Logo  
Rzecznicy Agencje Eksperci Eksperci Rzecznicy Agencje Firmy Zaloguj
Rzecznicy Agencje PR Firmy Eksperci Aktywność
rzeczników
Aktywność
firm
Aktywność
agencji PR
Zaloguj

Login: Hasło:
pamiętaj
Nie masz konta? Rejestracja
Nowe hasło
Zamów reklamę w serwisie rzecznikprasowy.pl

       
 
 Czwartek, 22 października 2020
 
Centrum prasowe dla rzeczników, biur prasowych, agencji PR i dziennikarzy.
Bezpłatne komunikaty prasowe do przedruku.
Zaloguj się!
BRANŻE
Wszystkie (47504)
AGD (207)
Biznes (4975)
Budownictwo (2137)
Dom (1538)
Dziecko (1249)
Edukacja (1822)
Elektronika (969)
Film (119)
Finanse (1787)
Internet (2984)
Komputery (2477)
Książki (216)
Kulinaria (990)
Kultura i sztuka (1223)
Media (615)
Moda i Styl (1004)
Motoryzacja (1167)
Muzyka (267)
Nieruchomości (1011)
Ogród (147)
Oprogramowanie (2443)
Polityka (369)
Praca i kariera (979)
Prawo (930)
Reklama i PR (978)
RTV (196)
Sport (840)
Telekomunikacja (527)
Turystyka (1198)
Transport (515)
Uroda (513)
Wnętrze (818)
Zdrowie (1694)
Zwierzęta (83)
Życie (1399)
Inne (2669)
Dolnośląskie (242)
Kujawsko-pomorskie (1187)
Lubelskie (25)
Lubuskie (57)
Łódzkie (79)
Małopolskie (151)
Mazowieckie (1624)
Opolskie (23)
Podkarpackie (58)
Podlaskie (236)
Pomorskie (153)
Śląskie (395)
Świętokrzyskie (26)
Warmińsko-mazurskie (46)
Wielkopolskie (101)
Zachodniopomorskie (46)


Złota Strona Tygodnia

subskrybuj kanały RSS subskrybuj kanały RSS
Dodaj do Facebooka Facebook
Dodaj do Twittera Twitter

TAGI
 
 


LOSOWE REDAKCJE
 

CzasNaWnetrze.pl


Signs.pl


Nasz Tydzień Fakty


NBI


Nowoczesna Firma


 
KOMUNIKATY TEKSTOWE

Trudne do wykrycia i usunięcia szkodliwe narzędzie infekujące komputery
Dodano: 05.10.2020, godzina: 15:49
Trudne do wykrycia i usunięcia szkodliwe narzędzie infekujące komputery
Badacze firmy Kaspersky wykryli zaawansowaną kampanię cyberszpiegowską, w której wykorzystywano niezwykle rzadko spotykany rodzaj szkodliwego oprogramowania – bootkit oprogramowania układowego.
Nowy szkodnik został zidentyfikowany przez technologię skanowania UEFI / BIOS firmy Kaspersky, która służy do wykrywania znanych i nieznanych zagrożeń. Umiejscowienie szkodnika w tym niezbędnym elemencie każdego współczesnego urządzenia komputerowego spowodowało, że był on niezwykle trudny do wykrycia i usunięcia z zainfekowanych urządzeń. Wykorzystany bootkit UEFI stanowi zmodyfikowaną wersję narzędzia cybergangu Hacking Team, którego kod wyciekł w 2015 r.

Oprogramowanie układowe UEFI stanowi zasadniczy element komputera, który uruchamia się przed systemem operacyjnym oraz wszystkimi zainstalowanymi programami. Jeśli na skutek modyfikacji oprogramowanie układowe UEFI będzie zawierało szkodliwy kod, także zostanie on uruchomiony przed systemem operacyjnym, przez co jego aktywność może być niewidoczna dla rozwiązań bezpieczeństwa. Ponieważ oprogramowanie układowe mieści się w chipie flash, który jest oddzielony od dysku twardego, ataki na UEFI mogą być wyjątkowo trudne do wykrycia i uporczywe – infekcja oprogramowania układowego oznacza, że szkodnik umieszczony na urządzeniu przez bootkita pozostanie w nim niezależnie od tego, ile razy przeinstalujemy system operacyjny.

Badacze z firmy Kaspersky odkryli, że próbka takiego szkodliwego oprogramowania została wykorzystana w kampanii, w której zastosowano warianty złożonego, wieloetapowego systemu modułowego o nazwie MosaicRegressor. System ten został wykorzystany do celów szpiegowskich oraz do gromadzenia danych.

Zidentyfikowane komponenty bootkita UEFI w dużym stopniu opierały się na narzędziu „Vector-EDK”, które zostało stworzone przez cybergang Hacking Team, a jego kod źródłowy wyciekł do sieci w 2015 r. Kod ten najprawdopodobniej umożliwił cyberprzestępcom stworzenie własnego oprogramowania przy niewielkim wysiłku.

Ataki zidentyfikowano za pomocą narzędzia Firmware Scanner, które funkcjonuje w produktach firmy Kaspersky od początku 2019 r. Technologia ta została opracowana w celu wykrywania zagrożeń ukrywających się w pamięci BIOS-u, łącznie z obrazami oprogramowania układowego UEFI.

Chociaż ustalenie dokładnego wektora infekcji, który umożliwił cyberprzestępcom nadpisanie oryginalnego oprogramowania układowego UEFI, nie było możliwe, badacze z firmy Kaspersky przygotowali jeden z możliwych scenariuszy na podstawie tego, co wiadomo o narzędziu VectorEDK z dokumentów cybergangu Hacking Team, które wyciekły do sieci. Dokumenty te sugerują, nie wykluczając innych opcji, że infekcje mogły nastąpić za pośrednictwem fizycznego dostępu do maszyny ofiary, konkretnie przy pomocy rozruchowego nośnika USB zawierającego specjalne narzędzie aktualizacji. Zmodyfikowane oprogramowanie układowe umożliwiłoby następnie instalację modułu, który umożliwia pobranie po starcie systemu operacyjnego dowolnej szkodliwej funkcji stosownie do potrzeb cyberprzestępcy.

Jednak w większości przypadków komponenty platformy MosaicRegressor trafiły do ofiar przy użyciu znacznie mniej wyrafinowanych metod, takich jak wykorzystanie spersonalizowanego phishingu w celu dostarczenia szkodliwego narzędzia ukrytego w archiwum wraz z przynętą. Posiadając wielomodułową strukturę, MosaicRegressor wymykał się pełnej analizie, a przestępcy mogli umieszczać jego komponenty na atakowanych maszynach jedynie „na żądanie”. Szkodnikiem, który był pierwotnie instalowany na zainfekowanym urządzeniu, był tzw. trojan-downloader, czyli program potrafiący pobierać dodatkowe moduły oraz inne szkodliwe programy. W zależności od wykorzystanej funkcji szkodnik mógł pobrać lub przesłać dowolne pliki, korzystając z listy określonych adresów URL, oraz gromadzić informacje z atakowanych maszyn.

Na podstawie powiązań między wykrytymi ofiarami badacze zdołali ustalić, że MosaicRegressor był wykorzystany w serii ataków ukierunkowanych wymierzonych w dyplomatów oraz członków organizacji pozarządowych z Afryki, Azji oraz Europy. Niektóre z ataków obejmowały dokumenty w języku rosyjskim w ramach spersonalizowanego phishingu, podczas gdy inne były związane z Koreą Północną i służyły jako przynęta mająca skłonić potencjalną ofiarę do pobrania szkodliwego oprogramowania.

Kampania nie została powiązana z żadnym znanym cybergangiem.

Chociaż ataki z wykorzystaniem UEFI dają atakującym szerokie możliwości, MosaicRegressor stanowi pierwszy publicznie znany przypadek wykorzystania przez cyberprzestępców szytego na miarę szkodliwego oprogramowania układowego. We wcześniejszych atakach zaobserwowanych na wolności legalne oprogramowanie wykorzystywane było niezgodnie z jego pierwotnym przeznaczeniem (np. LoJax). Zatem mamy tu do czynienia z pierwszym atakiem opartym na specjalnie stworzonym bootkicie UEFI. Pokazuje on, że w wyjątkowych okolicznościach cyberprzestępcy gotowi są włożyć wiele wysiłku, po to by ich szkodnik przez długi czas pozostał niewykryty na zaatakowanej maszynie. Nieustannie rozszerzają oni swój arsenał narzędzi i wykazują coraz większą kreatywność w zakresie sposobów atakowania ofiar. Podobne podejście powinni przyjąć producenci rozwiązań bezpieczeństwa, aby zyskać nad nimi przewagę. Na szczęście, łącząc naszą technologię ze znajomością obecnych oraz wcześniejszych kampanii wykorzystujących zainfekowane oprogramowanie układowe, możemy monitorować oraz informować o przyszłych atakach na takie cele – powiedział Mark Lechtik, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.

Szczegółowa analiza platformy MosaicRegressor oraz jej komponentów jest dostępna na stronie https://r.kaspersky.pl/e4mGr.

Szczegółowa prezentacja dotycząca platformy MosaicRegressor zostanie przedstawiona wraz z innymi odkryciami w dziedzinie cyberbezpieczeństwa podczas nadchodzącej konferencji online [email protected] Bezpłatnej rejestracji można dokonać na stronie https://kas.pr/tr59.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.

Pliki komunikatu:
Pliki galerii:
Tagi: kaspersky

KOMENTARZE
Nie ma jeszcze komentarzy

Dodaj komentarz:

Ile to jest 5 + 18:


 

O AUTORZE
  
Kaspersky Lab Polska
www.kaspersky.pl

Firma

Kupczyk Piotr
Rzecznik
 

INNE MATERIAŁY TEGO AUTORA
 
Oprogramowanie szpiegujące GravityRAT staje się wieloplatformoweOprogramowanie szpiegujące GravityRAT staje się wieloplatformowe
IAmTheKing: kto stoi za niesławnym szkodliwym oprogramowaniem SlothfulMedia?IAmTheKing: kto stoi za niesławnym szkodliwym oprogramowaniem SlothfulMedia?
Kaspersky wykrywa zwiększoną aktywność cyberoszustów poprzedzającą premierę nowych...Kaspersky wykrywa zwiększoną aktywność cyberoszustów poprzedzającą premierę nowych...
Nowy zestaw narzędzi wykorzystywany w atakach na przemysłowe spółki holdingoweNowy zestaw narzędzi wykorzystywany w atakach na przemysłowe spółki holdingowe
Kaspersky Lab Polska otrzymuje prestiżowe wyróżnienie Kaspersky Lab Polska otrzymuje prestiżowe wyróżnienie "Medal Europejski"
 
Zobacz wszystkie »

PODOBNE KOMUNIKATY
 
Oprogramowanie szpiegujące GravityRAT staje się wieloplatformowe
 
IAmTheKing: kto stoi za niesławnym szkodliwym oprogramowaniem SlothfulMedia?
 
Kaspersky wykrywa zwiększoną aktywność cyberoszustów poprzedzającą premierę nowych...
 
Nowy zestaw narzędzi wykorzystywany w atakach na przemysłowe spółki holdingowe
 
Kaspersky Lab Polska otrzymuje prestiżowe wyróżnienie "Medal Europejski"