CIA šíří malware napadající firmware počítače, naštěstí jej již můžete odhalit

Společnost Intel Security vydala nástroj, který uživatelům umožňuje zkontrolovat, zda nebyl firmware jejich počítače na základní úrovni modifikován a zda neobsahuje neautorizovaný kód.

CIA šíří malware napadající firmware počítače, naštěstí jej již můžete odhalit


Nástroj je reakcí na uniklé dokumenty CIA, které odhalují, že tento úřad vyvinul rootkity EFI (Extensible Firmware Interface; rozšiřitelného rozhraní firmwaru) pro Macbooky od Applu. Rootkit je škodlivý program, který běží s vysokými privilegii – typicky v jádru – a skrývá existenci dalších škodlivých komponentů a aktivit.

Dokumenty jedné z divizí CIA zmiňují „implantát“ pro OS X zvaný DerStarke, obsahující modul pro injektáž kódu jádra zvaný Bokor, a perzistentní modul pro EFI zvaný DarkMatter.

EFI, známé také jako UEFI (Unified EFI) je firmware na základní úrovni, který běží pod úrovní operačního systému a spouští různé hardwarové komponenty v průběhu procesu bootování systému. Jde o náhražku staršího a jednoduššího BIOSu v moderního počítačích, která připomíná miniaturní operační systém. Může mít stovky „programů“ pro různé funkce, jež jsou implementovány jako spustitelné binární soubory.

Škodlivý program skrytý v EFI dokáže škodlivý kód „vstříknout“ do jádra operačního systému a dokáže tak obnovit jakýkoliv malware, který byl předtím z počítače odstraněn. To rootkitům umožňuje přežít velké aktualizace systému, a dokonce jeho přeinstalování.

Tým pro výzkum pokročilých hrozeb ve společnosti Intel Security vytvořil nový modul pro svůj open-source framework CHIPSEC, který dokáže detekovat škodlivé binární soubory v EFI. CHIPSEC se skládá ze souboru nástrojů v příkazovém řádku, které využívají základní rozhraní pro analýzu systémového hardwaru, firmwaru a platformních komponent. Je možné jej spouštět z Windows, Linuxu, macOS a dokonce i ze samotného EFI.

Nový modul pro CHIPSEC umožňuje uživateli převzít čistý obraz (image) EFI od výrobce svého počítače, rozbalit jeho obsah a uvnitř něj si sestavit whitelist binárních souborů. Ten pak srovnáte s aktuálním EFI systému nebo s obrazem EFI, jenž byl předtím extrahován ze systému.

Jestliže nástroj nalezne jakékoliv binární soubory, které neodpovídají seznamu čistého EFI, je možné, že došlo k infekci firmwaru. Škodlivé soubory jsou poté zaznamenány pro další analýzu.

„Doporučujeme generovat whitelist EFI po koupi systému nebo jste-li si jistí, že [systém] zatím nebyl infikován,“ píšou experti z Intel Security v příspěvku na blogu. „Poté kontrolujte firmware EFI na vašem systému pravidelně, nebo například tehdy, když svůj notebook předtím necháte bez dozoru.“

Zdroj: CIO.com


Úvodní foto: Alex - Fotolia.com




Komentáře