksionojë ... apo jo?
Pavarësisht përpjekjeve të mundshme të Gigabyte për të adresuar çështjen e firmuerit, përditësimet e firmuerit shpesh përfundojnë në heshtje në makinat e përdoruesve për shkak të natyrës së ndërlikuar të procesit dhe sfidës së përafrimi të firmuerit me harduerin. Ky zbulim është thellësisht shqetësues, duke pasur parasysh numrin e madh të pajisjeve që mund të preken. Ndërsa Gigabyte ka të ngjarë të mos ketë qëllime keqdashëse ose mashtruese me mjetin e tyre të fshehur të firmuerit, dobësitë e sigurisë brenda kodit të fshehur nën sistemin operativ minojnë besimin themelor të përdoruesve në makinat e tyre.