LoJax - первый массовый UEFI руткит. Ботнет Hide and Seek заражает Android устройства. Джейлбрейк iPhone XS

LoJax - первый UEFI руткит, заражающий компьютеры пользователей

Исследователи безопасности компании ESET сообщили об обнаружении первого руткита в "дикой природе", заражающего унифицированный интерфейс расширяемой прошивки (UEFI). Данный руткит использовался известной хакерской группировкой под названием Fancy Bear (другие их названия APT28, Sofacy, Pawn storm, Sednit и Strontium). Хакерская группа Fancy Bear подозревается во множестве атак на правительственные интернет-ресурсы разных стран и по мнению многих специалистов кибербезопасности, связана с российскими спецслужбами. Именно эта группа подозревается во взломе Демократического национального комитета (DNC) накануне выборов в США в 2016 году и так же они подозреваются в утечке электронной почты Всемирного антидопингового агентства (WADA).

Обнаруженный руткит UEFI получил название LoJax. Руткит был обнаружен в комплекте с инструментами, с помощью которых может перезаписывать UEFI. Вредоносное ПО может сохраняться внутри SPI флэш-памяти компьютера, это означает, что переустановка операционной системы и замена жесткого диска не избавят компьютер от вредоносной программы. Исследование показало, что руткит предназначался для правительственных организаций стран Балканского полуострова и других стран Центральной и Восточной Европы.

Согласно исследованиям ESET, Lojax является первым обнаруженным руткитом, заражающим UEFI в реальном мире. До этого эксперты в основном говорили об UEFI руткитах как о теоретической атаке, хотя ранее были свидетельства того, что частные фирмы продавали инструменты взлома для государственных заказчиков.

Специалисты ESET заявили, что поведение Lojax подражает оригинальному программному инструменту LoJack - официальному программному модулю компании Absolute Software с функциями Анти-вор, расположенному в BIOS/UEFI, соответственно который также трудно удалить с ПК. «Поскольку намерение этого программного обеспечения заключается в защите системы от кражи, важно, чтобы он не поддерживал переустановку ОС или замену жесткого диска. Таким образом, он реализован как модуль UEFI / BIOS, способный выжить в таких случаях. Это решение поставляется в предустановленной версии встроенного ПО большого количества ноутбуков, выпускаемых различными OEM-производителями, ожидающих активации их владельцами.», - сообщили специалисты ESET.

Патч SPI флэш-памяти с вредоносным ПО

В системах, которые были нацелены на атаку руткитом LoJax, были обнаружены различные инструменты, которые имеют доступ к параметрам UEFI и BIOS и изменяют их. Все они использовали драйвер ядра RwDrv.sys для доступа к настройкам UEFI / BIOS. Этот драйвер ядра поставляется вместе с RWEverything, бесплатной утилитой, доступной в Интернете, которая может быть использована для чтения информации почти на всех низкоуровневых настройках компьютера, включая PCI Express, Memory, PCI Option ROM и т.д. Поскольку данный драйвер ядра принадлежит официальному программному обеспечению, то он подписан действительной цифровой подписью.

Использовались различные типы инструментов для заражения.

Первый из них - это инструмент для сброса информации о системных настройках низкого уровня в текстовый файл. Поскольку обход защиты от незаконных обновлений прошивки зависит от платформы, то сбор информации о платформе системы имеет решающее значение. Целью второго инструмента было сохранение прошивки системы в файл, для чтения флэш-памяти SPI. Третьим инструментом было добавление вредоносного модуля UEFI в образ прошивки и запись его обратно в флеш-память SPI, эффективно устанавливая UEFI руткит в систему. При невозможности записи руткита, используется эксплуатация известной уязвимости.

UEFI руткит, добавленный в образ прошивки, имеет одну роль: загрузку вредоносных программ на раздел операционной системы Windows и контроль за их автозагрузкой.

Как защитить себя?

UEFI-руткит неправильно подписан, поэтому первым механизмом безопасности, который будет блокировать такую атаку, является механизм «Secure Boot». При включенном механизме «Secure Boot», каждый компонент прошивки, должен быть правильно подписан, что гарантирует целостность прошивки. Мы настоятельно рекомендуем включить его. Это базовая защита от атак, нацеленных на прошивку UEFI, и их можно включить во время загрузки через настройки UEFI вашей системы.

Существуют различные меры защиты, предоставляемые платформой для предотвращения несанкционированной записи в системную флэш-память SPI. Описанный выше вредоносный инструмент может изменить прошивку системы только в том случае, если защита флэш-памяти SPI уязвима или неправильно настроена. Таким образом, вы должны убедиться, что используете последнюю доступную версию UEFI / BIOS для вашей материнской платы. Кроме того, поскольку уязвимость, затрагивает только более старые чипсеты, убедитесь, что в критических системах установлены современные чипсеты с контроллером (хаб) концентратора платформы Controller Hub (использующиеся на чипсете Intel Series 5 с 2008 года).

Ботнет Hide and Seek Botnet заражает Android устройства

Ботнет Hide and Seek был обнаружен в январе 2018 года, тогда он атаковал только IoT-устройства, привлек своё внимание благодаря быстрому росту до более чем 90 000 устройств всего за несколько дней. Новый механизм заражения, обнаруженный в последней модификации ботнета, заражает Android устройства через сети WiFi с помощью активированной функции беспроводной отладки (Android Debug Bridge). Используя данную функцию устройств, Hide and Seek расширяет свое присутствие до десятков тысяч потенциальных ботов.

Согласно исследованию компании Bitdefender, ботнет Hide and Seek может использовать около 40 000 новых устройств, большинство из которых находятся в Тайване, Корее и Китае.

В беседе с BleepingComputer главный исследователь по безопасности компании Bitdefender Алекс Балан рассказал, что целью ботнета на данный момент является увеличение его размера и не более того. Хотя ботнет поддерживает команды для фильтрации данных и выполнения кода, исследователи не обнаружили их выполнение в ботнете. Кроме того, отсутствует модуль для запуска распределенных атак типа «отказ в обслуживании», основного метода монетизации ботнета.

Создан джейлбрейк нового iPhone XS

По сообщению инженера безопасности Мин Чжэн из компании Alibaba, хакерская команда Pangu смогла создать джейлбрейк для нового смартфона iPhone XS.

На прилагаемом скриншоте в твиттере инженера показан root доступ на 5,8-дюймовом iPhone XS. Поскольку аппаратное обеспечение iPhone XS очень похоже на iPhone XS Max, то новый эксплойт джейлбрейк для iOS 12 также должен работать на смартфонах iPhone XS Max.

iOS 12 Jailbreak on iPhone XS by @PanguTeam ! Bypass PAC mitigation on the new A12 chip. That&&񖔃s amazing!!!👏👏👏 pic.twitter.com/PeVLb13EsJ

— Min(Spark) Zheng (@SparkZheng) 27 сентября 2018 г.

На скриншоте можно увидеть, что джейлбрейк iOS 12 работает в обход функционального кода PAC (Pointer authentication codes), реализованного в новом чипе A12 Bionic от Apple.

Хакерская команда Pangu официально не заявляла о создании нового джейлбрейка, поэтому неясно, будет ли выпущен джейлбрейк iOS 12 для публики.

Джейлбрейк - операция которая устраняет ограничения на устройствах iOS компании Apple, с помощью которой пользователи могут устанавливать стороннее программное обеспечение, несертифицированное Apple.