Kötü amaçlı programları gizleme Bir bilgisayarın UEFI aygıt yazılımındaki, bir bilgisayara işletim sistemini nasıl yükleyeceğini söyleyen köklü kod, sinsi bilgisayar korsanlarının araç setinde sinsi bir numara haline geldi. Ancak bir anakart üreticisi, milyonlarca bilgisayarın aygıt yazılımına kendi gizli arka kapısını kurduğunda – ve bu gizli arka girişe düzgün bir kilit bile koymadığında – pratikte onlar için bilgisayar korsanlarının işini yapıyor demektir.
Donanım yazılımı odaklı siber güvenlik şirketi Eclypsium’daki araştırmacılar bugün, bileşenleri oyun PC’lerinde ve diğer yüksek performanslı bilgisayarlarda yaygın olarak kullanılan Tayvanlı üretici Gigabyte tarafından satılan anakartların ürün yazılımında gizli bir mekanizma keşfettiklerini açıkladılar. Eclypsium’un tespitine göre, etkilenen Gigabyte anakarta sahip bir bilgisayar yeniden başlatıldığında, anakartın ürün yazılımı içindeki kod, bilgisayarda çalışan ve ardından başka bir yazılım parçasını indirip çalıştıran bir güncelleme programını görünmez bir şekilde başlatır.
Eclypsium, gizli kodun anakartın ürün yazılımını güncel tutmak için zararsız bir araç olduğunu söylese de, araştırmacılar bunun güvenli olmayan bir şekilde uygulandığını ve potansiyel olarak mekanizmanın ele geçirilmesine ve Gigabyte’ın amaçlanan programı yerine kötü amaçlı yazılım yüklemek için kullanılmasına izin verdiğini keşfettiler. Ve güncelleyici program, işletim sisteminin dışında, bilgisayarın sabit yazılımından tetiklendiğinden, kullanıcıların kaldırması ve hatta keşfetmesi zordur.
Strateji lideri John Loucaides, “Bu makinelerden birine sahipseniz, temelde internetten bir şey kaptığı ve siz dahil olmadan çalıştırdığı ve bunların hiçbirini güvenli bir şekilde yapmadığı konusunda endişelenmeniz gerekir” diyor. ve Eclypsium’da araştırma. “Son kullanıcının altına girip makinesini devralma konsepti çoğu insana pek uymuyor.”
Araştırmayla ilgili blog yazısında Eclypsium, araştırmacıların etkilendiğini söylediği 271 Gigabyte anakart modelini listeliyor. Loucaides, bilgisayarlarının hangi anakartı kullandığını görmek isteyen kullanıcıların Windows’ta “Başlat”a ve ardından “Sistem Bilgileri”ne giderek kontrol edebileceklerini ekliyor.
Eclypsium, Gigabyte’ın gizli aygıt yazılımı mekanizmasını müşterilerin bilgisayarlarında, bilgili bilgisayar korsanları tarafından giderek yaygınlaşan bir araç olan aygıt yazılımı tabanlı kötü amaçlı kod için tararken bulduğunu söylüyor. Örneğin 2018’de, Rusya’nın GRU askeri istihbarat teşkilatı adına çalışan bilgisayar korsanlarının, casusluk taktiği olarak kurbanların makinelerine ürün yazılımı tabanlı hırsızlık önleme yazılımı LoJack’i sessizce yüklediği keşfedildi. Çinli devlet destekli bilgisayar korsanları, Afrika, Asya ve Avrupa’daki diplomatların ve STK personelinin bilgisayarlarını hedef almak için kiralık bilgisayar korsanı firması Hacking Team tarafından oluşturulan aygıt yazılımı tabanlı bir casus yazılım aracını yeniden amaç edinirken iki yıl sonra tespit edildi. Eclypsium’un araştırmacıları, otomatik tespit taramalarının Gigabyte’ın güncelleyici mekanizmasını, devlet destekli bilgisayar korsanlığı araçlarıyla aynı gölgeli davranışlardan bazılarını gerçekleştirmeye yönelik olarak işaretlediğini görünce şaşırdılar – aygıt yazılımında saklanıyor ve internetten kod indiren bir programı sessizce yüklüyor.
Gigabyte’ın güncelleyicisi tek başına, Gigabyte’a neredeyse görünmez bir araçla makinelerine sessizce kod yükleme konusunda güvenmeyen veya Gigabyte’ın mekanizmasının, anakart üreticisinin gizli erişimini istismar etmek için tehlikeye atan bilgisayar korsanları tarafından istismar edilebileceğinden endişe duyan kullanıcılar için endişelere yol açmış olabilir. bir yazılım tedarik zinciri saldırısı. Ancak Eclypsium, güncelleme mekanizmasının, ele geçirilmesine izin verebilecek göze çarpan güvenlik açıklarıyla uygulandığını da buldu: Kodu, düzgün bir şekilde doğrulamadan, hatta bazen HTTPS yerine korumasız bir HTTP bağlantısı üzerinden kullanıcının makinesine indirir. Bu, yükleme kaynağının, hileli bir Wi-Fi ağı gibi, kullanıcının internet bağlantısına müdahale edebilen herhangi biri tarafından gerçekleştirilen bir ortadaki adam saldırısı tarafından aldatılmasına olanak tanır.