В распоряжении хакерской группы«Фэнси Беар» имеется богатый арсенал инструментов, о чем свидетельствуют ее атаки против Национального комитета Демократической партии, Олимпиады в Пхенчхане и многое другое. Однако фирма кибербезопасности «Эсет» (ESET), по всей видимости, обнаружила у этой элитной русской команды такие продвинутые методы, каких она раньше не встречала.
Эта фирма нашла руткит UEFI (единый расширяемый интерфейс прошивки), позволяющий получить устойчивый доступ к компьютеру, который трудно выявить и еще труднее устранить. Нашла она его в компьютере неопознанной жертвы. Нельзя сказать, что об этом приеме никто раньше не слышал, так как исследователи находили доказательства его существования, а утечки данных указывают на то, что ЦРУ и частная компания «Хакинг Тим» обладает такими же возможностями. Но теперь появились доказательства его существования в виде вредоносной программы LoJax, что свидетельствует о значительном совершенствовании инструментария «Фэнси Беар».
Кратко и по сути
Если название LoJax кажется вам смутно знакомым, то это из-за того, что вы могли запомнить программу безопасности LoJack, ранее известную как Computrace. Она позволяет вам отследить свой компьютер в случае его кражи. LoJax оказалась очень могущественной. Она сидит в прошивке компьютера и регулярно подает сигналы на сервер, указывая на свое местонахождение. Важно то, что вы не сможете от нее избавиться, даже переустановив свою операционную систему или перейдя на новый жесткий диск.
Это сделано специально в качестве меры безопасности. Если кто-то украдет ваш компьютер, вы наверняка захотите найти вора и сделаете так, чтобы его было легче выявить. Но данная программа также дает уникальные возможности злоумышленникам, о чем говорилось в 2016 году во время презентации на конференции по безопасности «Зироу Найтс» (Zero Nights). А еще об этом подробно рассказали в мае аналитики из фирмы безопасности «Арбор Нетуоркс» (Arbor Networks). По сути дела, хакеры из «Фэнси Бэр» научились манипулировать кодом старой версии LoJack, чтобы она подавала сигнал не на предназначенный для ее компьютера сервер, а на тот, которым пользуются российские шпионы. Это и есть LoJax. И от этого дьявола трудно избавиться.
«Всякий раз, когда запускается компьютер c зараженным интерфейсом прошивки, агент LoJax попадает в файловую систему Windows. Поэтому, когда загружается Windows, он уже заражен агентом LoJax. Даже если вы удалите LoJax из Windows, при следующей загрузке имплант интерфейса прошивки вновь заразит Windows», — говорит Алексис Доре-Йонкас (Alexis Dorais-Joncas), возглавляющий аналитическое подразделение «Эсет».
LoJax можно полностью удалить из системы, но для этого нужны серьезные технические навыки. «Нельзя просто перезапустить систему. Нельзя просто переустановить жесткий диск. Нельзя заменить жесткий диск. Практически необходимо перепрограммировать все встроенное программное обеспечение, — говорит менеджер „Арбор Нетуоркс" Ричард Хаммел (Richard Hummel), занимающийся анализом угроз. — Большинство людей не знают, как это делается. Это очень злокозненная штука, потому что пользоваться компьютером из-за нее становится трудно».
Основная часть антивирусных сканеров и прочих продуктов безопасности тоже не ищут проблемы единого расширяемого интерфейса прошивки, из-за чего еще труднее определить, есть ли там вредоносный код. Но если он там есть, вы в беде.
«Современные злоумышленники легко могут использовать уязвимости в программном и аппаратном обеспечении десятилетней давности, а поэтому компаниям необходимо применять самые передовые приемы гигиены терминалов, включая обновление своих компьютеров и встроенных программ, использование антивредоносных средств и обеспечение работоспособности средств защиты других компьютеров, — говорит исполнительный вице-президент компании-разработчика LoJack „Абсолют" (Absolute) Дин Коза (Dean Ćoza).- Мы очень серьезно относимся к безопасности нашей платформы, и стараемся сделать так, чтобы эти проблемы не отражались на наших партнерах и клиентах».
Захват
Обнаруженная компанией «Эсет» вредоносная программа сама активно не крадет данные в зараженном устройстве. Она не грабитель, а дверь в ваш дом, которая так хорошо спрятана, что вы не увидите ее, даже если внимательно осмотрите каждую стену. LoJax дает «Фэнси Бэр» постоянный удаленный доступ к устройству, а также возможность в любой момент устанавливать на нем дополнительные вредоносные программы.
«По сути дела, она позволяет взломщику захватить машину и загружать в нее все, что тот пожелает, — говорит Хаммел. — Он также может использовать программу по ее первоначальному предназначению, то есть, отслеживать местоположение зараженных компьютеров и даже выявлять конкретных владельцев, представляющих для него интерес».
Существует очень мало информации о взломе хакерами «Фэнси Бэр» интерфейса прошивки, а имеющиеся подробности малопонятны. Доре-Йонкас подтвердил, что замеченное ими устройство было «инфицировано несколькими вредоносными кодами», и что хакеры взламывали системы государственных учреждений в Европе. Он не знает точно, как хакеры из «Фэнси Беар» проникли в устройство жертвы, однако предполагает, что они могли действовать стандартно, сначала проведя целевой фишинг, чтобы осуществить первоначальный взлом, а потом начав продвижение по сети с целью определения местоположения более ценных целей.
Но у «Эсет» есть гораздо больше конкретных данных о том, как действовала «Фэнси Беар», осуществив первоначальное проникновение. Сначала хакеры воспользовались широко доступным средством, чтобы прочесть память встроенного программного обеспечения единого расширяемого интерфейса прошивки и лучше понять, какое именно устройство они взламывают. Получив образ микропрограммного обеспечения, они модифицировали его, чтобы добавить туда вредоносный код, а потом переписали зараженный образ и вернули обратно в память встроенного программного обеспечения. По словам Доре-Йонкаса, этот процесс не был автоматизирован, и человек за компьютером прошел каждый его шаг.
Эта информация дает определенную надежду будущим потенциальным жертвам. Если конкретно, взломщики сумели внедрить вредоносный код в аппаратно-программное обеспечение выбранного компьютера, потому что он был довольно старый. Intel и прочие машины защищены лучше, особенно после того, как появилась информация о ЦРУ и «Хакинг Тим». Использование технологии Secure Boot (безопасная загрузка) в Windows также предотвращает атаки такого рода, поскольку она проверяет, совпадает ли образ микропрограммного обеспечения на вашем компьютере с тем, который был установлен производителем.
«С другой стороны, — говорит Доре-Йонкас, — могут быть новые атаки, поскольку „Фэнси Беар" поняла, как проводить их успешно». Теперь, когда известно, что это дело рук «Фэнси Беар», у них наверняка появятся подражатели.
«Всякий раз, когда мы видим новую тактику, уже очень скоро другие хакеры начинают понимать, как это делается, и берутся ее копировать», — говорит Хаммел.
У российских хакеров имеется в распоряжении изощренный арсенал средств взлома. Но появление руткита UEFI — невидимого, сложного, разрушительного — показывает, какими передовыми возможностями они обладают. И еще, что намного важнее: это показывает, насколько трудно защититься от такой напасти.
