Trojan Trickbot potrafi modyfikować UEFI komputera

Trojan Trickbot potrafi modyfikować UEFI komputera

7 grudnia 2020 0 przez Rafał Skrzypek

Eksperci z Advanced Intelligence i Eclypsium doszli do wniosku, że programiści tworzący trojana Trickbot wyposażyli go w funkcję pozwalającą na modyfikację UEFI komputera. Dwa lata temu głośna była sprawa złośliwego kodu o nazwie LoJax, który również miał taką funkcjonalność. Jednak od tego czasu nie było tego typu doniesień.

UEFI, czyli Unified Extensible Firmware Interface, pracuje pomiędzy firmware płyty głównej komputera a systemem operacyjnym i spełnia to samo zadanie co niegdyś BIOS. Ma jednak tę przewagę nad swoim starszym bratem, że można pisać dla niego sterowniki, które pracują niezależnie od systemu operacyjnego. Ma też niestety wady, które mogą, jak w tym wypadku, wykorzystać cyberprzestępcy. Badacze z ITSEC już w 2012 roku twierdzili, że dzięki UEFI jest możliwe dużo prostsze tworzenie bootkitów, a na potwierdzenie ich słów czekaliśmy prawie 6 lat. W 2018 roku ESET poinformował o wielu przypadkach infekcji trojanem używającym tej techniki. Co ciekawe jednym z głównych krajów, których dotyczył wtedy problem, była Polska.

trojan Trickbot

Trickbot z klocków

Trojan Trickbot wyróżnia się na tle innych tego typu programów tym, że jest zbudowany z modułów/klocków. Dzięki temu cyberprzestępcy mogą je osobno kupować od programistów stojących za tym projektem. To z kolei pozwala im na „uszycie” złośliwego kodu według wymagań i pod firmę lub osobę, którą chcą zaatakować. Trickbot potrafi też uzyskiwać uprawnienia administracyjne, co w połączeniu z możliwością modyfikacji UEFI stanowi duże zagrożenie dla cyberbezpieczeństwa. Dzięki temu, że złośliwy kod uruchomi się jeszcze przed systemem operacyjnym, może dowolnie modyfikować jego pliki. To pozwala mu uruchamiać swoje funkcje zupełnie poza kontrolą. Nie dość, że konwencjonalne oprogramowanie antywirusowe niewiele może tu pomóc, to na dodatek trojan nie zostanie usunięty z komputera. Nie pomoże nawet wyczyszczenie czy wymiana dysku. Jakby tego było mało, kupno zainfekowanej płyty głównej na rynku wtórnym stwarza zagrożenie dla jej nowego użytkownika.

Microsoft wraz z kilkoma innymi firmami próbował jakiś czas temu walki z tym konkretnym trojanem, ale ich wysiłki spełzły na niczym. Trickbot to naprawdę wyrafinowany program, a to z kolei sugeruje, że najprawdopodobniej stoi za nim ktoś więcej niż zwykli cyberprzestępcy. Podejrzenia padają na Rosję lub Koreę Północną, ale nikt tego nie potrafi bezspornie udowodnić.

Tego typu trojany są olbrzymim zagrożeniem dla dużych firm i instytucji, bo często są pierwszym krokiem do przeprowadzenia ataku za pomocą ransomware. Trickbot ze swoimi nowymi funkcjami jest naprawdę niebezpieczny i niestety w wielu przypadkach niewykrywalny. W starszych komputerach teoretycznie da się wyłączyć UEFI i użyć trybu legacy BIOS. W nowszych konstrukcjach nie ma nawet takiej możliwości. Pozostaje jedynie zachowanie czujności i przestrzeganie zasad ustalonych przez administratorów.

Źródło: TechXplore