Wyrafinowany backdoor UEFI obecny także w polskich sieciach

dodał 27 września 2018 o 15:34 w kategorii Włamania, Złośniki  z tagami:
Wyrafinowany backdoor UEFI obecny także w polskich sieciach

Wyobraźcie sobie złośliwe oprogramowanie, które przeżywa nie tylko reinstalację systemu, ale także wymianę dysku twardego. Właśnie po raz pierwszy odkryto jego użycie na większą skalę i wszystko wskazuje, że część ofiar pochodzi z Polski.

Firma ESET opublikowała niezwykle ciekawy raport dotyczący zaawansowanego technicznie konia trojańskiego modyfikującego UEFI, następcę BIOS-u. Sprawia to, że koń trojański jest bardzo trudny do wykrycia i usunięcia. Według raportu firmy ESET większość ofiar to instytucje rządowe z krajów Europy Środkowo-Wschodniej, a statystyki ruchu do adresów przestępców wskazują, że wiele infekcji ma miejsce w Polsce. Za wszystkim na stać rosyjska grupa APT28 (znana też jako Fancy Bear, Sednit czy Pawn Storm).

Niecodzienny rodzaj ataku

ESET zamieścił dzisiaj artykuł poświęcony nowemu, nietypowemu koniowi trojańskiemu, nazwanemu przez badaczy LoJax. Artykułowi towarzyszy także obszerny raport techniczny. Dlaczego LoJax jest taki nietypowy?

UEFI to oprogramowanie stanowiące interfejs między oprogramowaniem wbudowanym w sprzęt komputerowy a systemem operacyjnym. Poprzednio taką rolę pełnił BIOS, lecz został zastąpiony przez młodszego i bardziej elastycznego kuzyna. Choć koncepcje konia trojańskiego ukrytego w UEFI pojawiały się na konferencjach, to nikt nigdy nie wykrył takiego ataku w świecie rzeczywistym – aż do niedawna, gdy analitycy ESET-u trafili na ślady LoJaxa.

LoJax ukrywa się w pamięci Flash komputera jako moduł UEFI. W momencie uruchamiania komputera potrafi zainfekować system operacyjny, zapisując w nim odpowiednie złośliwe pliki. Powoduje to, że ani reinstalacja systemu operacyjnego, ani wymiana dysku twardego nie usuną infekcji. Po reinstalacji świeży system zostanie zainfekowany przy pierwszym uruchomieniu. Złośnika usunąć może tylko reinstalacja UEFI, czego z reguły nie robią ani administratorzy, ani zwykli użytkownicy.

LoJax swoją nazwę zawdzięcza podobieństwu do oprogramowania LoJack, preinstalowanego przez wielu producentów sprzętu, umożliwiającego odzyskanie skradzionego laptopa. LoJack również instalowany jest na poziomie UEFI, by utrudnić złodziejowi usunięcie śladów mogących prowadzić do zlokalizowania sprzętu.

O ile LoJack instalowany jest przez producenta sprzętu, o tyle LoJax musi sam zatroszczyć się o siebie. Jego instalacja wymaga wcześniejszego przejęcia kontroli nad komputerem przez włamywaczy. Następnie umieszczają oni na infekowanym sprzęcie kilka narzędzi niezbędnych do zrealizowania tego procesu. Jednym z nich jest sterownik RwDrv.sys pochodzący z legalnego oprogramowania służącego do odczytywania niskopoziomowych parametrów sprzętu. Kolejne narzędzie pozwala na zebranie informacji o szczegółach konfiguracji sprzętowej ofiary, trzecie zapisuje zawartość pamięci UEFI do pliku, a czwarte modyfikuje oprogramowanie i aktualizuje UEFI zmodyfikowaną wersją.

Aktualizowanie oprogramowania UEFI wygląda różnie w zależności od konfiguracji konkretnego komputera. Włamywacze korzystają z błędów konfiguracji, domyślnych słabych ustawień lub ze znanych podatności umożliwiających ominięcie wbudowanych zabezpieczeń przez zapisem.

Schemat działania LoJaxa (źródło: ESET)

Skąd wiadomo, że stoją za tym Rosjanie

Badacze ESET-u wskazują na kilka powodów, dla których są przekonani, że w tym przypadku mamy do czynienia z grupą APT28, świetnie znaną obrońcom polskich sieci rządowych. Po pierwsze część serwerów C&C była wcześniej używana w atakach tej grupy. Po drugie na komputerach zainfekowanych LoJaxem regularnie znajdowano oprogramowanie takie jak SedUploader, XAgent i Xtunnel, którego wyłącznymi użytkownikami są przedstawiciele APT28.

Skąd wiadomo, że ofiary są w Polsce

ESET stwierdza jedynie, że na liście ofiar dominują instytucje rządowe z Bałkanów oraz Europy Środkowo-Wschodniej. Z kolei analiza wskaźników infekcji, przeprowadzona przez Kevina Beaumonta za pomocą narzędzi Cisco Umbrella (opartych o pasywny monitoring zapytań DNS m.in. do serwerów OpenDNS), wskazuje, że większość ruchu do serwerów sterujących pochodzi z Polski. Kevin wskazuje także, że zapytań są tysiące dziennie.

Jak bronić się przed atakiem

Najprostszym (choć niekoniecznie wszędzie najprostszym do wdrożenia) sposobem jest aktywowanie w ustawieniach UEFI tzw. Secure Boot. Ta funkcja pozwoli na używanie wyłącznie komponentów podpisanych cyfrowo – a LoJax takim podpisem obecnie nie dysponuje.

Drugim sposobem jest korzystanie z relatywnie nowych procesorów (wyposażonych w Platform Controller Hub) i aktualnej wersji UEFI. Takie połączenie powinno znacznie utrudnić przestępcom nieautoryzowane modyfikacje oprogramowania.

Niestety usunięcie konia trojańskiego także nie jest prostym zadaniem. Wgranie czystego oprogramowania UEFI nie jest zadaniem trywialnym – często prostsza może okazać się wymiana płyty głównej. Co gorsza, kupno używanej płyty głównej może okazać się sporym ryzykiem – można kupić już zainfekowaną.

Jak wykryć atak

Bez wątpienia przejrzenie logów połączeń nie jest złym pomysłem. ESET podaje listę adresów IP i domen, powiązanych z atakiem. Warto pamiętać, że część infrastruktury pokrywa się z wcześniejszymi atakami APT28.

secao[.]org
ikmtrust[.]com
sysanalyticweb[.]com
lxwo[.]org
jflynci[.]com
remotepx[.]net
rdsnets[.]com
rpcnetconnect[.]com
webstp[.]com
elaxo[.]org
185.77.129[.]106
185.144.82[.]239
93.113.131[.]103
185.86.149[.]54
185.86.151[.]104
103.41.177[.]43
185.86.148[.]184
185.94.191[.]65
86.106.131[.]54