监视软件制造商Hacking Team向政府客户提供了一种能力,可以感染他们想要监视的笔记本电脑和其他电脑上发现的低级固件。
该公司开发了一种工具,可以用来修改计算机的UEFI(统一可扩展固件接口),这样即使硬盘被清除或更换,它也能悄无声息地重新安装监视工具。
UEFI是传统BIOS(基本输入/输出系统)的替代品,旨在通过参考规范对现代计算机固件进行标准化。但是有很多公司在开发UEFI固件,而且PC制造商使用的实现可能有很大的不同。
反病毒软件供应商趋势科技(Trend Micro)的安全研究人员表示,黑客团队开发了一种方法,可以感染由Insyde Software开发的UEFI固件。这家公司的客户包括惠普(Hewlett-Packard)、戴尔(Dell)、联想(Lenovo)、宏碁(Acer)和东芝(Toshiba)。
趋势科技的研究人员在一篇博文中说:“然而,这些代码很可能也适用于AMI BIOS。”AMI BIOS指的是由Megatrends开发的固件,后者是BIOS市场的长期领导者。
近日,一名黑客从位于米兰的黑客团队中泄露了价值超过400GB的文件和电子邮件,趋势科技在这些文件和电子邮件中发现了关于UEFI rootkit的细节。在过去的一周里,安全研究人员和记者们一直在筛选数据,发现恶意软件源代码、客户名单、漏洞漏洞漏洞以及更多信息。
趋势科技的研究人员表示,一个黑客团队的幻灯片演示表明,安装UEFI rootkit需要访问目标计算机,但不能排除远程安装的可能性。
对政府机构来说,获得对某些电脑的临时物理访问权限不会是个大问题,因为许多都有法律允许在其边境检查笔记本电脑和其他设备。
黑客团队称其监控软件为“政府拦截黑客套件”,并声称只向政府机构出售。即便如此,大多数杀毒软件供应商还是将这种高度侵入性的软件(即远程控制系统(RCS)或Galileo))检测为恶意软件。
Trend Micro的研究人员表示,为了安装RCS UEFI rootkit,攻击者必须重新启动系统,进入UEFI外壳,提取固件,将rootkit写入转储后的图像,然后再将其闪回系统。
rootkit本身有三个模块:一个用于读取和写入NTFS文件系统;一个用于连接操作系统启动进程;一个是检查系统上是否有RCS。
每次系统重启时,rootkit都会检查是否存在两个名为scout.exe和soldier.exe的软件代理。Trend Micro的研究人员说,如果没有scout.exe,它会把它安装在操作系统内部的一个预定义位置。
在过去几年的安全会议上,许多研究人员已经证明了在计算机的BIOS或UEFI固件中安装rootkit的可能性。然而,在野外使用这种rootkit的情况非常罕见。
通过对黑客团队泄露的电子邮件通信的搜索发现,该公司的工程师密切关注着自2009年以来撰写的有关BIOS和UEFI黑客的每一篇文章和研究论文。这其中包括有关破解BIOS密码的博客文章、有关破解签名BIOS执行的论文以及有关安全局BIOS感染能力的泄露文件。
这些邮件还显示,该公司的研发团队至少从2014年年中就开始致力于“持续性UEFI感染”功能。9月9日,德国INTECH-Solutions公司的一名客户已经询问了一份持久感染功能的电脑清单。
“我们很抱歉,我们没有一份持续感染UEFI的电脑模型清单,”黑客团队的一名员工回应道。“我们测试了最后一个系列的宏碁与UEFI开机。我们正在努力支持华硕等其他型号,但目前我们无法向你提供发布日期。”
去年12月,Hacking Team的运营经理达尼埃尔•米兰(Daniele Milan)要求一名高级安全工程师澄清这一功能,以便回答潜在的客户咨询。
工程师回答说,这一功能已经在Dell Latitude 6320、Dell Precision T1600、Asus X550C和Asus F550C上成功测试。它也适用于东芝(Toshiba)的Satellite C50和宏碁(Acer)的Aspire E1-570,但故障风险更高。
这位工程师说,原则上,这款软件适用于所有64位CPU架构的笔记本电脑、工作站和服务器,支持Windows 7和Windows 8 Pro。
在后来的一封邮件中,他提到“chiavetta”也可以在戴尔的服务器上使用。Chiavetta在语中是钥匙的意思,但它也被广泛用于指USB u盘,暗示了如何部署UEFI rootkit。
为了防止此类感染,Trend Micro建议用户启用UEFI SecureFlash选项,设置BIOS/UEFI密码,并将固件更新到最新版本,以便安装最新的安全补丁。UEFI/BIOS更新通常由计算机制造商通过其支持网站发布,其中一些更新修复了安全研究人员发现的问题。