Спецпроекты

Безопасность Техника

Китайскоязычная программа 9 лет открывала хакерам доступ к ПК под Windows

Специалисты ESET нашли буткит, который использует интерфейс UEFI для обеспечения присутствия в системе и запуска до загрузки операционной системы. Подобные вредоносы пока еще остаются большой редкостью.

Постоянство присутствия

Специалисты словацкой фирмы ESET обнаружили ранее незадокументированный UEFI-буткит, которым неизвестные злоумышленники пользовались для установки бэкдоров в системы на базе Windows.

Буткит позволяет модифицировать менеджер загрузки Windows (BootManager) и тем самым обеспечивает злоумышленникам возможность постоянного присутствия в системе.

Эксперты ESET назвали буткит ESPecter, в частности, за то, что он подгружается в независимый от операционной системы раздел EFI (ESP), где хранятся загрузчики или образы ядра, файлы драйверов устройств и другие критические данные.

ESPecter также позволяет обходить систему проверки цифровой подписи драйверов (Microsoft Windows Driver Signature Enforcement) и подгружать свой собственный неподписанный драйвер, который затем может использоваться для выполнения шпионских действий, в том числе, вывода данных, перехвата сигналов от клавиатуры (кейлоггинга) и периодического снятия скриншотов.

backdoor600.jpg
Обнаружен редкий UEFI-буткит с китайскоязычными артефактами

Каким именно образом вредонос проникает в систему, пока остается неизвестным. ESET пока не установил происхождение группировки, стоящей за этим буткитом. Однако в коде обнаружились артефакты на китайском языке.

От BIOS к UEFI

Специалисты ESET установили, что ESPecter появился не позднее 2012 г. На тот момент он использовался в основном для атак на компьютеры под Windows со старыми BIOS. Авторы вредоносной программы постепенно добавляли поддержку новых версий Windows, почти ничего не меняя в основных модулях вредоноса.

Самое значительное изменение произошло в 2020 г., когда авторы ESPecter решили переключиться с BIOS-систем на современные UEFI.

UEFI — это интерфейс расширяемой прошивки между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования, чье основное назначение — корректно инициализировать оборудование при включении системы и передать управление загрузчику или непосредственно ядру операционной системы.

ESPecter — всего лишь четвертый известный вредонос, атакующий UEFI, после LoJax, Mosaic Regressor и FinFisher. Последняя из этих программ использует те же методы сохранения присутствия в зараженной системе, что и ESPecter: через модификацию менеджера загрузки Windows.

«Модифицируя менеджер загрузки Windows злоумышленники добиваются запуска вредоноса на ранних стадиях запуска, до того, как операционная система полностью загружена, — отмечают исследователи. — Это позволяет ESPecter обходить проверку подписи драйверов, чтобы запускать свой неподписанный драйвер при старте системы».

В старых системах с BIOS ESPecter менял код головной загрузочной записи (MBR), располагающейся в первом физическом секторе жесткого диска с тем, чтобы модифицировать менеджер загрузки и загрузить вредоносный драйвер ядра. Этот драйвер, в свою очередь, загружал дополнительные вредоносные модули и кейлоггер, а затем удалял себя из системы.

Вне зависимости от того, какой вариант используется, загрузка драйвера приводит к инъекции дополнительных компонентов в определенные системные процессы и установке соединения с удаленным контрольным сервером; фактически скомпрометированная система ставится под полный контроль злоумышленников, не говоря уже о том, что с удаленного сервера на нее могут устанавливаться всевозможные дополнительные вредоносы.

«UEFI создавался как более новая и защищенная альтернатива BIOS, учитывающая недостатки последнего, однако свои уязвимые места есть и там, — говорит Данила Каревский, эксперт по информационной безопасности компании SEQ. — Хотя количество известных вредоносов, способных компрометировать UEFI, пока очень невелико, со временем их явно будет становиться больше. Слишком лакомая цель, а защита часто далека от идеала».

Роман Георгиев

Короткая ссылка