Objeven první malware infikující BIOS počítače. Perzistentní rootkit Lojax je z Ruska

48
Zabezpečení (Ilustrační foto)
Zabezpečení (Ilustrační foto)

Počítačová bezpečnost je trochu depresivní věc, protože při komplexnosti softwarových vrstev, které typicky v počítači běží, se vždycky musí najít nějaké slabé místo a zloději/útočníci je vždycky o krok napřed.

Podobných starostí teď zase bude o něco víc. Firma ESET nyní na konferenci Computer Chaos Club zveřejnila detaily o zákeřném malwaru, který neinfikuje operační systém, ale proniká přímo do firmwaru počítače, takže je o hodně těžší ho odstranit, ale také najít. A ke všemu se zdá, že nejde o čistě kriminální aktivitu, ale o malwarový útok sponzorovaný státem.

První rootkit, který napadá UEFI v reálném provozu

Malware pojmenovaný Lojax našli bezpečnostní výzkumníci Esetu, přičemž u něj zároveň zjistili, že je používaný a šířený hackery skupiny nazývané Fancy Bear nebo také Sednit, pravděpodobně spojenými s Ruskými tajnými službami (stojí mimo jiné za zákeřnou nákazou routerů VPNFilter nebo útoky na americkou demokratickou stranu nebo antidopingové úřady WADA). Malware komunikuje s jejími servery a také byl nalezen v organizacích napadených jejími dalšími nákazami. Esetu se rootkit Lojax podařilo odchytit u jednoho ze zákazníků a informoval o něm už v září, nicméně teď k němu byly sděleny detaily. Celou prezentaci autorů této analýzy můžete vidět na tomto videu.

Lojax je modifikací legitimního nástroje Lojack, který slouží jako ochrana notebooků před krádeží. Ruská škodlivá verze je šířena pomocí phishingových emailů – jde tedy o útok, snažící se vzdáleně dostat až do BIOSu počítače, kde je pak persistentní a také hodně dobře schovaný. Při spuštění používá několik různých zranitelností. Kód útočného programu zneužívá zranitelný ovladač přímo v rámci UEFI a použije ho k tomu, aby zapsal škodlivý kód permanentně do BIOSu (UEFI). Jaderný ovladač, který malware zneužívá (je součástí jeho instalátoru), je řádně podepsaný a jeho instalaci proto i aktuální Windows dovolí.

Malware zneužívá legitimní podepsaný ovladač, kterému Windows důvěřuje

UEFI má vlastní sadu ovladačů DXE, které používá k zprovoznění PC při spouštění. Lojax zneužívá zranitelnost v jednom z takových ovladačů, aby pronikl ochranou proti zápisu do paměti SPI Flash, v nichž je UEFI nahráno. UEFI zápis neautorizovaným programům normálně nedovoluje. Lojax zdá se využívá chybu typu race condition, existující v UEFI ovladači řadiče paměti SPI Flash od Intelu. Ten ji kvůli tomuto nechrání paměť před zápisem dostatečně. Útočník se pokouší opakovaně zapnout zápis do paměti flash, což mu ovladač normálně zamítne. Když se ale vícenásobnými požadavky vyvolá situace race condition, kód ovladače selže a nezabrání zápisu, jako by při tomto požadavku měl.

Poté, co v tomto Lojax uspěje, se nahraje do paměti Flash a v ní uloženého UEFI. Přesněji řečeno vyextrahuje UEFI, modifikuje ho, přidá se do něj a přepíše touto infikovanou verzi originál na desce. Od této chvíle je Lojax spouštěn nepozorovaně při každém startu počítače a je aktivní na pozadí s plným přístupem k hardwaru počítače. Může tedy teoreticky sloužit ke špionáži a krádežím dat, útočník by mohl nad počítačem ale asi také mít plnou kontrolu.

Fungování rootkitu Lojax po jeho instalaci do UEFI

V praxi zneužívání probíhá tak, že malware automaticky instaluje své služby a soubory do nainstalovaného systému Windows při každém spouštění, a to stejným mechanismem, který jsme nedávno probírali u desek Asus, automaticky instalujících ovladače. O napadání Linuxu, MacOS nebo jiných „newindowsích“ operačních systémů se zatím neví. Esetu se bohužel podařilo potvrdit, že tento útok je reálně používán a jde zřejmě vůbec první potvrzený malware, který do UEFI instaluje rootkit reálně operující ve světě.

Útok umožnily zranitelnosti a špatná implementace UEFI

Pokud byste už jednou měli Lojax v počítači, nebylo by snadné se ho zbavit. Reinstalace operačního systému ani výměna úložiště ho totiž nezničí. Malware je možné odstranit jen úplným přepsáním UEFI v paměti SPI Flash na desce. Prevencí je stará známá zásada nikdy nespouštět spustitelné soubory či linky přišlé emailem a obecně podezřelé přílohy a už vůbec ne jim udělit práva ke změně počítači, když spustí dialog UAC.

Kromě toho se v informacích o útoku uvádí, že by ho znemožnilo, pokud by UEFI mělo aktivovanou funkci Secure Boot včetně funkce Hardware Root of Trust, kdy procesor či čipset při zapnutí kryptograficky ověřuje již i samotný firmware (to jen prostý Secure Boot neumí, protože UEFI neověřuje). Současná verze Lojax také neumí pracovat s disky, zašifrovanými BitLockerem. Ovšem původní software Lojack je kompatibilní, takže toto je asi něco, co útočníci mohou překonat, pokud budou chtít.

Vedle toho bude třeba odstranit slabá místa v zabezpečení a konfiguraci UEFI, které nyní umožňují malwaru instalaci. Zranitelnost je totiž výsledkem programovacích chyb a špatného nastavení firmwarů, bez těchto slabin by nefungovala. Jak ale bohužel víme, situace s aktualizacemi BIOSů není dobrá. Výrobci jsou pomalí a nemají dnes příliš vůli a asi ani síly vydávat pravidelně nové verze pro všechny své produkty po dobu delší než dejme tomu dva roky. Počítač má ale typicky životnost mnohem delší, takže většinu svého života tráví s neaktualizovaným UEFI. Zde asi bude třeba vymoci nějaké změny, které by zajistily rychlé aktualizace po delší dobu. Dnes je situace s aktualizacemi BIOSů trochu jako s telefony Android, což je z bezpečnostního hlediska špatně.

Objeven první malware infikující BIOS počítače. Perzistentní rootkit Lojax je z Ruska

Ohodnoťte tento článek!
4.7 (94.24%) 59 hlas/ů

48 KOMENTÁŘE

  1. Hllavně mne štvou takovéto spekulativní články.
    „… PRAVDĚPODOBNĚ je spojena s Ruskými tajnými službami“

    Ať s tím jde autor někam. Buď ať to tvrdí a předloží důkaz, nebo ať mlčí.
    To je hnus velebnosti!

    • Jak ESET přišel na to, že za tím stojí Fancy Bear ti určitě rádi vysvětlí. Jinak skupina Fancy Bear se nijak netají tím, že jsou z Ruska a že zastupují Ruské zájmy. To že jsou propojeni přímo s Ruskými tajnými službami je hold jen teorie a její prokázání je prakticky nemožné. Nicméně už jen fakt, že Ruské úřady proti této skupině nic nepodnikají a popírají její existenci je jistým vodítkem odkud vítr vane.

    • Zpravodajské služby ze zásady žádné důkazy veřejnosti nepředkládají, protože by tím mohly vyzradit své operační postupy, nebo dokonce ohrozit zdroje (nutné pro dlohodobou činnost). Požadovat důkaz je pouze taktikou protistrany, která ví že se tak nestane i kdyby jich bylo víc než dost. V domácí veřejnosti má tento „spravedlivý“ požadavek vzbudit dojem, že jde o nepodložená obvinění a jak je vidět u určité části obyvatelstva jde o taktiku velmi úspěšnou.

      • OK. Jak by ti bylo, kdyby někdo o tobě všude (v práci, mezi kamarády, v rodině) tvrdil, že jsi PRAVDĚPODOBNĚ zloděj a všude to to zblbnutí opakoval?
        Ale důkazy si nechá pro sebe?

        Já bych se komfortně necítil, už jen proto, že spousta lidí to pak bere jako fakt, který si pak dále „upravuje“ (stupňuje) a šíří dál.
        Prostě takovéto komentáře od novináře jsou pod mou úroveň.
        Já si snad umím informace odfiltrovat od takovéhoto balastu, ale spousta lidí ne a sposta lidí naopak bulvár miluje. Bohužel, pan Olšan patří mezi bulvár.

        • Ten příměr je invalidní, nejedná se o osoby, ale státní organizace a jejich tajné operace za použití hackerských skupin.

          Popírat to můžeš, ale je to prostá realita. Stejně jako třeba Izraelci pomocí svých hackerů sabotovali Íránský jaderný program (Stuxnet).

          Z toho pak vyplývá, že fake (dez)informace vypouštíš spíše ty.

          • Hmm, podobné PRAVDĚPODOBNĚ stálo desetitisíce iráčanů (civilistů i vojáků) během druhé války v Iráku.
            Podle amerických PRAVDĚPODOBNĚ informací:
            1. Iráčané vlastní chemické zbraně hromadného ničení
            2. Iráčané jsou zapleteni do teroristické sítě Al-Kajda

            Na základě „PRAVDĚPODOBNĚ“ informací jim samozřejmě OSN nedalo mandát k vojenské intervenci. OSN chtělo důkazy, ale ty USA nedodalo, právě kvůli ochraně „důvěrných zdrojů“.
            A protože američanům jde samozřejmě v první řadě o „dobro“ (rozuměj nízká cena benzinu doma), tak se vykašlalo na to, co si myslí svět (OSN) a do Iráku vtrhlo.

            Výsledek?
            1. Nenašla se jediná chemická zbraň hromadného ničení
            1. Nenašla se žádná vazba na Al-Kajda.

            Jak se z toho ponaučilo USA?
            Že by se jako omluvili, že na základě dezinformací nevinně pozabíjeli desítky tisíc lidí? Ne, jejich vojáci zůstali v Iráku dalších X let. Počkali, až se vládní systém kompletně překlopí na proamerický systém, vytrénovali jim armádu, která tuto vládu podrží a až pak odešli.

            Tak tolik k PRAVDĚPODOBNĚ informacím od velectěných důvěrných informátorů.

            PS: Kdyby někdo obvinil Českou Republiku, že tu PRAVDĚPODOBNĚ masakrujeme romy, vtrhl sem, a povraždil mi rodinu, že bych zůstal sám, pravděpodobně bych také zvažoval, jak se pomstít za tuto nespravedlonost. Ovšem měl bych to těžké, protože v očích každého uvědomělého západního občana (uvědomělého západním tiskem) bych byl jen opovrženíhodným teroristou.
            A pak z těchto rozvrácených zemí utíkají lidi k nám. A my se divíme?
            „PRAVDĚPODOBNĚ“ se přece tak pěkně hodí, obychom masírovali desinformacemi lidi o Číně a Rusku.

            • Niekto by si mohol mysliet, ze niekto ako ty, PRAVDEPODOBNE ani neexistuje. PRAVDEPODOBNE za tym bude Soros, alebo este PRAVDEPODOBNEJSIE, Zidia. PRAVDEPODOBNE spolu tvoria NWO, PRAVDEPODOBNE spolu z Iluminatmi, ktori nas PRAVDEPODOBNE spolu potom s Astarom PRAVDEPODOBNE ochrania pred Jastermi na nasej, PRAVDEPODOBNE plochej Zemi. 🙂 Ale napr. Putin si je svojimi tvrdeniami absolutne isty. PRAVDEPODOBNE. :))

            • Moc hezká slohovka, jak ze soutěže „O pohár Vladimira Vladimiroviče Putina“ 😁
              Jen mi uniká smysl či souvislost, protože hacking v barvách tajných služeb je jednoznačně realita. Používají to Američani, Izraelci, tedy pravděpodobnost, že Fancy Bear jsou zapojeni v ruských tajných službách je vysoká, až prakticky rovna jistotě. Je to úplně stejné jako s Huawei, kde to Číňani mají jednodušší o to, že tamní komančové tu zemi pevně ovládají, a tak si můžou dělat co chtějí.

              Ale přesto se najdou ignoranti, kteří tyhle očividné paralely nevidí a nechtějí vidět.

        • Budu asi jediný kdo s Tebou bude souhlasit, že nějaké „pravděpodobně“ patří na Novu a do Blesku, ale musíš si uvědomit na jakém webu se nacházíš 😂 Tady je to spíše výhra, když se už v úvodu článku dozvíš že jde „pravděpodobně“ o spekulací odněkud převzatou, přeleštěnou a navoněnou a máš tak možnost okamžitě odejít a zjistit si fakta jinde. Ty ti totiž zadarmo nikdo přinášet nebude, zadarmo (a se zapnutým AdBlockem) to bude vždycky jen o „pravděpodobně“ a o reklamě …

    • „Pravděpodobně“ je tam proto, že rozebírání těch vazeb není téma tohohle článku a ani by se to nedalo udělat stručně. Když to někoho zajímá, měl by být schopný to celkem snadno dohledat.
      Bezpečnostní komunita, ten ESET, ale asi i třeba ty západní tajné služby to uvádí tak, že to spojení je doložené „s vysokou mírou jistoty“.

      • Přesně tak. Jediný závěr je, že skrze PC/NTB nás teď umí šmírovat nejen američané (kteří k tomuto účelu dostali přímo User Guide od výrobce, nebo si jej mohou kdykoliv vyptat :-)), ale i rusové, kteří na to, jak hacknout procesor/uefi museli přijít sami.
        Ale stejně, nejlepší sběrač informací všeho druhu, je americký Google. Mají pod palcem Windows stroje i Android stroje. Mají kompletně zmapovaný svět nejen pomocí maps.google.com. Parádní špionážní služba …

          • A víš, že jsem to zvažoval? Nakonec jsem vyhodnotil svůj příspěvak jako psaný s dostatečnou dávkou nadsázky, abych PRAVDĚPODOBNĚ nemusel psát.
            Ale jinak, je to tak, google má brutální sběr dat. A jen ty samotné mapy musí stát ukrutný majlant peněz. A jsou zdarma. Androidu, opět pompézní projekt, kde snad ani žádné reklamy nejsou? Zdarma. Já myslím, že mají mnohem štědřejší profinancování. Protože ani americké kuře (jistě z KFC nebo McDonaldu) nehrabe zdarma. PRAVDĚPODOBNĚ.

            • Google žije z reklam. Je to největší světový zprostředkovatel reklam.
              Tím že používáš jejich systémy, aplikace, služby, tím jim dáváš informace o svých aktivitách a google pak webové reklamy přizpůsobuje tvým zájmům. A samozřejmě si za to nechává řádně zaplatit od zadavatelů reklam.
              PRAVDĚPODOBNĚ jsi placený Troll a jakákoliv debata nemá smysl.

    • „AMDecka se to netyka, takze jsme v pohode!“
      T9m bych si vůbec nebyl jistý. Není to zranitelnost hardwaru, ale kusu softwaru v UEFI. A je klidně možné, že je to nějaký referenční modul, který je přejatý v běžných komerčně používaných UEFI, která se nasazují i na desky/notebooky s procesory ARM. V té prezentaci o rozlišení Intel/AMD není ani slovo takže bych spíš počítal s tím, že je to tenhle případ.
      Jak ten člověk z Esetu říká, důležité je, aby bylo UEFI správně nakonfigurované a zabezpečené (a když není, aby dostalo od výrobce opravu), platforma asi ani ne. Ale mít nestandardní platformu (třeba i procesorovou, tedy ARM/Power) se hodí, to tam zmiňuje. Jen asi AMD v tomhle případě nemusí ten faktor jinakosti poskytovat.

        • Neexistuje dokonalá bezpečnost, pouze dokonalá iluze dokonalé bezpečnosti. Je to vše o úrovni poznání. Systémy se dělí na prokazatelně zranitelné a na ty o nichž to ještě nevíme. Což ovšem neznamená, že to neví někdo jiný.

            • Tohle je zel docela problem, ktery tu mame. Nicmene komplexita a integrace systemu se zvysila take, takze uhlidat opravdu vse nejde. Zaroven uzavrenost systemu s ruznym proprietalnim resenim tomu take moc nepomaha, protoze kdyz uz se nekdo prolomi dovnitr, ma mnohem vetsi prostor k zneuziti, nez treba v opensource, kde ten “zly Bob” ma nekde jinde protejseky v podobe “hodne Anicky a Cecila” kteri uz chybu nahlasili a pracuje se na fixu., nadeje “zleho Boba” na zneuziti lukrativnich systemu rychle klesaji.
              Pamatuji si na vyrok jednoho kolegy pred casem, kdy jsme se bavili o implementaci cryptoalgo a pouziti delky klice, ona pak prohlasil, ze delku schvalne udelal variabilni, “aby to NSA moc neulehcoval” 😉

        • Jako není vyloučené, že se to netýká žádných desek pro AMD, ale je docela dobře možné, aby ten samý problematický kód běžel v UEFI v deskách platformy AMD. Programují je koneckonců stejné firmy, respektive ten kód je pro obě platformy z velké části společný. Z té přednášky nikde nevyplývá, že by to bylo specifické pro Intel hardware, takže bych ten závěr nedělal.

  2. Hoši, hoši. Každý kdo se zajímá přece ví, že slovenský ESSET má pod palcem CIA. A tahle zpráva stylu pravděpodobně je jen další mediální operace. A než začne někdo liberálně vřeštět, tak ano píšu to z ruské IP adresy. Tak se občas zamyslete ju?

  3. Proč Ilumináti? Pan Olšan skočil na špek recyklované zprávě Esetu. Ta informace je ze září 2018.
    V rámci mediální operace jde jen o její refresh v nové konotaci. Další svá tvrzení nemusím nikak dokazovat. Stačí se podívat v kyberprostoru. A jak je to na Twitru, facebůůku nebo jinde tak to musí být pravda ne? Můžem žhavit bombardéry. Ostatně každý Slovák má výhodu, s činností téhle firmy a jejích zásahů do politiky ve své zemi spíš než nějaký Honza ze Lhoty. Koho podporují Denník N atd..
    https://www.novinky.cz/internet-a-pc/bezpecnost/484604-objevil-se-prvni-vir-ktery-napadne-pocitac-jeste-pred-zapnutim-bezny-antivirus-nepomuze.html
    Tak myslete .. .-)

  4. Za zamyšlení stojí hlavně fakt proč je zpráva takto dávkovaná (jak dle učebnice) a koho má ve skutečnosti krýt. Je to pořád stejné. A trapné. řekl bych, že i trapnost MIlouše Jakeše na Hrádku už dostává na frak.

  5. 🙂 Soros :-). Ne není třeba. Informace je prostě stará a recyklovaná Bylo by fajn si to přiznat s trochou sebereflexe pane Olšane. Čtenář to ocení víc než mlžení. To nemá nic společného s politikou, ale přístupem. Rozumný člověk ví, že nikdo není neomylný. Pokud to tedy nebyl úmysl. Není třeba odvádět pozornost rádoby vtipnými oslími můstky. Soros má dost svých fandů jinde.

    • Jak, stará? Detailnější prezentace toho malware je teď aktuální, i když o jeho existence byla oznámena už dřív (to jsem iirc zmínil). Určitě „neaktuální“ není jenom zástupný argument?