Найти тему
Technoculture
25 подписчиков

Рай для руткитов — Gigabyte продаёт материнские платы со встроенным бэкдором

19
3 мин
Оглавление

В списке СОТНИ «дырявых» досок на чипсетах b, h, x, z. На всякий случай, зайди проверь. Список прилагается.

Возможно, твоя материнская плата гигабайт тоже с бэкдором.

Бэкдор — это не баг, а фича.
Бэкдор — это не баг, а фича.

Недавно аналитическая платформа Eclypsium обнаружила интересные факты о продукции одного из топовейших брендов компьютерного железа Gigabyte. В процессе каждого старта системы, биос материнок гигабайт запускает собственный исполняемый файл, который делает с Windows всякое подозрительное. В частности, сканирует информацию и передаёт на сервера компании. В обратную сторону пакеты данных тоже принимает.

Бэкдор от Gigabyte использует те же методы, что и классические хакерские лазейки, любимые злоумышленниками.

Например:

  • Computrace (LoJack DoubleAgent);
  • Sednit LoJax;
  • MosaicRegressor;
  • Vector-EDK.

Код поражает ВСЕ рабочие станции и ПК под управлением Windows. Тестирование na Linux-based системах ещё не закончено.

Как обновить материнскую плату Gigabyte, чтобы избавиться от проблемы?

Бэкдор намертво вшит в прошивку UEFI. Пока не выйдет официальный фикс, или «чистая» кастомка, компьютеры остаются под угрозой.

Гипотеза не лишена здравого смысла
Гипотеза не лишена здравого смысла

Почему мат плата Gigabyte — рай для хакеров

Такие уловки давно не новость. Многие вендоры балуются подобным. Аргументируют тем, что юзеры народ ленивый, сами следить за обновлениями не желают. Поэтому они вынуждены ковыряться в прошивке без ведома владельцев.

В контексте этой истории, проблема биоса материнок гигабайт в исключительной всеядности бэкдора. Он гоняет файлы не брезгуя незащищённым HTTP соединением. При использовании безопасного HTTPS, не утруждает себя проверкой сертификатов. Проще говоря, хакер может заменить конечный узел на свой или реализовать MITM. Легальный «червячок» охотно поделится с ним данными. А также сам примет вирусный код и запакует его в UEFI.

У встроенных инструментов безопасности Windows не будет даже шанса распознать угрозу.

Настройка материнки гигабайт штатными средствами не позволяет как-то воспрепятствовать взлому.

Больше всего «дыр» плат оказалось в таких популярных сериях:

  • материнские платы Gigabyte aorus elite;
  • материнки gigabyte Gaming;
  • материнские платы Gigabyte gaming x;

Полный список поражённых чипестов и конкретных моделей будет дальше.

Gigabyte и безопасность.
Gigabyte и безопасность.

Gigabyte получит по шапке за свои махинации?

Нет, привлечь вендора к ответственности не удастся. На веб-сайте Gigabyte есть документация по этой функции. Проще говоря, покупая продукты компании, ты автоматически оформляешь отказ от ответственности. С юридической точки зрения всё законно.

Примечание: В августе и октябре 2021 года в Gigabyte произошли крупные утечки данных по вине RansomEXX и AvosLocker. То есть, теперь хакерам прекрасно известно о «нестандартном» функционале железа. Представители компании утверждают, что проблемы нет код прошивки не был скомпрометирован. Но это не точно, аудит внутренних документов компании никто не проводил.

Скорость обнаружения новых руткитов UEFI растёт в последние годы. Только из самого нашумевшего:

  • LoJax (2018 г.);
  • MosaicRegressor (2020 г.);
  • FinSpy (2021 г.);
  • ESPecter (2021 г.);
  • MoonBounce. (2022 г.);
  • CosmicStrand (2022 г.);
  • BlackLotus (2023 г.).

Сценарий атаки всегда один и тот же — низкоуровневые инъекции подменяют исполняемые файлы Windows, заставляя их выглядеть как законные инструменты обновления. После этого ПК превращается в кирпичик хакерской сети.

Взломщик может:

  • воровать персональные данные владельца;
  • присваивать вычислительную мощность ПК для майнинга (либо в других целях);
  • использовать дисковое пространство для децентрализованного хранения и передачи незаконных материалов;
  • подключать компьютер к своей сети для организации массовых DDoS атак.

Даже ходят слухи, что бэкдоры появляются и остаются открытыми по вине разведывательных служб, которые принуждают производителей оборудования и софта делать это намеренно. В дебатах о кибербезопасности тема всплывает с завидной регулярностью.

Теоретически скрытое проникновение и сбор информации может способствовать целям национальной безопасности.

Спецслужбам ничего не мешает тесно сотрудничать с производителями оборудования, используя их технические знания и ресурсы. Пользоваться юридическим давлением или иными видами принуждения, чтобы внедрять бэкдоры в процессе проектирования и производства. Особенно сейчас, в эпоху кибервойн и всего такого.

Но нет смысла дальше растекаться мыслью по древу. Окончательно доказать или опровергнуть такие утверждения сейчас никто не может.


А теперь, как обещал полный список «взломанных» материнских плат:

Источник: https://eclypsium.com/wp-content/uploads/Gigabyte-Affected-Models.pdf
Источник: https://eclypsium.com/wp-content/uploads/Gigabyte-Affected-Models.pdf
Источник: https://eclypsium.com/wp-content/uploads/Gigabyte-Affected-Models.pdf
Источник: https://eclypsium.com/wp-content/uploads/Gigabyte-Affected-Models.pdf
Источник: https://eclypsium.com/wp-content/uploads/Gigabyte-Affected-Models.pdf
Источник: https://eclypsium.com/wp-content/uploads/Gigabyte-Affected-Models.pdf

Ну как, «повезло» тебе купить материнскую плату Gigabyte с персональным бекдором или на этот раз обошлось?

Взгляните на эти темы
Гаджеты и электроника
IT (информационные технологии)
Найти тему
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Разработка игр
Гаджеты и электроника
5,73 млн интересуются