ESET Research обнаружила ESPecter, загрузочный комплект UEFI для кибершпионажа

ESPecter был обнаружен на скомпрометированной машине вместе с клиентским компонентом пользовательского режима с функциями записи ключей и кражи документов, поэтому ESET Research считает, что ESPecter в основном используется для шпионажа. “Интересно, что мы проследили корни этой угрозы, по крайней мере, до 2012 года; ранее она работала как загрузочный комплект для систем с устаревшими BIOS. Несмотря на долгое существование ESPecter, его операции и обновление до UEFI остались незамеченными и до сих пор не были задокументированы”, - говорит исследователь ESET Антон Черепанов, который обнаружил и проанализировал угрозу вместе с исследователем ESET Мартином Смоларом.

“В последние несколько лет мы видели примеры, подтверждающие концепцию загрузочных наборов UEFI, утечек документов и даже утечек исходного кода, предполагающих существование реальных вредоносных программ UEFI либо в виде имплантатов SPI flash, либо имплантатов ESP. Несмотря на все вышесказанное, было обнаружено только четыре реальных случая вредоносного ПО UEFI, включая ESPecter”,-объясняет Черепанов.

Изучив телеметрию ESET, ESET Research смогла датировать начало этого загрузочного комплекта по крайней мере 2012 годом. Интересно то, что компоненты вредоносного ПО практически не изменились за все эти годы, а различия между версиями 2012 и 2020 годов не столь значительны, как можно было бы ожидать. После всех лет незначительных изменений участники угроз, стоящие за ESPecter, очевидно, решили перенести свои вредоносные программы из устаревших систем BIOS в современные системы UEFI.

Вторая полезная нагрузка, развернутая ESPecter, представляет собой бэкдор, который поддерживает широкий набор команд и содержит различные возможности автоматической фильтрации данных, включая кражу документов, ведение кейлоггинга и мониторинг экрана жертвы путем периодического создания скриншотов. Все собранные данные хранятся в скрытом каталоге.

“ESPecter показывает, что участники угроз полагаются на встроенное ПО UEFI, когда речь заходит о сохраняемости до операционной системы, и, несмотря на существующие механизмы безопасности, такие как безопасная загрузка UEFI, тратят свое время на создание вредоносных программ, которые легко блокируются такими механизмами, если они включены и правильно настроены”,-добавляет Смолар.

Чтобы обезопасить себя от ESPecter или угроз, подобных ему, ESET рекомендует пользователям следовать этим простым правилам: всегда используйте последнюю версию встроенного ПО; убедитесь, что система правильно настроена и включена безопасная загрузка; и настройте управление привилегированными учетными записями, чтобы предотвратить доступ злоумышленников к привилегированным учетным записям, необходимым для установки загрузочного комплекта.

Для получения более подробной технической информации об ESPecter прочитайте сообщение в блоге “Угрозы UEFI, переходящие в ESP: введение в загрузочный комплект ESPecter” на WeLiveSecurity. Обязательно следите за исследованиями ESET в Twitter, чтобы получать последние новости от ESET Research.