Лаборатория Касперского обнаружила новый низкоуровневый вирус, который запускается до загрузки операционной системы.
Вирус получил название MosaicRegressor. Его главная особенность заключается в том, что он заражает чип на материнской плате, где записана программа-загрузчик UEFI, пришедшая на замену BIOS. То есть вирус запускается до операционной системы.
«Программа, которая находится на этом чипе, она исполняется на более низком уровне, чем сама операционная система. Это значит, что именно эта программа решает, какую операционную систему запустить, вообще позволить ли ей запуститься, дать ли доступ к оборудованию. И вообще она может делать с компьютером все, что угодно: изменять память, изменять содержимое диска. В нашем случае — заразить этот самый диск для того, чтобы операционная система уже запустила вредоносный файл, который ей сбросили». (Игорь Кузнецов, ведущий антивирусный эксперт Лаборатории Касперского)
Получив полное управление компьютером, злоумышленники смогут выполнять любые действия – от изменения содержимого файла до отслеживания нажатий кнопок клавиатуры. В случаях, обнаруженных Лабораторией Касперского, вирус архивировал все последние документы и отправлял на удаленный сервер – то есть шпионаж.
Лечение такого вируса – это замена материнской платы или всего компьютера, если речь о ноутбуке. Как заражают загрузчик компьютера неизвестно. Есть два варианта:
- они получают физический доступ к устройству;
- знают уязвимость, которая позволяет удаленно перепрошивать чип.
«Для того, чтобы заражать UEFI, нужно иметь определенный уровень развития, и не каждый злоумышленник может это сделать. Но, как только появляются готовые рабочие примеры, порог входа снижается. Есть опасность, что это переиспользуют. Единственно, что сейчас останавливает по сути — это очень большое разнообразие платформ и разнообразие вариантов защиты, которые установлены, чтобы не происходило этой перепрошивки. Как только найдется что-то, что позволит взломать их все, мы будем в большой беде». (Игорь Кузнецов, ведущий антивирусный эксперт Лаборатории Касперского)
Пять лет назад находили неудаляемые вирусы. Тогда были обнаружены управляющие сервера и следы атак группировки Equation, ее связывали с американскими спецслужбами. В их распоряжении были инструменты, заражающие контроллеры жестких дисков. Идея о перепрошивке UEFI чипа было взята из инструментов итальянской компании Hacking Team, которая работает в интересах правоохранительных органов, и творчески переработана.
Некоторые косвенные доказательства указывают на китайский или корейский след в происхождении этого нового вируса.
Если статья для Вас оказалась интересной, полезной или просто помогла скоротать время ставьте лайки, оставляйте комментарии, подписывайтесь на канал.