Найден примитивный, но очень действенный способ читать данные с украденных ноутбуков

10 янв 2019 12:40 #75592 от ICT
Вредонос на материнке Эксперты компании ESET обнаружили первый руткит, которыйпытается атаковать UEFI целевого компьютера. UEFI — это интерфейс между операционной системой имикропрограммами, управляющими низкоуровневыми функциями оборудования. Егоосновное предназначение — корректно инициализировать оборудование при включениисистемы и передать управление загрузчику ОС. Вероятность руткитов, нацеленных на UEFI, обсуждалась втечение нескольких лет. Вредоносная программа, записывающаяся во Flash-памятьматеринской платы и способная устойчиво там храниться, — это более чемсущественная проблема, поскольку обнаружить и устранить ее традиционнымиметодами не получится: такой руткит будет сидеть на самом низком уровне, кудане дотянутся даже специализированные противоруткитные средства. На данный момент от подобной атаки защищают режим безопаснойзагрузки Windows и регулярное обновление UEFI. На самом низком уровне До недавнего времени UEFI-руткиты не удавалось обнаружить вреальных киберкампаниях. Теперь такой руткит обнаружен. Этот инструмент, какустановили эксперты ESET, используется русскоязычной группировкой Sednit (такжеизвестной как APT28, Fancy Bear и Sofacy). Найден способ примитивной, но очень действенной атаки Сам по себе руткит носит наименование LoJax — по сути этомодифицированная версия разработки Absolute Software LoJack, которая позволяетвладельцам украденных ноутбуков получить удаленный доступ к своим данным, невызывая подозрений у воров, и выяснить местоположения похищенного устройства. При каждом перезапуске системы код LoJack исполняется еще дотого, как загружается операционная система и антивирусы. И даже при замене жесткогодиска программа продолжит исправно функционировать. LoJax построен на базе уязвимой версии LoJack, у которойконфигурационный модуль был защищён очень слабо. Эта уязвимость позволилаоператорам Sednit изменить единственный байт, который в легитимном ПО содержитинформацию о доменах, с которых LoJack скачивает необходимые компоненты. В случае LoJax этот байт содержит информацию о контрольномдомене APT-кампании, с которого скачивается сам руткит. В целом атака начинается вполне типично — с фишинговогописьма (или чего-то подобного); объекту атаки предлагается скачать и запуститьнекий исполняемый файл, на поверку оказывающийся дроппером (rpcnetp.exe). Этотдроппер обращается к браузеру Internet Explorer и через него — к доменамSednit. Оттуда уже закачивается непосредственно сам руткит, которыйустанавливается во флэш-память SPI. После этого, избавиться от него можнотолько либо с помощью перепрошивки памяти, либо с помощью смены материнскойплаты. «Речь идет о максимально низкоуровневой атаке, которая позволяетобеспечивать операторам APT-кампании неограниченно долгое присутствие винфраструктуре объекта атаки, — полагает Олег Галушкин, директор поинформационной безопасности компании SEC Consult Services. — Ни обнаружитьтакой руткит, ни тем более избавиться от него традиционными методами неполучится. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Злоумышленники нашли примитивный, но действенный способ использовать API Android25.58Понедельник, 27 мая 2019
    Найден способ включать камеру и читать чужую переписку в WhatsApp20.55Вторник, 14 мая 2019
    Найден способ читать секретные чаты в любимом мессенджере Сноудена и в WhatsApp20.33Пятница, 12 января 2018
    Найден «немыслимо простой» способ взлома ноутбуков на процессорах Intel19.29Вторник, 16 января 2018
    Найден способ хранить цифровые данные миллиарды лет18.1Вторник, 16 февраля 2016
    «Чипокалипсис» продолжается: Найден способ воровать данные с помощью защищенного режима процессора17.35Вторник, 22 мая 2018
    В Минцифры нашли действенный способ борьбы с телефонными мошенниками15.47Пятница, 05 марта 2021
    Найден способ ускорить Wi-Fi в 100 раз13.68Понедельник, 03 апреля 2017
    Разработчик обнаружил способ читать личные сообщения некоторых пользователей "ВКонтакте"13.38Среда, 07 марта 2018
    Найден способ уничтожить анонимность биткоина13.38Вторник, 09 января 2018

    Мы в соц. сетях