Onderzoekers vinden UEFI-malware op moederbord aangevallen systeem

[Captain Kirk]

Onderzoekers van antivirusbedrijf Kaspersky hebben UEFI-malware op het moederbord van een aangevallen systeem ontdekt. Doordat de malware zich bevindt in het SPI-flashgeheugen kan het het formatteren van de harde schijf of installatie van een nieuwe harde schijf overleven. Volgens de onderzoekers gaat het om de "meest geavanceerde" UEFI-malware ooit in het wild ontdekt.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.

Het doel van de malware is het aanpassen van de opstartvolgorde, zodat er een malafide driver binnen Windows wordt geladen. Deze driver wordt automatisch gestart bij het laden van Windows. Vervolgens downloadt de driver aanvullende malware. De infectieketen laat geen sporen achter op de harde schijf, aangezien alle onderdelen alleen in het geheugen draaien. Hoe aanvallers de UEFI-firmware wisten te infecteren is onbekend. De malware werd bij één niet nader genoemde organisatie aangetroffen.

Kaspersky stelt dat het hier om een zeer gerichte aanval gaat uitgevoerd door een spionagegroep genaamd APT41. Deze groep, die ook bekendstaat als Winnti en Barium, houdt zich bezig met diefstal van broncode, certificaten om software te signeren, klantgegevens en bedrijfsinformatie. Volgens de onderzoekers probeerden de aanvallers met de UEFI-malware informatie van bepaalde machines te stelen.

 

bron: https://www.security.nl