นักวิจัยด้านความปลอดภัยของ Eset ตรวจพบรูทคิท UEFI ที่สามารถแพร่ระบาดในระบบ Windows ได้เป็นครั้งแรก มันถูกใช้โดยกลุ่มแฮ็กเกอร์ชาวรัสเซีย Sednit หรือที่รู้จักในชื่อ APT28
เรารู้ว่ารูทคิท UEFI มีอยู่ แต่ยังไม่มีใครเคยเห็นรูทคิทในชีวิตจริง ตอนนี้เสร็จสิ้นแล้ว ต้องขอบคุณนักสืบของผู้จัดพิมพ์ Eset ในกกระดาษสีขาวที่พวกเขาเพิ่งเผยแพร่ พวกเขาอธิบายรายละเอียดการทำงานทางเทคนิคของแคมเปญจารกรรมทางไซเบอร์โดยกลุ่มแฮกเกอร์ Sednit นามแฝง APT28 ตามความเห็นของผู้เชี่ยวชาญหลายคน อย่างหลังนี้น่าจะเป็นผลงานของหน่วยข่าวกรองทหารรัสเซีย GRU การดำเนินการนี้เรียกว่า "LoJax" ซึ่งกำหนดเป้าหมายไปที่องค์กรภาครัฐในยุโรปกลางและยุโรปตะวันออก โดยใช้รูทคิท UEFI ที่มีชื่อเสียงซึ่งพวกเขาสามารถจับภาพและวิเคราะห์สำเนาได้
UEFI เป็นส่วนหนึ่งของเฟิร์มแวร์ของเมนบอร์ดที่ช่วยให้คุณสามารถบูตระบบปฏิบัติการได้ มันถูกเก็บไว้ในชิป SPI Flash ความสามารถในการแฮ็กซอฟต์แวร์นี้เป็นส่วนหนึ่งของจอกศักดิ์สิทธิ์ของหน่วยงานจารกรรมทางไซเบอร์เพราะช่วยให้มั่นใจได้ถึงความคงอยู่ในระดับสูง แม้ว่าระบบปฏิบัติการจะถูกติดตั้งใหม่ทั้งหมด แต่มัลแวร์ก็ยังสามารถกลับเข้ามาใหม่ได้ ในอดีต การเปิดเผยที่เชื่อมโยงกับการแฮ็กทีมแฮ็กและสิ่งพิมพ์ Wikileaks/Vault 7 แสดงให้เห็นว่ามีการใช้เทคนิคนี้จริงๆ ทั้งใน Windows และบน macOS สำหรับระบบ Appleข้อบกพร่องหลายประการได้รับการเปิดเผยในช่วงไม่กี่ปีที่ผ่านมาเพื่อทำการแฮ็กประเภทนี้
มัลแวร์ที่มีต้นกำเนิดหลายแหล่ง
สิ่งที่เป็นเอกลักษณ์ในกรณีของ LoJax ก็คือแฮกเกอร์อาศัยซอฟต์แวร์ที่มีอยู่และถูกกฎหมายจำนวนมาก ในการแพร่เชื้อ UEFI พวกเขาใช้ซอฟต์แวร์ยูทิลิตี้ RWEverything และไดรเวอร์ RwDrv.sys ซึ่งอนุญาตให้ดาวน์โหลดอิมเมจหน่วยความจำ SPI Flash แบบเต็มได้
โปรแกรมปฏิบัติการตัวที่สองจะแทรกไดรเวอร์ที่เป็นอันตรายลงในอิมเมจนี้และเขียนชิปใหม่ ในการทำเช่นนี้ แฮกเกอร์ใช้ชุดช่องโหว่ที่มีอยู่ในเฟิร์มแวร์รุ่นเก่า ซึ่งช่วยให้พวกเขาสามารถข้ามการควบคุมการเข้าถึงการเขียนได้
สำหรับเฟิร์มแวร์รุ่นใหม่ที่ติดตั้ง Secure Boot เทคนิคนี้ไม่สามารถทำได้เนื่องจากไดรเวอร์ทั้งหมดจะต้องลงนาม ตามที่นักวิจัยระบุว่า โปรแกรมปฏิบัติการทั้งสองนี้อาจได้รับการติดตั้งบนระบบหลังจากการแฮ็กเครื่องครั้งแรก
เมื่อ UEFI ติดไวรัส มันจะติดตั้งซอฟต์แวร์เอเจนต์ตัวแรก (rpcnetp.exe) อันที่จริงนี่คือ LoJack เวอร์ชัน "โทรจัน" ซึ่งเป็นซอฟต์แวร์ที่พัฒนาโดยผู้จัดพิมพ์ Absolute Software ซึ่งมีเป้าหมายเพื่อให้การป้องกันการโจรกรรมคอมพิวเตอร์ ซอฟต์แวร์เวอร์ชันที่เป็นอันตรายนี้สามารถแทรกตัวเองเข้าไปในกระบวนการต่างๆ ของระบบ และตั้งค่าช่องทางการสื่อสารกับเซิร์ฟเวอร์คำสั่งและควบคุมภายนอก ซึ่งจะทำให้คุณสามารถดาวน์โหลดตัวแทนตัวที่สองพร้อมคุณสมบัติที่สมบูรณ์ยิ่งขึ้นได้
การป้องกันตนเองจากภัยคุกคามประเภทนี้ไม่ใช่เรื่องง่าย สำหรับเฟิร์มแวร์ล่าสุด ขอแนะนำให้ตรวจสอบว่าเปิดใช้งาน Secure Boot แล้ว Eset ยังเสนอ "UEFI Scanner" ในโซลูชันที่จะตรวจจับรหัสที่เป็นอันตรายในเฟิร์มแวร์ของคอมพิวเตอร์
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
