Eksperci z Kaspersky Lab ujawnili wyniki badań, które potwierdzają – i wykazują – że słaba implementacja oprogramowania zabezpieczającego przed kradzieżą sprzedawanego przez Absolute Software może zmienić przydatne narzędzie przeznaczone do ochrony w potężny instrument wykorzystywany do cyberataków.
Ta nieudana implementacja pozwala osobom atakującym, w sposób ukradkowy, uzyskać pełny dostęp do milionów komputerów. W badaniu skoncentrowano się głównie na agencie Absolute Computrace, który znajduje się w oprogramowaniu systemowym (tzw. firmware) lub w pamięci ROM BIOS-u współczesnych laptopów i komputerów stacjonarnych.
Głównym motywem podjęcia tego projektu badawczego było wykrycie agenta Computrace zainstalowanego na kilku prywatnych komputerach badaczy z Kaspersky Lab oraz komputerach korporacyjnych bez wcześniejszej autoryzacji. Chociaż Computrace jest legalnym produktem opracowanym przez Absolute Software, niektórzy właściciele systemów twierdzą, że nigdy nie zainstalowali i nie aktywowali tego oprogramowania na swoich maszynach, ani też nie wiedzieli nic o nim. Większość tradycyjnych, preinstalowanych pakietów oprogramowania może zostać trwale usunięta lub wyłączona przez użytkownika; jednak Computrace został stworzony w taki sposób, aby mógł przetrwać profesjonalne czyszczenie systemu, a nawet wymianę dysku twardego.
Użytkownik może przez pomyłkę uznać Computrace za zagrożenie, ponieważ aplikacja ta wykorzystuje wiele sztuczek typowych dla współczesnego szkodliwego oprogramowania: techniki ochrony przed debugowaniem oraz inżynierią wsteczną, wstrzykiwanie do pamięci innych procesów, nawiązywanie tajnej komunikacji, łatanie plików systemowych na dysku, szyfrowanie plików konfiguracyjnych oraz zapisywanie na plików wykonywalnych na dysku komputera wprost z pamięci BIOS-u/firmware’u.
„Potężne ugrupowania posiadające możliwość wykorzystywania światłowodów mogą potencjalnie porwać komputery, na których zainstalowano Absolute Computrace. Oprogramowanie to może być wykorzystywane do wprowadzania aplikacji szpiegujących” – tłumaczy Witalij Kamliuk, główny badacz bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab. „Według naszych szacunków oprogramowanie Absolute Computrace jest zainstalowane na milionach komputerów, a spora część użytkowników może nie wiedzieć, że taka aplikacja jest aktywna w ich systemach. Komu mogło zależeć na aktywowaniu Computrace’a na wszystkich tych komputerach? Czy monitoruje je nieznany sprawca? To zagadka, która wymaga rozwiązania”.
Dane statystyczne z badania Kaspersky Lab
- Według danych pochodzących z Kaspersky Security Network, istnieje około 150 000 użytkowników, którzy mają zainstalowanego agenta Computrace na swoich komputerach. Szacowana łączna liczba użytkowników z aktywowanym agentem Computrace może przekraczać 2 miliony. Nie wiadomo, ilu z tych użytkowników jest świadomych, że w ich systemie działa Computrace.
- Większość takich komputerów jest zlokalizowana w Stanach Zjednoczonych i Rosji.
Luki w bezpieczeństwie
Protokół sieciowy wykorzystywany przez Computrace Small Agent posiada podstawowe funkcje umożliwiające zdalne wykonanie kodu. Protokół ten nie wymaga użycia szyfrowania ani uwierzytelnienia zdalnego serwera, co stwarza wiele możliwości przeprowadzenia zdalnych ataków w środowisku sieciowym.
Platforma ataków
Nie ma żadnego dowodu na to, że Absolute Computrace jest wykorzystywany jako platforma do przeprowadzania ataków. Jednak eksperci z kilku państw dostrzegają ryzyko; niektóre niepokojące i niewyjaśnione przypadki nieautoryzowanej aktywacji Computrace sprawiają, że zagrożenie to jest coraz bardziej realne.
Jeszcze w 2009 roku badacze z Core Security Technologies zaprezentowali swoje ustalenia dotyczące Absolute Computrace. Badacze ostrzegli przed zagrożeniami związanymi z tą technologią i wyjaśnili, jak osoba atakująca mogłaby zmodyfikować rejestr systemu w celu przechwycenia wywołań zwrotnych z Computrace. Agresywne zachowanie Computrace Agent było czynnikiem, który spowodował, że aplikacja ta w przeszłości była już wykrywana jako szkodliwe oprogramowanie. Według niektórych doniesień, Computrace był wykrywany przez firmę Microsoft jako VirTool:Win32/BeeInject. Później jednak zarówno Microsoft, jak i kilku producentów rozwiązań do ochrony przed szkodliwym oprogramowaniem usunęło sygnatury tego programu ze swoich baz danych. Pliki wykonywalne Computrace’a znajdują się obecnie na białych listach większości firm z branży ochrony przed szkodliwym oprogramowaniem.
„Tak potężne narzędzie jak oprogramowanie Absolute Computrace, aby nadal mogło służyć dla dobra ogółu, musi wykorzystywać mechanizmy uwierzytelniania i szyfrowania. Nie ma wątpliwości, że w sytuacji, gdy istnieje wiele komputerów z zainstalowanym agentem Computrace, producent (w tym przypadku Absolute Software) jest odpowiedzialny za powiadomienie użytkowników i wytłumaczenie, w jaki sposób można dezaktywować i wyłączyć oprogramowanie” – dodaje Witalij Kamluk. „W przeciwnym razie takie pozostawione samym sobie agenty pozostaną niezauważone przez użytkowników i będą umożliwiały zdalne wykorzystanie komputera do szkodliwych celów”.
Pełny raport zawierający szczegółowy opis działania Absolute Computrace Agent jest dostępny w języku angielskim w serwisie SecureList prowadzonym przez Kaspersky Lab:http://www.securelist.com/en/analysis/204792325/Absolute_Computrace_Revisited.
źródło: Kaspersky Lab
