כלי לאיתור לפטופים שנגנבו שימש קבוצת האקרים ידועה - 0404
כלי לאיתור לפטופים שנגנבו שימש קבוצת האקרים ידועה יוטיוב

כלי לאיתור לפטופים שנגנבו שימש קבוצת האקרים ידועה

"למרות שבאופן תיאורטי היינו מודעים לקיומם של רוטקיטים מסוג UEFI, הגילוי שלנו מאשר כי הם שימשו קבוצת APT פעילה, כך שהם כבר לא נושא חם בכנסים, אלא איום של ממש", אומר ז'אן-יאן בוטין, חוקר אבטחה בכיר ב-ESET שהוביל את המחקר על LoJax ועל הקמפיין של Sednit.

קבוצת ההאקרים השתמשה בתוכנת אנטי גניבה שנקראה בעבר LoJack/ Computraceונמצאת באופן מובנה בחומרה של לפטופים ומחשבים ממותגים של היצרניות הגדולות בעולם. ברגע שהשירות הופעל, המחשב היה מתקשר בחזרה אל שרתי השליטה והבקרה שלו ואילו בעליו היה מקבל הודעה בנוגע למיקומו, במקרה שנעלם או נגנב.

מאחר שהכוונה מאחורי התוכנה היא להגן על מערכות בפני גניבה, ישנה חשיבות לכך שלא יהיה ניתן להסיר אותה בהתקנה מחדש של מערכת הפעלה או החלפת דיסק קשיח. לפיכך, היא מופעלת כמודול UEFI/BIOS, עם היכולת להוסיף ולהתקיים גם באירועים כאלו. הפתרון מגיע מותקן מראש בקושחה של מספר גדול של מחשבים ניידים המיוצרים על-ידי היצרניות המוכרות בשוק.

רוטקיטים מסוג UEFI (רכיב החומרה שאחראי לניהול כל ההתקנים הפיזיים במחשב), הם כלים מסוכנים ביותר המיועדים להתחלתן של מתקפות סייבר. הם משמשים כמפתח למחשב כולו, קשים לזיהוי ומסוגלים לשרוד אמצעי אבטחת סייבר, כגון התקנה מחדש של מערכת ההפעלה או אפילו החלפת דיסק קשיח. מלבד זאת, גם ניקוי מערכת הנגועה ברוטקיט מסוג UEFI דורש ידע שהינו מעבר להישג ידו של המשתמש הממוצע, כגון עדכון הקושחה.

Sednit, הידועה גם כ-APT28, STRONTIUM, Sofacy או Fancy Bear היא אחת מקבוצות ה-APT הפעילות ביותר הפועלת משנת 2004 לפחות. האמונה הרווחת היא כי הפריצה לוועידה הדמוקרטית הלאומית שהשפיעה על בחירות 2016, הפריצה לרשת הטלוויזיה העולמית TV5Monde, דליפת המיילים של הסוכנות הבינלאומית נגד שימוש בסמים ופריצות רבות אחרות, בוצעו על-ידי Sednit.

הקבוצה מחזיקה בארסנל שלה מגוון רחב של תוכנות זדוניות, דוגמאות אחדות שחוקרי ESET תיעדו במחקר.

גילויו הראשון אי פעם של רוטקיט מסוג UEFI בשטח מהווה נורת אזהרה עבור משתמשים וארגוניהם, הנוטים להתעלם מהסיכונים הקשורים בשינויי קושחה.

"עכשיו אין תירוץ שלא לבדוק גם את הקושחה במסגרת בדיקה סדירה. אכן – התקפות באמצעות UEFI הן אמנם נדירות ביותר, ועד כה הן היו מוגבלות בעיקר לחבלה פיזית במחשב היעד. עם זאת, התקפה מוצלחת כזו תוביל לשליטה מלאה על המחשב", אומר ז'אן-יאן בוטין.

ESET היא ספקית אבטחת המידע לנקודות קצה היחידה שהוסיפה שכבת הגנה ייעודית, סורק ESET UEFI המיועד לזהות רכיבים זדוניים בקושחת המחשב האישי.

"הודות לסורק UEFI של ESET , הן הצרכן והן הלקוחות העסקיים שלנו נמצאים בעמדה מעולה לאיתור התקפות מסוג זה ולהגן על עצמם כנגדן", מסכם יוראי מולכו, מנהל טכנולוגיות בכיר ב-ESET.

ניתוח קמפיין Sednit של ESET, העושה שימוש ברוטקיט UEFI הפעיל הראשון, מתואר בפירוט במחקר, "LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group".