Эксперты обнаружили еще один UEFI-буткит - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Эксперты обнаружили еще один UEFI-буткит - «Новости»

Специалисты компании ESET рассказали о ранее неизвестном UEFI-бутките ESPecter, который использовался для целевых атак и шпионажа. Пока эксперты не связывают ESPecter с каким-либо конкретными хак-группами или странами.


Атаки на UEFI – это настоящий Святой Грааль для хакеров. Ведь UEFI загружается до операционной системы и контролирует все процессы на «раннем старте». Отсюда и главная опасность, связанная с компрометацией этой среды: если внести изменения в код UEFI, можно получить полный контроль над компьютером. Например, изменить память, содержание диска или заставить операционную систему запустить вредоносный файл. Поскольку речь идет о низкоуровневой малвари, избавиться от нее с помощью замены жесткого диска или переустановки ОС не выйдет.


Первый буткит для UEFI, LoJax, был обнаружен специалистами компании ESET в 2018 году. Тогда исследователи пришли к выводу, что он был делом рук русскоязычной «правительственной» хак-группы Fancy Bear.


После этого UEFI-буткиты находили уже не раз, и последней такой случай был описан на прошлой неделе: эксперты «Лаборатории Касперского» рассказали об инструментах китайской кибершпионской группировки GhostEmperor.


Теперь список UEFI-буткитов пополнился еще одним пунктом, вредоносом ESPecter. Эксперты ESET рассказывают, что первые атаки с использованием этой малвари были обнаружены еще в 2012 году. Однако тогда ESPecter не использовался как буткит для UEFI, его первоначальным предназначением были атаки на системы с BIOS. Лишь в 2020 году авторы малвари обновили код, и переключились на атаки на UEFI.


«Интересно то, что компоненты вредоносного ПО практически не изменились за все эти годы, а различия между версиями 2012 и 2020 не так значительны, как можно было бы ожидать», — гласит отчет ESET.


Исследователи до сих пор не знают, как именно начинаются атаки этих неизвестных злоумышленников. Неясно, получают ли они физический доступ к целевым системам или используют классический фишинг для развертывания ESPecter в сети жертвы.


Зато известно, что после начала процесса установки начальные компоненты ESPecter изменяют компонент Windows Boot Manager и обходят Windows Driver Signature Enforcement (DSE), чтобы загрузить и запустить неподписанный вредоносный драйвер — фактическую полезную нагрузку буткита ESPecter.





Сообщается, что хакеры обычно применяют ESPecter для развертывания другой малвари и стремясь закрепиться в системе, чтобы «пережить» переустановку ОС. Малварь, обнаруженная в таких атаках, включает троян-бэкдор, который злоумышленники использовали для поиска конфиденциальных файлов в локальной системе, периодического создания скриншотов и запуска кейлоггера.


Аналитики ESET отмечают, что ESPecter — это второй известный буткит для UEFI, который использует EFI System Partition (ESP) в качестве точки входа. Первой малварью такого рода был недавно обнаруженный «Лабораторией Касперского» буткит, входящий в состав инструментария FinSpy. Дело в том, что другие UEFI-буткиты обычно используют флэш-память UEFI SPI.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалисты компании ESET рассказали о ранее неизвестном UEFI-бутките ESPecter, который использовался для целевых атак и шпионажа. Пока эксперты не связывают ESPecter с каким-либо конкретными хак-группами или странами. Атаки на UEFI – это настоящий Святой Грааль для хакеров. Ведь UEFI загружается до операционной системы и контролирует все процессы на «раннем старте». Отсюда и главная опасность, связанная с компрометацией этой среды: если внести изменения в код UEFI, можно получить полный контроль над компьютером. Например, изменить память, содержание диска или заставить операционную систему запустить вредоносный файл. Поскольку речь идет о низкоуровневой малвари, избавиться от нее с помощью замены жесткого диска или переустановки ОС не выйдет. Первый буткит для UEFI, LoJax, был обнаружен специалистами компании ESET в 2018 году. Тогда исследователи пришли к выводу, что он был делом рук русскоязычной «правительственной» хак-группы Fancy Bear. После этого UEFI-буткиты находили уже не раз, и последней такой случай был описан на прошлой неделе: эксперты «Лаборатории Касперского» рассказали об инструментах китайской кибершпионской группировки GhostEmperor. Теперь список UEFI-буткитов пополнился еще одним пунктом, вредоносом ESPecter. Эксперты ESET рассказывают, что первые атаки с использованием этой малвари были обнаружены еще в 2012 году. Однако тогда ESPecter не использовался как буткит для UEFI, его первоначальным предназначением были атаки на системы с BIOS. Лишь в 2020 году авторы малвари обновили код, и переключились на атаки на UEFI. «Интересно то, что компоненты вредоносного ПО практически не изменились за все эти годы, а различия между версиями 2012 и 2020 не так значительны, как можно было бы ожидать», — гласит отчет ESET. Исследователи до сих пор не знают, как именно начинаются атаки этих неизвестных злоумышленников. Неясно, получают ли они физический доступ к целевым системам или используют классический фишинг для развертывания ESPecter в сети жертвы. Зато известно, что после начала процесса установки начальные компоненты ESPecter изменяют компонент Windows Boot Manager и обходят Windows Driver Signature Enforcement (DSE), чтобы загрузить и запустить неподписанный вредоносный драйвер — фактическую полезную нагрузку буткита ESPecter. Сообщается, что хакеры обычно применяют ESPecter для развертывания другой малвари и стремясь закрепиться в системе, чтобы «пережить» переустановку ОС. Малварь, обнаруженная в таких атаках, включает троян-бэкдор, который злоумышленники использовали для поиска конфиденциальных файлов в локальной системе, периодического создания скриншотов и запуска кейлоггера. Аналитики ESET отмечают, что ESPecter — это второй известный буткит для UEFI, который использует EFI System Partition (ESP) в качестве точки входа. Первой малварью такого рода был недавно обнаруженный «Лабораторией Касперского» буткит, входящий в состав инструментария FinSpy. Дело в том, что другие UEFI-буткиты обычно используют флэш-память UEFI SPI.
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: