Дата публикации: 07.12.2020
Вредоносная программная хакерская разработка Trickbot
теперь может читать, записывать и изменять
UEFI и BIOS компьютера.
Trickboot от Trickbot. Новый вызов кибербезопасности.
Объединённая группа экспертов по безопасности из Advanced Intelligence и Eclypsium объявила, что троянская программа Trickbot теперь имеет возможность изменять не только базовую систему ввода-вывода (BIOS), но и унифицированный расширяемый интерфейс прошивки(UEFI), обеспечивающий взаимодействие материнской платы компьютера и его операционной системы.
В последнее время Trickbot нередко мелькал в новостях из-за довольно широких своих вредоносных возможностей. Недавняя же (октябрьская) его публичность была обусловлена крупномасштабной операцией против него со стороны объединённых сил мировых специалистов по кибер-безопасности. Сюда вошли не только команды из Microsoft, ESET и других титанов отрасли, но даже представители правоохранительных органов.
Создателями трояна считаются преступники из России и Северной Кореи. Нередко они использовали своё детище для атак на телекоммуникационные компании, медицинские и образовательные учреждения, и даже на операторов инфраструктуры. Причём часто – в форме программ-вымогателей.
Однако, имея модульную конструкцию, Trickbot отличается возможностью получения административных функций на заражённых компьютерах, что делает его одним из самых крупных существующих ботнетов. Весьма странно для простого вымогателя, не так ли? Тем более если учесть, что вполне оправдались опасения, высказанные некоторыми экспертами после триумфального похода их коллег-«безопасников», о том, что несмотря на успешное отключение инфраструктуры ботнета, его ликвидации всё же не произошло и он не только выживет, но и укрепит свои слабые места.
Так что да, есть все основания полагать, что Trickbot стал ещё более изощрён и хитроумен, ведь теперь он способен встраиваться в прошивку компьютера. Вся серьёзность этой угрозы зиждется на её потенциале: после установки вирус сможет сделать практически что угодно, оставаясь при этом невидимым для антивирусного ПО. А это значит, что в перспективе злоумышленники могут угрожать не только корпоративному сегменту, финансовой и инженерной сферам, но и национальной безопасности целых государств.
Суть сводится к моменту загрузки компьютера – в этот период UEFI и программное обеспечение микроконтроллеров работают вместе, чтобы вызвать операционную систему. Встроенный же в микропрограмму вредоносный код может как загружать собственные программные модули, так и изменять операционную систему по мере загрузки. Помимо этого, антивирусное ПО, каким бы продвинутым оно ни было, просто не сумеет идентифицировать эти самые встраиваемые вирусом модули. Но и это ещё не всё: поскольку ботнет, можно сказать, закрепляется в «железе» материнской платы и заражает именно его, а не ОС, то это позволяет ему «пережить» даже переустановку системы. Да что там говорить о системе, если даже очистка или замена жёсткого диска абсолютно ничего не изменят в таком случае.
Команда Eclypsium назвала новую функцию «Trickboot» и предполагает, что через неё преступники могут контролировать и отдельные компьютеры, и целые сети. Ну и в качестве вишенки на торте – модульность Trickbot’а позволяет торговать им и его возможностями: покупателю нужно будет просто добавить код для выполнения одним из модулей.
Такая функциональность может посеять хаос в любой сети, ведь, с точки зрения злоумышленника, Trickboot как инструмент – крайне полезное приобретение. С ним можно определить платформу устройства, проверить состояние защиты BIOS (в том числе от записи для флэш-памяти SPI), проверить известные уязвимости как систем, так и процессоров, и сделать «откат» безопасности с целью обхода их устранения.
Поскольку микросхема флэш-памяти SPI материнской платы, содержащая системную прошивку, начинает процесс загрузки компьютера и управляет им, выбирая загрузчик ОС и выполняя начальный её код перед полной передачей власти самой операционной системе, заражение контроллера столь низкого уровня неминуемо повлечёт массу проблем. То есть каждый раз, когда кто-то имеет доступ к изменению данных во флэш-памяти SPI, может произойти один из следующих сценариев: блокировка устройства на уровне прошивки с помощью удалённой атаки; повторное заражение устройства, прошедшего традиционное восстановление системы; отключение безопасности ОС и ПО вроде шифрования, изолированных «карантинов», «песочниц», изоляции учётных и идентификационных данных; откат важных обновлений микропрограмм и микрокода, устраняющих уязвимости оборудования, и своевольное использование его компонентов – от процессоров до контроллеров управления основной платой.
Новый модуль Trickboot предназначен для всех машин на базе Intel, выпущенных в последние годы. Вполне вероятно, что и ваше устройство оказалось заражено, ведь только за один октябрьский день было обнаружено 40 000 таких компьютеров. Что же делать?
Восстановление из повреждённой прошивки UEFI требует перепрограммирования материнской платы, что является весьма трудоёмким процессом. Это гораздо сложнее, чем простое воссоздание или замена жёсткого диска. Поэтому, возможно, многие рядовые пользователи предпочтут замену «материнки».
Но это в худшем случае, а пока – «предупреждён, значит вооружён»:
АРМК, по материалам Eclypsium