UEFI-rootkit ontdekt die vervangen van harde schijf overleeft

[Captain Kirk]

Onderzoekers van anti-virusbedrijf ESET hebben naar eigen zeggen voor het eerst een UEFI-rootkit ontdekt die bij een echte aanval is ingezet en het opnieuw installeren van het besturingssysteem of het vervangen van de harde schijf kan overleven.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. In het verleden hebben onderzoekers verschillende aanvallen tegen UEFI gedemonstreerd, maar volgens onderzoekers van ESET zijn UEFI-rootkits nooit eerder bij een daadwerkelijke aanval waargenomen.

Eerder dit jaar waarschuwde securitybedrijf Arbor Networks dat aanvallers de anti-diefstalsoftware LoJack, ook bekend als Computrace, gebruikten om toegang tot gehackte machines te krijgen. LoJack is ontwikkeld om gestolen laptops en computers terug te vinden. De anti-diefstalsoftware bevindt zich in de firmware van de laptop of desktop en maakt het mogelijk om gestolen machines te traceren, zelfs als de harde schijf wordt geformatteerd of vervangen. Ook is het via LoJack mogelijk om op afstand code op het systeem uit te voeren.

Tijdens het onderzoek naar systemen waarbij de LoJack-software was gebruikt vonden onderzoekers van ESET ook verschillende tools waarmee het mogelijk was om de UEFI-firmware van het systeem te lezen en aan te passen. In één geval bleek dat een deel van het flashgeheugen ook was uitgelezen, aangepast en opnieuw overschreven. Op deze manier hadden de aanvallers een kwaadaardige UEFI-module aan het flashgeheugen toegevoegd. Deze module kon malware tijdens het opstartproces uitvoeren. Het ging specifiek om malware die de LoJack-software als backdoor gebruikte.

Door de firmware aan te passen kan de rootkit een herinstallatie van het besturingssysteem en zelfs het vervangen van de harde schijf overleven. Om een dergelijke rootkit te verwijderen zou de UEFI-firmware opnieuw moeten worden geflasht. Iets wat doorsnee gebruikers meestal niet doen, zo stellen de onderzoekers. Die merken wel op dat de UEFI-rootkit niet goed is gesigneerd. Het inschakelen van Secure Boot, dat vereist dat alle firmware-onderdelen zijn gesigneerd, had de rootkit dan ook gestopt.

Volgens ESET is de rootkit waarschijnlijk ontwikkeld door een groep genaamd Fancy Bear, ook bekend als Pawn Storm, Strontium of APT28. Volgens verschillende securitybedrijven betreft het een groep hackers die vanuit Rusland opereert en mogelijk steun van de Russische overheid krijgt. De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden.

 

 

bron: security.nl