Главная (Newsland) ☣ Ха - ха - хакер ☣ Российская хакерская элита придумала новую хитрую уловку

29.09.2018 03:00

Российская хакерская элита придумала новую хитрую уловку

Мужчина перед монитором компьютера <small></small>

В распоряжении хакерской группы«Фэнси Беар» имеется богатый арсенал инструментов, о чём свидетельствуют её атаки против Национального комитета Демократической партии, Олимпиады в Пхенчхане и многое другое. Однако фирма кибербезопасности «Эсет» (ESET), по всей видимости, обнаружила у этой элитной русской команды такие продвинутые методы, каких она раньше не встречала.

Эта фирма нашла руткит UEFI (единый расширяемый интерфейс прошивки), позволяющий получить устойчивый доступ к компьютеру, которого трудно выявить и еще труднее устранить. Нашла она его в компьютере неопознанной жертвы. Нельзя сказать, что об этом приёме никто раньше не слышал, так как исследователи находили доказательства его существования, а утечки данных указывают на то, что ЦРУ и частная компания «Хакинг Тим» обладает такими же возможностями. Но теперь появились доказательства его существования в виде вредоносной программы LoJax, что свидетельствует о значительном совершенствовании инструментария «Фэнси Беар».

Кратко и по сути

Если название LoJax кажется вам смутно знакомым, то это из-за того, что вы могли запомнить программу безопасности LoJack, ранее известную как Computrace. Она позволяет вам отследить свой компьютер в случае его кражи. LoJax оказалась очень могущественной. Она сидит в прошивке компьютера и регулярно подает сигналы на сервер, указывая на свое местонахождение. Важно то, что вы не сможете от неё избавиться, даже переустановив свою операционную систему или перейдя на новый жесткий диск.

Это сделано специально в качестве меры безопасности. Если кто-то украдёт ваш компьютер, вы наверняка захотите найти вора и сделаете так, чтобы его было легче выявить. Но данная программа также дает уникальные возможности злоумышленникам, о чём говорилось в 2016 году во время презентации на конференции по безопасности «Зироу Найтс» (Zero Nights). А ещё об этом подробно рассказали в мае аналитики из фирмы безопасности «Арбор Нетуоркс» (Arbor Networks). По сути дела, хакеры из «Фэнси Бэр» научились манипулировать кодом старой версии LoJack, чтобы она подавала сигнал не на предназначенный для её компьютера сервер, а на тот, которым пользуются российские шпионы. Это и есть LoJax. И от этого дьявола трудно избавиться.

«Всякий раз, когда запускается компьютер c заражённым интерфейсом прошивки, агент LoJax попадает в файловую систему Windows. Поэтому, когда загружается Windows, он уже заражён агентом LoJax. Даже если вы удалите LoJax из Windows, при следующей загрузке имплант интерфейса прошивки вновь заразит Windows», — говорит Алексис Доре-Йонкас (Alexis Dorais-Joncas), возглавляющий аналитическое подразделение «Эсет».

LoJax можно полностью удалить из системы, но для этого нужны серьёзные технические навыки. «Нельзя просто перезапустить систему. Нельзя просто переустановить жёсткий диск. Нельзя заменить жёсткий диск. Практически необходимо перепрограммировать всё встроенное программное обеспечение, — говорит менеджер „Арбор Нетуоркс" Ричард Хаммел (Richard Hummel), занимающийся анализом угроз. — Большинство людей не знают, как это делается. Это очень злокозненная штука, потому что пользоваться компьютером из-за неё становится трудно».

Основная часть антивирусных сканеров и прочих продуктов безопасности тоже не ищут проблемы единого расширяемого интерфейса прошивки, из-за чего ещё труднее определить, есть ли там вредоносный код. Но если он там есть - вы в беде.

«Современные злоумышленники легко могут использовать уязвимости в программном и аппаратном обеспечении десятилетней давности, а поэтому компаниям необходимо применять самые передовые приёмы гигиены терминалов, включая обновление своих компьютеров и встроенных программ, использование антивредоносных средств и обеспечение работоспособности средств защиты других компьютеров, — говорит исполнительный вице-президент компании-разработчика LoJack „Абсолют" (Absolute) Дин Коза (Dean Ćoza).- Мы очень серьёзно относимся к безопасности нашей платформы, и стараемся сделать так, чтобы эти проблемы не отражались на наших партнерах и клиентах».

Захват

Обнаруженная компанией «Эсет» вредоносная программа сама активно не крадёт данные в заражённом устройстве. Она не грабитель, а дверь в ваш дом, которая так хорошо спрятана, что вы не увидите её, даже если внимательно осмотрите каждую стену. LoJax дает «Фэнси Бэр» постоянный удалённый доступ к устройству, а также возможность в любой момент устанавливать на нём дополнительные вредоносные программы.

«По сути дела, она позволяет взломщику захватить машину и загружать в неё всё, что тот пожелает, — говорит Хаммел. — Он также может использовать программу по её первоначальному предназначению, то есть, отслеживать местоположение заражённых компьютеров и даже выявлять конкретных владельцев, представляющих для него интерес».

Существует очень мало информации о взломе хакерами «Фэнси Бэр» интерфейса прошивки, а имеющиеся подробности малопонятны. Доре-Йонкас подтвердил, что замеченное ими устройство было «инфицировано несколькими вредоносными кодами», и что хакеры взламывали системы государственных учреждений в Европе. Он не знает точно, как хакеры из «Фэнси Беар» проникли в устройство жертвы, однако предполагает, что они могли действовать стандартно, сначала проведя целевой фишинг, чтобы осуществить первоначальный взлом, а потом начав продвижение по сети с целью определения местоположения более ценных целей.

Но у «Эсет» есть гораздо больше конкретных данных о том, как действовала «Фэнси Беар», осуществив первоначальное проникновение. Сначала хакеры воспользовались широко доступным средством, чтобы прочесть память встроенного программного обеспечения единого расширяемого интерфейса прошивки и лучше понять, какое именно устройство они взламывают. Получив образ микропрограммного обеспечения, они модифицировали его, чтобы добавить туда вредоносный код, а потом переписали заражённый образ и вернули обратно в память встроенного программного обеспечения. По словам Доре-Йонкаса, этот процесс не был автоматизирован, и человек за компьютером прошёл каждый его шаг.

Эта информация дает определенную надежду будущим потенциальным жертвам. Если конкретно - взломщики сумели внедрить вредоносный код в аппаратно-программное обеспечение выбранного компьютера, потому что он был довольно старый. Intel и прочие машины защищены лучше, особенно после того, как появилась информация о ЦРУ и «Хакинг Тим». Использование технологии Secure Boot (безопасная загрузка) в Windows также предотвращает атаки такого рода, поскольку она проверяет, совпадает ли образ микропрограммного обеспечения на вашем компьютере с тем, который был установлен производителем.

«С другой стороны, — говорит Доре-Йонкас, — могут быть новые атаки, поскольку „Фэнси Беар" поняла, как проводить их успешно». Теперь, когда известно, что это дело рук «Фэнси Беар», у них наверняка появятся подражатели.

«Всякий раз, когда мы видим новую тактику, уже очень скоро другие хакеры начинают понимать, как это делается, и берутся её копировать», — говорит Хаммел.

У российских хакеров имеется в распоряжении изощренный арсенал средств взлома. Но появление руткита UEFI — невидимого, сложного, разрушительного — показывает, какими передовыми возможностями они обладают. И ещё, что намного важнее: это показывает, насколько трудно защититься от такой напасти.

Источник: https://inosmi.ru/social/20180929/243352494.html

9 2 12

☣ Ха - ха - хакер ☣

212 участников

Смотрите также

Хакинг Тим не так давно взламывали и слили их инструменты в открытый доступ. В списке слитых инструментов, был и этот руткит. Цереу и Хакинг Тим, тоже юзали модифицорованную версию не только для отслеживания украденных компов.

1 Экспертное мнение