BeeBright/Getty Images
Ukrywanie złośliwych programów w oprogramowaniu sprzętowym UEFI komputera, głębokim kodzie, który mówi komputerowi, jak załadować system operacyjny, stało się podstępną sztuczką w zestawie narzędzi hakerów. Ale kiedy producent płyt głównych instaluje własne ukryte tylne drzwi w oprogramowaniu sprzętowym milionów komputerów — i nawet nie blokuje tych ukrytych tylnych drzwi — praktycznie wykonuje za nich hakerską pracę.
Naukowcy z firmy Eclypsium zajmującej się cyberbezpieczeństwem oprogramowania sprzętowego ujawnili dzisiaj, że odkryli ukryty mechanizm w oprogramowaniu sprzętowym płyt głównych sprzedawanych przez tajwańskiego producenta Gigabyte, którego komponenty są powszechnie używane w komputerach do gier i innych komputerach o wysokiej wydajności. Za każdym razem, gdy komputer z zainfekowaną płytą główną Gigabyte uruchamia się ponownie, jak odkrył Eclipse, kod w oprogramowaniu płyty głównej w niewidoczny sposób uruchamia program aktualizujący, który działa na komputerze, który z kolei pobiera i uruchamia inne oprogramowanie.
Chociaż Eclipse twierdzi, że ukryty kod jest nieszkodliwym narzędziem, które aktualizuje oprogramowanie układowe płyty głównej, naukowcy odkryli, że jest on zaimplementowany w sposób niezabezpieczony, umożliwiając złośliwemu oprogramowaniu przejęcie mechanizmu instalacyjnego zamiast zamierzonego programu Gigabyte. A ponieważ program aktualizujący jest uruchamiany z oprogramowania sprzętowego komputera, poza jego systemem operacyjnym, użytkownikom trudno jest go usunąć lub zlokalizować.
„Jeśli masz jedną z tych maszyn, musisz się martwić, że przechwyci coś z Internetu i uruchomi ją bez twojego udziału, nie robiąc tego bezpiecznie” – mówi John Lucastes, który kieruje strategią. i badania nad zaćmieniem. „Pomysł przejścia pod użytkownika końcowego i odebrania mu maszyny nie podoba się większości ludzi”.
w nim Wpis na blogu o badaniach, wymienia 271 modeli płyt głównych Eclipse Gigabyte, które według naukowców są dotknięte. Loucaides dodaje, że użytkownicy, którzy chcą zobaczyć, której płyty głównej używa ich komputer, mogą to sprawdzić, przechodząc do „Start” w systemie Windows, a następnie „Informacje o systemie”.
Eclipse twierdzi, że odkrył ukryty mechanizm oprogramowania układowego Gigabyte podczas przeszukiwania komputerów klientów pod kątem złośliwego kodu opartego na oprogramowaniu układowym, powszechnego narzędzia używanego przez wyrafinowanych hakerów. W 2018 roku hakerzy działający na zlecenie rosyjskiej agencji wywiadu wojskowego GRU odkryli cichą instalację. LoJack to oparta na oprogramowaniu sprzętowym sztuczka antykradzieżowa używana do szpiegowania maszyn ofiar. Chińscy hakerzy sponsorowani przez państwo zostali wykryci dwa lata później Odbudowuje narzędzie spyware oparte na oprogramowaniu układowym Firma hakerska do wynajęcia Hacking Team została stworzona w celu ataku na komputery dyplomatów i pracowników organizacji pozarządowych w Afryce, Azji i Europie. Badacze Eclypsium byli zdumieni zautomatyzowanymi skanami wykrywającymi. Oznacza to, że mechanizm aktualizujący Gigabyte angażuje się w pewne podejrzane zachowania, takie jak sponsorowane przez państwo narzędzia hakerskie — po cichu instaluje program, który ukrywa się w oprogramowaniu układowym i pobiera kod z Internetu.
Sama aktualizacja Gigabyte wzbudziła obawy, że użytkownicy, którzy nie ufają firmie Gigabyte, mogą po cichu zainstalować kod na swoich komputerach za pomocą prawie niewidocznego narzędzia – lub że hakerzy mogą wykorzystać mechanizm Gigabyte, aby skompromitować producenta płyty głównej i skorzystać z jego ukrytego dostępu. A Atak na łańcuch dostaw oprogramowania. Ale Eclipse odkrył, że mechanizm aktualizacji został zaimplementowany z wieloma lukami, które mogłyby pozwolić na jego przejęcie: pobiera kod na komputer użytkownika bez odpowiedniego uwierzytelnienia, czasami przez połączenie HTTP, które jest mniej bezpieczne niż HTTPS. Umożliwiłoby to sfałszowanie źródła instalacji w wyniku ataku typu „man-in-the-middle” przeprowadzonego przez każdego, kto mógłby przechwycić połączenie internetowe użytkownika, na przykład nieuczciwą sieć Wi-Fi.
W innych przypadkach aktualizator instalowany przez mechanizm w oprogramowaniu sprzętowym Gigabyte jest skonfigurowany do pobierania z lokalnego urządzenia pamięci masowej podłączonego do sieci (NAS), które jest przeznaczone dla sieci biznesowych do zarządzania aktualizacjami bez docierania do wszystkich ich maszyn. Do internetu. Ale w takich przypadkach, ostrzega Eclipse, złośliwy aktor w tej samej sieci może sfałszować lokalizację NAS i niewidocznie zainstalować własne złośliwe oprogramowanie.
Eclipse mówi, że współpracuje z Gigabyte, aby zgłosić swoje ustalenia producentowi płyty głównej i że Gigabyte planuje naprawić problem. Gigabyte nie odpowiedział na wiele próśb WIRED dotyczących ustaleń Eclypsium.
Chociaż Gigabyte zaoferował rozwiązanie problemu z oprogramowaniem układowym — w końcu problem wynika z narzędzia Gigabyte, które automatyzuje aktualizacje oprogramowania układowego — wycieki Eclipse często wskazują na aktualizacje oprogramowania układowego. Ciche wyłączanie na komputerach użytkowników, w wielu przypadkach ze względu na ich złożoność i trudność dopasowania oprogramowania układowego i sprzętu. „Nadal uważam, że w nadchodzących latach będzie to bardzo powszechny problem z płytami gigabajtowymi” — mówi Lukatz.
Biorąc pod uwagę miliony wrażliwych urządzeń, odkrycie Eclypsium jest „niepokojące” – mówi Rich Smith, dyrektor ds. Smith opublikował badania dotyczące luk w oprogramowaniu układowym i przejrzał ustalenia Eclipse. Porównuje sytuację do skandalu rootkitowego Sony z połowy 2000 roku. Sony ukryło kod zarządzania prawami cyfrowymi na płytach CD, który instalował się w sposób niewidoczny na komputerach użytkowników, tworząc w ten sposób lukę w zabezpieczeniach, którą hakerzy wykorzystywali do ukrywania swojego złośliwego oprogramowania. „Możesz używać technik tradycyjnie stosowanych przez złośliwych aktorów, ale to jest niedopuszczalne, to jest poza granicami” – mówi Smith. „Nie mogę mówić, dlaczego Gigabyte wybrał tę metodę dostarczania swojego oprogramowania. Ale dla mnie wydaje się, że przekracza podobną linię w przestrzeni oprogramowania układowego.
Smith przyznaje, że Gigabyte nie miał złośliwych ani zwodniczych zamiarów w swoim ukrytym oprogramowaniu układowym. Ale pozostawiając luki w zabezpieczeniach w niewidocznym kodzie, który leży u podstaw systemów operacyjnych wielu komputerów, podkopuje podstawową warstwę zaufania, jaką użytkownicy pokładają w swoich maszynach. „Nie ma tu żadnych intencji, tylko niedbałość. Ale nie chcę niechlujnie pisać oprogramowania układowego” — mówi Smith. „Jeśli nie masz zaufania do oprogramowania układowego, budujesz dom na piasku”.
Ta historia pojawiła się jako pierwsza wire.com.
„Zły introwertyk. Fan mediów społecznościowych. Irytująco skromny myśliciel. Miłośnik kawy. Ekspert od alkoholu. Internetowy geek”.