WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Phần mềm gián điệp của Hacking Team sử dụng rootkit BIOS UEFI để tự cài đặt và ẩn thân
Trong tuần trước, Hacking Team đã bị tấn công và để lộ ra hơn 400GB dữ liệu bao gồm:
· Email
· Công cụ hack
· Mã khai thác zero-day
· Công cụ theo dõi
· Mã nguồn phần mềm gián điệp
· Danh sách khách hàng là các chính phủ cùng kèm thông tin ngày mua và số tiền thanh toán
Hacking Team được biết đến với phần mềm gián điệp hệ thống từ xa RCS phức tạp và tiên tiến, mang tên Galileo, cùng nhiều mã khai thác lỗ hổng zero-day và có khả năng theo dõi các máy tính mục tiêu từ xa.
Ngày 14/7, các chuyên gia nghiên cứu an ninh của Trend Micro đã phát hiện ra Hacking Team sử dụng một Giao diện firmware mở rộng hợp nhất UEFI – 1 rootkit BIOS để cài đặt công cụ hệ điều khiển từ xa RCS trên máy tính nạn nhân.
Điều này có nghĩa rằng ngay cả khi người dùng cài đặt lại hệ điều hành, format toàn bộ ổ đĩa, và thậm chí là mua ổ đĩa mới thì công cụ RCS sẽ được cài đặt sau khi chạy Microsoft Windows.
Theo các nhà nghiên cứu, rootkit độc hại được viết bởi Hacking Team chỉ có thể nhắm tới các mục tiêu là các hệ thống UEFI BIOS do Insyde và AMI phát triển được sử dụng bởi hầu hết các nhà sản xuất máy tính để bàn và xách tay hiện nay.
Tuy nhiên tại thời điểm này, các chuyên gia không chắc chắn về việc mã độc có thể cài đặt rootkit thành công mà không cần truy cập vật lý máy tính nạn nhân vì quá trình cài đặt yêu cầu xử lý BIOS flashing sẽ không thể thực hiện được nếu không reboot lại máy và truy cập vào UEFI shell.
Các bản phân tích về rootkit BIOS của Trend Micro chỉ được thực hiện khi mã nguồn spyware được lấy từ những dữ liệu bị rò rỉ của Hacking Team.
Các nạn nhân vẫn chưa biết máy tính của mình bị nhiễm mã độc. Tuy nhiên, để bảo vệ thiết bị, người dùng nên cập nhật BIOS thường xuyên và đặt mật khẩu bảo vệ cũng như chắc chắn rằng UEFI SecureFlash được bật.
· Công cụ hack
· Mã khai thác zero-day
· Công cụ theo dõi
· Mã nguồn phần mềm gián điệp
· Danh sách khách hàng là các chính phủ cùng kèm thông tin ngày mua và số tiền thanh toán
Hacking Team được biết đến với phần mềm gián điệp hệ thống từ xa RCS phức tạp và tiên tiến, mang tên Galileo, cùng nhiều mã khai thác lỗ hổng zero-day và có khả năng theo dõi các máy tính mục tiêu từ xa.
Ngày 14/7, các chuyên gia nghiên cứu an ninh của Trend Micro đã phát hiện ra Hacking Team sử dụng một Giao diện firmware mở rộng hợp nhất UEFI – 1 rootkit BIOS để cài đặt công cụ hệ điều khiển từ xa RCS trên máy tính nạn nhân.
Điều này có nghĩa rằng ngay cả khi người dùng cài đặt lại hệ điều hành, format toàn bộ ổ đĩa, và thậm chí là mua ổ đĩa mới thì công cụ RCS sẽ được cài đặt sau khi chạy Microsoft Windows.
Theo các nhà nghiên cứu, rootkit độc hại được viết bởi Hacking Team chỉ có thể nhắm tới các mục tiêu là các hệ thống UEFI BIOS do Insyde và AMI phát triển được sử dụng bởi hầu hết các nhà sản xuất máy tính để bàn và xách tay hiện nay.
Tuy nhiên tại thời điểm này, các chuyên gia không chắc chắn về việc mã độc có thể cài đặt rootkit thành công mà không cần truy cập vật lý máy tính nạn nhân vì quá trình cài đặt yêu cầu xử lý BIOS flashing sẽ không thể thực hiện được nếu không reboot lại máy và truy cập vào UEFI shell.
Các bản phân tích về rootkit BIOS của Trend Micro chỉ được thực hiện khi mã nguồn spyware được lấy từ những dữ liệu bị rò rỉ của Hacking Team.
Các nạn nhân vẫn chưa biết máy tính của mình bị nhiễm mã độc. Tuy nhiên, để bảo vệ thiết bị, người dùng nên cập nhật BIOS thường xuyên và đặt mật khẩu bảo vệ cũng như chắc chắn rằng UEFI SecureFlash được bật.
Theo The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: