Милиони дънни платки за компютри са продавани със софтуерна "задна врата"

Криенето на зловредни програми в UEFI фърмуера, кодът от ниско, който указва на компютъра как да зареди операционната система, отдавна е част от набора от инструменти на хакерите. Сега обаче става ясно, че производител на такива компоненти е създал своя собствена скрита "задна врата" в милиони компютри.

Изследователи от компанията за киберсигурност Eclypsium разкриха, че са открили скрит механизъм във фърмуера на дънни платки, продавани от тайванския производител Gigabyte, чиито компоненти обикновено се използват в компютри за игри и други високопроизводителни системи. Всеки път, когато компютър със засегнатата дънна платка на Gigabyte се рестартира, кодът във фърмуера на дънната платка тайно инициира програма за актуализиране, която се изпълнява на компютъра и на свой ред изтегля и изпълнява друга част от софтуера.

Твърди се, че механизмът за актуализиране е внедрен с явни уязвимости. Той изтегля код на машината на потребителя, без да го удостоверява правилно, понякога дори през незащитена HTTP връзка, вместо HTTPS. Това може да позволи източникът на инсталация да бъде подправен чрез атака от типа man-in-the-middle, т.е. с прихващане интернет връзката на потребителя, като например чрез използване на специално подготвена Wi-Fi мрежа.

Според експертите скритият код е предназначен да бъде безобиден инструмент за актуализиране на фърмуера на дънната платка. Проблемът обаче е, че той е внедрен несигурно, което потенциално позволява механизмът да бъде използван за инсталиране на зловреден софтуер вместо предназначената програма на Gigabyte. Тъй системата за актуализиране е неговата операционна система, за потребителите е трудно да я премахнат или дори да открият.

В публикация от Eclypsium изброяват 271 модела дънни платки на Gigabyte, които според изследователите са засегнати от проблема. Добавя се, че потребителите, които искат да видят коя дънна платка използва техният компютър, могат да го направят чрез проверка в програмата System Information. Тя може да бъде открита през търсачката в операционната система.

Допълва се, че скритият механизъм на Gigabyte е открит при претърсване на компютри на клиентите за зловреден код във фърмуера, сфера, в което са се специализирали от Eclypsium. Споменава се например, че през 2018 г. хакери, работещи от името на руската военна разузнавателна агенция ГРУ, са били открити да инсталират безшумно базирания на фърмуер софтуер против кражба LoJack на машините на свои жертви, използвайки го за шпиониране. Две години по-късно пък се твърди, че спонсорирани от Китай хакери са били забелязани да пренасочват фърмуер базиран шпионски инструмент, създаден от фирмата за наемане на хакери Hacking Team, за да атакуват компютри на дипломати и служители на неправителствени организаци в Африка, Азия и Европа. Изследователите са били изненадани да видят, че техните автоматизирани сканирания за откриване маркират механизма за актуализиране на Gigabyte като подозрително поведение.