Исследуя очередную шпионскую кампанию APT-группы Fancy Bear, аналитики из ESET обнаружили руткит, выполненный в виде модуля UEFI. Подобные творения вирусописателей редки, а с их использованием в реальных атаках эксперты столкнулись впервые.

Группировка Fancy Bear, она же APT28, Sednit, Strontium и Sofacy, существует уже лет десять, проводя целевые атаки на частные и государственные организации в разных странах. Боевой арсенал взломщиков включает разнообразные бэкдоры и эксплойты нулевого дня.

Зловред, запускаемый напрямую из интерфейса UEFI, до загрузки защитных решений и операционной системы, — весьма серьезная угроза. Он способен обеспечить автору атаки полный доступ к компьютеру, к тому же его трудно выявить и удалить (не поможет ни переустановка ОС, ни даже замена жесткого диска).

Найденные исследователями экземпляры оказались клонами вредоносной версии LoJack for Laptops (ранее Computrace) — легитимного приложения Windows, предназначенного для защиты портативных компьютеров от хищения. Оригинальный LoJack ведет себя, как руткит; его мини-агент, встроенный в код прошивки UEFI, призван обеспечить постоянное присутствие своей полнофункциональной формы. Он постоянно проверяет наличие и работоспособность полноценного агента и в случае необходимости загружает необходимые модули со стороннего сервера (в данном случае — с сервера разработчика, Absolute Software).

Как оказалось, злоумышленники позаимствовали, а точнее, угнали мини-агент LoJack, привязав его к своим серверам и снабдив дополнительными инструментами. Примечательно, что для внесения изменений они использовали уязвимости в устаревшей версии продукта Absolute — в более новых этих брешей уже нет. Новой находке в ESET было присвоено имя LoJax; этот зловред, видимо, пока редко используется: эксперты нашли лишь несколько образцов, нацеленных на правительственные учреждения в Центральной и Восточной Европе, а также на Балканах.

Загружает ли вредоносный мини-агент дополнительные модули, проверить не удалось, хотя эта функциональность в нем присутствует. Вместе с LoJax в зараженных системах были обнаружены три посторонних файла, которые, по всем признакам, используются для его установки.

Первый инструмент, info_efi.exe, регистрирует параметры настройки системы, записывая их в текстовый файл. Второй, именуемый ReWriter_read.exe, разгружает последовательную флеш-память SPI, где хранится прошивка UEFI. Наиболее интересен ReWriter_binary.exe, который внедряет вредоносный модуль в выгруженный образ UEFI, и записывает модифицированную прошивку обратно во Flash SPI.

Для получения доступа к настройкам UEFI/BIOS все три инструмента используют драйвер режима ядра из комплекта утилиты RWEverything. Эту программу можно бесплатно скачать в Интернете, ею обычно пользуются разработчики ПО, создатели прошивок BIOS, специалисты по тестированию и другие профессионалы, поэтому используемый злоумышленниками драйвер имеет законную подпись. Если обойти защиту от записи во флеш-памяти не удается, ReWriter_binary.exe применяет эксплойт CVE-2014-8273 (состояние гонки, которое можно вызвать на Intel-совместимых компьютерах вследствие ошибки в реализации BIOS).

Каким образом перечисленные инструменты попали на компьютеры жертв, установить не удалось. Единственной целью UEFI-руткита, по словам экспертов, является загрузка вредоносного кода на Windows и обеспечение его исполнения при запуске системы.

Для защиты от новой угрозы можно включить Secure Boot (безопасную загрузку): в этом режиме каждый компонент, запускаемый из прошивки, проверяется на наличие валидной подписи, а LoJax ее не имеет. Также следует удостовериться, что прошивка материнской платы обновлена до последней версии: зловред ориентирован на устаревшие чипсеты. С перепрошивкой рядовой пользователь вряд ли справится самостоятельно, поэтому проще заменить плату более новой, проверив ее на совместимость. Пользователям без технической подготовки предлагается самое простое решение — заменить устройство целиком.

Категории: Аналитика, Вредоносные программы, Главное