Niemal każde urządzenie wchodzące w skład komputera i domowej infrastruktury sieciowej powinny zostać zaktualizowane. W szczególności routery. Po co to robić? Dla własnego bezpieczeństwa. Aktualizacje, czyt. nowsze wersje firmware wprowadzają zazwyczaj nie tylko ulepszone funkcje, ale też łatają dziury, dzięki którym hakerzy mogliby dostać się do konfiguracji routera i zmienić jego konfigurację.
Jeżeli w najbliższym czasie czeka Was aktualizacja podobna aktualizacja, pobrany plik przeskanujcie w serwisie VirusTotal – znanym wsród cyberprzestępców i zwykłych użytkowników serwisie. Wprowadzona przez Google nowa funkcjonalność zweryfikuje poprawność certyfikatów plików wypakowanych z obrazu firmware, poprawność zmiennych NVAR, bezpieczeństwo potencjalnych plików wykonywalnych, bezpieczeństwo plików ROM i inne. Szkodliwe oprogramowanie, które będzie działać w BIOS-ie może przetrwać restarty komputera, ponowną instalację systemu operacyjnego włączając w to format dysków.
Taką właśnie sztuczkę zastosował chiński producent Lenovo, który w maju 2015 roku został złapany na ukrywaniu funkcji Lenovo ENGINE SERVICE (LSE), która ponownie instalowała oprogramowanie producenta w laptopach i komputerach klasy PC. A działało to w następujący sposób:
Jeśli w systemie preinstalowana była usługa LSE, podczas uruchamiania systemu operacyjnego automatycznie pobierała i instalowała oprogramowanie Lenovo i nadpisywała pliki systemu Windows. Jednak bardziej niepokojące jest to, że programów tych nie dało się usunąć na stałe. Przy każdym starcie Windows, LSE sprawdzało, czy w systemie znajdują się pobrane wczesniej pliki. Jeśli użytkownik usunął je, za każdym razem wracał do punktu wyjścia. Podejrzewa się, że LSE niczym rootkit wstrzykuje oprogramowanie do aktualizacji sterowników i sprzętu oraz inne fabryczne aplikacje (bloatware, przyp. redakcja) od chińskiego producenta Lenovo.
Hacking Team też ingerował w UEFI
Podobny incydent miał miejsce w tym samym okresie, kiedy firma Hacking Team, która dostarczała rządowym klientom oprogramowanie do infekowania UEFI laptopów i komputerów firmy Dell, Acer, Lenovo, HP, a zdaniem Trend Micro także BIOSU-u AMI, sama padła ofiarą hakera.
Informacje te ujrzały światło, kiedy po włamaniu do serwerów Hacking Team wyciekło 400GB danych: plików, wiadomości e-mail. Z wykradzionych informacji można było wychwycić takie perełki jak instalację rootkita w UEFI, co jednak wymagało fizycznego dostępu do komputera docelowego. Zdaniem firmy Trend Micro, znanej z produktów do ochrony przed zaawansowanym malware, nie wyklucza się, że zdalna instalacja też była możliwa do zrealizowania.
Możliwość instalowania rootkitów w BIOS lub firmware UEFI zostało udowodnione już przez wielu ekspertów na konferencjach poświęconych bezpieczeństwu. Jednak przypadki wykorzystania tej metody w praktyce należą do rzadkości.
