Вредоносная программная хакерская разработка Trickbot
теперь может читать, записывать и изменять
UEFI и BIOS компьютера.
В последнее время Trickbotнередко мелькал в новостях из-за довольно широких своих вредоносных возможностей. Недавно против него была развёрнута крупномасштабная операция со стороны объединённых сил мировых специалистов по кибербезопасности. Сюда вошли не только команды из Microsoft, ESET и других титанов отрасли, но даже представители правоохранительных органов. Тем не менее, несмотря на успешное отключение инфраструктуры ботнета, его ликвидации всё же не произошло, и он не только выжил, но и укрепил свои позиции.
Объединённая группа экспертов по безопасности из Advanced Intelligence и Eclypsium объявила, что троянская программа Trickbot теперь имеет возможность изменять базовую систему ввода-вывода (BIOS) и унифицированный расширяемый интерфейс прошивки (UEFI), обеспечивающий взаимодействие материнской платы компьютера и его операционной системы. Имея модульную конструкцию, вирус может заполучить административный функционал на заражённых компьютерах путём встраивания в прошивку, что делает его сегодня одним из самых крупных ботнетов.
Вся серьёзность этой угрозы зиждется на её потенциале: после установки преступник сможет сделать практически что угодно, оставаясь при этом невидимым для антивирусного ПО. А это значит, что в перспективе злоумышленники могут угрожать как корпоративному сегменту, финансовой и инженерной сферам, так и безопасности целых государств.
Суть сводится к моменту загрузки компьютера – в этот период UEFI и программное обеспечение микроконтроллеров работают вместе, чтобы вызвать операционную систему. Встроенный же в микропрограмму вредоносный код может как загружать собственные программные модули, так и изменять операционную систему по мере загрузки. Помимо этого, антивирусное ПО, каким бы продвинутым оно ни было, просто не сумеет идентифицировать эти самые встраиваемые вирусом модули. Но и это ещё не всё: поскольку ботнет, можно сказать, закрепляется в «железе» материнской платы и заражает именно его, а не ОС, то это позволяет ему «пережить» даже переустановку системы. Да что там говорить о системе, если даже очистка или замена жёсткого диска абсолютно ничего не изменят в таком случае.
Восстановление из повреждённой прошивки UEFI требует перепрограммирования материнской платы, что является весьма сложным и трудоёмким процессом, поэтому, возможно, многие рядовые пользователи предпочтут замену «материнки». Что же делать?
· Убедитесь, что включена защита BIOS от записи.
· Сравните хэши прошивки с известными исправными версиями.
· Регулярно проверяйте целостность прошивки и следите за её поведением.
· Обновите прошивку.
Команда Eclypsium назвала новую функцию «Trickboot» и предполагает, что через неё преступники могут контролировать и отдельные компьютеры, и целые сети. Этот новый модуль предназначен для всех машин на базе Intel, выпущенных в последние годы. Вся серьёзность этой угрозы зиждется на её потенциале: после установки преступник сможет сделать практически что угодно, оставаясь при этом невидимым для антивирусного ПО. А это значит, что в перспективе злоумышленники могут угрожать как корпоративному сегменту, финансовой и инженерной сферам, так и безопасности целых государств.
По материалам АРМК
