Найден примитивный, но очень действенный способ читать данные с украденных ноутбуков
10 янв 2019 12:40 #75592
от ICT
ICT создал тему: Найден примитивный, но очень действенный способ читать данные с украденных ноутбуков
Вредонос на материнке Эксперты компании ESET обнаружили первый руткит, которыйпытается атаковать UEFI целевого компьютера. UEFI — это интерфейс между операционной системой имикропрограммами, управляющими низкоуровневыми функциями оборудования. Егоосновное предназначение — корректно инициализировать оборудование при включениисистемы и передать управление загрузчику ОС. Вероятность руткитов, нацеленных на UEFI, обсуждалась втечение нескольких лет. Вредоносная программа, записывающаяся во Flash-памятьматеринской платы и способная устойчиво там храниться, — это более чемсущественная проблема, поскольку обнаружить и устранить ее традиционнымиметодами не получится: такой руткит будет сидеть на самом низком уровне, кудане дотянутся даже специализированные противоруткитные средства. На данный момент от подобной атаки защищают режим безопаснойзагрузки Windows и регулярное обновление UEFI. На самом низком уровне До недавнего времени UEFI-руткиты не удавалось обнаружить вреальных киберкампаниях. Теперь такой руткит обнаружен. Этот инструмент, какустановили эксперты ESET, используется русскоязычной группировкой Sednit (такжеизвестной как APT28, Fancy Bear и Sofacy).
Найден способ примитивной, но очень действенной атаки Сам по себе руткит носит наименование LoJax — по сути этомодифицированная версия разработки Absolute Software LoJack, которая позволяетвладельцам украденных ноутбуков получить удаленный доступ к своим данным, невызывая подозрений у воров, и выяснить местоположения похищенного устройства. При каждом перезапуске системы код LoJack исполняется еще дотого, как загружается операционная система и антивирусы. И даже при замене жесткогодиска программа продолжит исправно функционировать. LoJax построен на базе уязвимой версии LoJack, у которойконфигурационный модуль был защищён очень слабо. Эта уязвимость позволилаоператорам Sednit изменить единственный байт, который в легитимном ПО содержитинформацию о доменах, с которых LoJack скачивает необходимые компоненты. В случае LoJax этот байт содержит информацию о контрольномдомене APT-кампании, с которого скачивается сам руткит. В целом атака начинается вполне типично — с фишинговогописьма (или чего-то подобного); объекту атаки предлагается скачать и запуститьнекий исполняемый файл, на поверку оказывающийся дроппером (rpcnetp.exe). Этотдроппер обращается к браузеру Internet Explorer и через него — к доменамSednit. Оттуда уже закачивается непосредственно сам руткит, которыйустанавливается во флэш-память SPI. После этого, избавиться от него можнотолько либо с помощью перепрошивки памяти, либо с помощью смены материнскойплаты. «Речь идет о максимально низкоуровневой атаке, которая позволяетобеспечивать операторам APT-кампании неограниченно долгое присутствие винфраструктуре объекта атаки, — полагает Олег Галушкин, директор поинформационной безопасности компании SEC Consult Services. — Ни обнаружитьтакой руткит, ни тем более избавиться от него традиционными методами неполучится.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Злоумышленники нашли примитивный, но действенный способ использовать API Android | 25.61 | Понедельник, 27 мая 2019 |
Найден способ включать камеру и читать чужую переписку в WhatsApp | 20.57 | Вторник, 14 мая 2019 |
Найден способ читать секретные чаты в любимом мессенджере Сноудена и в WhatsApp | 20.35 | Пятница, 12 января 2018 |
Найден «немыслимо простой» способ взлома ноутбуков на процессорах Intel | 19.3 | Вторник, 16 января 2018 |
Найден способ хранить цифровые данные миллиарды лет | 18.11 | Вторник, 16 февраля 2016 |
«Чипокалипсис» продолжается: Найден способ воровать данные с помощью защищенного режима процессора | 17.36 | Вторник, 22 мая 2018 |
В Минцифры нашли действенный способ борьбы с телефонными мошенниками | 15.48 | Пятница, 05 марта 2021 |
Найден способ ускорить Wi-Fi в 100 раз | 13.69 | Понедельник, 03 апреля 2017 |
Разработчик обнаружил способ читать личные сообщения некоторых пользователей "ВКонтакте" | 13.4 | Среда, 07 марта 2018 |
Найден способ уничтожить анонимность биткоина | 13.39 | Вторник, 09 января 2018 |