Exotické útoky nie sú sci-fi. Softvér Hacking Teamu infikuje aj BIOS a prežije výmenu HDD

Značky: bezpečnosťInternet

DSL.sk, 14.7.2015

Informácie o rozličných netradičných technikách bezpečnostných útokov nemusia byť len informáciami teoretickej akademickej povahy. Najnovšie to dokumentujú ďalšie informácie zistené z dát, ktoré unikli po hacknutí talianskej spoločnosti Hacking Team.

Bezpečnostná spoločnosť Trend Micro totiž v týchto dátach objavila v arzenáli Hacking Team aj UEFI BIOS rootkit.

Pomocou tohto rootkitu sa môže jej softvér pre infikovanie a sledovanie počítačov Remote Control System, RCS, predávaný najmä orgánom činným v trestnom konaní a tajným službám udržať v počítačoch aj po reinštalovaní operačného systému alebo výmene disku. "Toto znamená, že ak aj užívateľ naformátuje disk, preinštaluje OS a dokonca kúpi nový disk, agenty sa naimplantujú po nabehnutí a spustení Microsoft Windows," uvádza Trend Micro.

Identifikovaný kód je účinný proti Insyde BIOS, populárnemu UEFI firmvéru v notebookoch. Podľa bezpečnostnej spoločnosti pravdepodobne funguje aj na AMI BIOS.

Podľa prezentácie Hacking Teamu je potrebný pre jeho nainštalovanie ale fyzický prístup k zariadeniu. Trend Micro podľa svojho popisu nemôže vylúčiť možnosť vzdialenej inštalácie, čo tým myslí ale nevysvetľuje.

Pri fyzickej infekcii sa musí útočník dostať do UEFI shellu, nainštalovať BIOS rootkit, znovu naflashovať BIOS a rebootovať počítač.

Rootkit sa skladá celkom z troch modulov, pričom je podľa popisu zameraný na Windows. Prvý modul Ntfs.mod je určený pre prístup k súborovému systému NTFS používanému Windows, druhý Rkloader.mod je aktivovaný po nabootovaní systému a tretí dropper.mod obsahuje samotné agenty, scout.exe a soldier.exe.

Rootkit vždy po nabootovaní systému skontroluje, či sú agenty nainštalované. Ak scout.exe nie je, vloží ho do inštalácie Windows na disk medzi automaticky po štarte spúšťaný kód.

Trend Micro užívateľom pre obranu proti takémuto typu rootkitu odporúča nastaviť BIOS alebo UEFI heslo, zapnúť prípadne UEFI SecureFlash overujúcu autentickosť nahrávaného kódu a vždy aktualizovať BIOS po vydaní bezpečnostnej aktualizácie. V prípade nákupu serverov odporúča kupovať servery s fyzickým prepínačom blokujúcim nahratie nového BIOSu.




Najnovšie články:



Diskusia:

ty co hackli hacking team Od: charles long | Pridané: 14.7.2015 19:49 Maju dostat nobelovu cenu mieru. a NIE bonzacik teply snowden a este tvorcovia thor-u lebo na ten je kratky aj buratino z kremlu Odpovedať Známka: -8.5 Hodnotiť:

Re: ty co hackli hacking team Od: spoo | Pridané: 14.7.2015 20:09 kebyze mame toho Buratina uz sa citis ako clovek ... Odpovedať Známka: 4.0 Hodnotiť:

sveter Od: bozzz | Pridané: 14.7.2015 21:18 infikovat bios mi mozu hlavne ze ide porno!!!!111!1!11!1! Odpovedať Známka: 7.4 Hodnotiť:

Detské porno Od: Muad'Dib | Pridané: 15.7.2015 10:58 ... lenže potom ti tam podstrčia detské... A nie ej podstatné, či tebe pôjde, ale že oni ho potom „nájdu“. Odpovedať Známka: 8.9 Hodnotiť:

Re: Detské porno Od: MAJAK - neregistrovany | Pridané: 16.7.2015 4:21 ufo pornoooo Odpovedať Známka: 10.0 Hodnotiť:

Detské porno Od: Muad'Dib | Pridané: 15.7.2015 10:58 ... lenže potom ti tam podstrčia detské... A nie je podstatné, či tebe pôjde, ale že oni ho potom „nájdu“. Odpovedať Známka: 1.4 Hodnotiť:

sratefi Od: drbefi | Pridané: 14.7.2015 21:21 nasrat cele uefi vzadudverovane Odpovedať Známka: 9.5 Hodnotiť:

tamtung Od: tamtung | Pridané: 14.7.2015 21:29 tak vymenim BIOS, nie ? prinajhorskom odpajkujem a pripajkujem novy otazne je, ci by dokazali infikovat BIOS keby ma vidia len cez nejaky virtual machine Odpovedať Známka: -6.9 Hodnotiť:

Re: tamtung Od: ertgrs | Pridané: 14.7.2015 21:31 lenze na nejakych ntb neprepajkujes bios Odpovedať Známka: 5.0 Hodnotiť:

Re: tamtung Od: ertgrs | Pridané: 14.7.2015 21:38 ale cez kabliky preflashujes Odpovedať Známka: 1.4 Hodnotiť:

Re: tamtung Od reg.: Bryan Fury | Pridané: 14.7.2015 22:45 Prepájkuješ, len musíš byť šikovný. Odpovedať Známka: 8.1 Hodnotiť:

asdamnv Od: asi_ne | Pridané: 14.7.2015 21:42 som zvedavy, ci sa to vztahuje aj na libre- a coreboot? Odpovedať Známka: 5.0 Hodnotiť:

Re: asdamnv Od: quix_ | Pridané: 14.7.2015 22:37 nie. jednoducho nie. Odpovedať Hodnotiť:

Ochrana Od: Japster | Pridané: 14.7.2015 21:49 Žeby preto som si dával namiesto FLASH čipu BIOSu obvod ako EPROM bez okienka...? Aby ho totiž nebolo ako preprogramovať. Dá sa to poistiť na MB, že zablokujete na MB prívod programovacieho napätia. Kedysi bolo +12V alebo hoc aj +5V. Odpovedať Známka: 1.4 Hodnotiť:

Re: Ochrana Od: Kontrolko | Pridané: 14.7.2015 22:23 Ak si pre niekoho tak dvolezity , ze Ti chce hacknut pc takymto rootkitom , tak ma dalsich xy moznosti a staci ked uspeje s jednou. Dufam ze som Tvoju paranoju este nezhorsil ;) Odpovedať Známka: 7.3 Hodnotiť:

Re: Ochrana Od: Japster | Pridané: 14.7.2015 22:31 Hahá... To malo iný dôvod chlapče... Asi je firmvér HDD dosť malý, a BIOS v dnešnej dobe už dosť veľký. Aj VGA karty majú len maličký BIOS, CD/DVD ROM-ky trochu väčší... Na sieťovke sa to do EEPROM asi nechytá, tak jedine BIOS. Mŕtve dosky som takto reštauroval naveky. Odpovedať Známka: -0.8 Hodnotiť:

Re: Ochrana Od: ase | Pridané: 15.7.2015 3:09 V prvom rade zaujmova osoba takeho rangu si vie kupit rovno cely notebook aj 2x do dna :) Ono toto je dvojsecna zbran na jednej strane to pomaha chytat teroristov na strane druhej je to narusenie sukromia aj nevinnych ludi preto hovorim ano nech je to aj povina "vybava" ale nech ju riadi a kontroluje umela inteligencia ktora spristupni policii skutocne len "podozrivu" cinnost.No je to skutocne zaujimave ako su uz daleko termo odpocuvanie pc alebo akusticke odpocuvanie klavesnice teraz bios rootkit a to este nevieme ani o kvapke v mori. Odpovedať Známka: -3.3 Hodnotiť:

Re: Ochrana Od reg.: smurf | Pridané: 15.7.2015 10:07 skynet are u there ? I mean Genisys, or should I say Android ? Odpovedať Známka: 3.3 Hodnotiť:

Re: Ochrana Od: trololoman | Pridané: 15.7.2015 9:04 Len taka technicka EPROM bez okienka je PROM. To co je ale na sucasnych doskach je EEPROM (tiez nema okienko - ale z ineho dovodu). Odpovedať Známka: 3.3 Hodnotiť:

Re: Ochrana Od: Japster | Pridané: 15.7.2015 9:48 Ty si truľo. EPROM bez okienka je EPROM bez okienka. EEPROM je elektricky vymazateľná pamäť, čo EPROM je vymazateľná len špeciálnym spôsobom, určite nie elktricky. EEPROM je kadečo dnes, ale to nemá okienko a lebo je uspôsobená na mazanie elektricky. Ešte nejaké ponaučenia? Odpovedať Známka: -1.4 Hodnotiť:

trend Od: trend | Pridané: 15.7.2015 9:33 Myslim, ze trend mat maly operacny system v kazdom cipe je zly. Odkedy je v atuach, tak sa im otvaraju dvere a nevypinaju motory, odkedy je v prackach, tak sa neda prerusit program (napr. pri kratkom vypadku prudu) atd. Myslim, ze uplne sprosty bios s jedinou schopnostou najst monitor, klavesnicu a disk a z neho spustit bootloader by stacil a tym padom by ani nemal chyby, ani aktualizacie, ani moznost prepisania. Odpovedať Známka: 10.0 Hodnotiť:

Re: trend Od: Boh1 | Pridané: 15.7.2015 10:20 Za chvíľu aj rýchlovarné kanvice budú mať OS a neuvaria vodu lebo vo veľkom kancli cez wifi zistia, že je deň Zeme a treba šetriť energiou. Odpovedať Známka: 9.3 Hodnotiť:

Re: trend Od: Japster | Pridané: 15.7.2015 10:30 Alebo si zabudol updatnúť FLASH a nič nebude, žiadna animácia varu vody... Odpovedať Známka: 10.0 Hodnotiť:

granulujem Od reg.: nemam a nebudem mat | Pridané: 15.7.2015 16:55 super, koli nevzdelanym oveckam ktore nemaju co robit v biose spravili hnusny skaredy animovany UEFI bios ktory je teraz tercom utokov a je mozne ho infikovat... cim viac sprostosti vymyslaju, tym horsie. Odpovedať Známka: 10.0 Hodnotiť:

bez nadpisu Od: kakadoo | Pridané: 15.7.2015 21:54 Ahaaa, takze uz viem co je ten scout ktory spominaju Polsky tajny (protikorupcny) ked pisu hacking teamu na support :)) Takze poliaci ten ich soft realne aj vyuzivali, lebo vo wikileaks som nasiel toto: https://www.wikileaks.org/ hackingteam/emails/emailid/74608 Aj madarsky tajny to pouzivaju: https://www.wikileaks.org/ hackingteam/emails/emailid/794922 To tak pekne vyzera ked panko s adresou @nbsz.gov.hu pise na support "We were trying to infect a Windows XP machine with a silent installer (.exe) and the installation of the scout was succesfull but ..." :) Odpovedať Hodnotiť:

vazne ? Od: marvin | Pridané: 16.7.2015 8:06 "...tretí dropper.mod obsahuje samotné agenty..." Tie agenty ? Vazne ? Prekonavate sa v przneni jazyka Odpovedať Hodnotiť:

Nadpis Od reg.: Sheer Mirage | Pridané: 16.7.2015 10:20 Prečítal som nadpis "erotické útoky"... Odpovedať Hodnotiť:

Titulok: Od: Meno: | Pridané: 16.7.2015 12:37 UEFI ... ved to uz na prvy pohlad ked sa o tom este len hovorilo ako o technologii vykazovalo naznaky ze sa to bude dat exploitovat .. nehovoriac o takych vynalezoch ako webovy prehliadac pristupny z biosu............. no comment Odpovedať Hodnotiť:

charles long Od: charles long | Pridané: 18.7.2015 11:01 Robert Kaliňák ponúka Heroín Kokaín Hašiš http://inzeraty.sme.sk/i/ 104085-robert-kalioak-ponuka-heroin-kokain-hasi Odpovedať Hodnotiť:

Pridať komentár