Η Kaspersky Lab επιβεβαιώνει την ύπαρξη μιας απειλής κρυμμένης στα συστήματα BIOS δημοφιλών laptops και προειδοποιεί τους κατόχους τους.


kaspersky-logoΣε έκθεσή τους, οι ερευνητές της Kaspersky Lab επιβεβαιώνουν – και αποδεικνύουν – ότι η ανεπαρκής υλοποίηση του anti-theft λογισμικού Absolute Software μπορεί να μετατρέψει ένα χρήσιμο εργαλείο άμυνας σε ένα ισχυρό εργαλείο στα χέρια των ψηφιακών εισβολέων.


Με «υπόγειο» τρόπο, η ανεπαρκής υλοποίηση αυτού του λογισμικού προσφέρει στους εισβολείς πλήρη πρόσβαση σε εκατομμύρια οικιακούς υπολογιστές. Η έρευνα εστίασε στο agent Absolute Computrace που βρίσκεται στο σύστημα BIOS του firmware ή της ROM των σύγχρονων φορητών και επιτραπέζιων ηλεκρονικών υπολογιστών.


Αφορμή για τους ερευνητές ήταν η ανακάλυψη του agent Computrace, το οποίο «έτρεχε» χωρίς άδεια σε αρκετούς προσωπικούς υπολογιστές των ερευνητών της Kaspersky Lab, αλλά και σε εταιρικούς υπολογιστές. Παρότι το Computrace είναι ένα νόμιμο προϊόν που αναπτύχθηκε από την Absolute Software, ορισμένοι από τους ιδιοκτήτες των συστημάτων ισχυρίστηκαν ότι ποτέ δεν το είχαν εγκαταστήσει ή ενεργοποιήσει ή είχαν μάθει κάτι σχετικό με την ύπαρξη του λογισμικού στα μηχανήματά τους. Τα περισσότερα παραδοσιακά προεγκατεστημένα πακέτα λογισμικού μπορούν να αφαιρεθούν μόνιμα ή να απενεργοποιηθούν από το χρήστη. Ωστόσο, το Computrace έχει σχεδιαστεί για να επιβιώνει ακόμη και σε περιπτώσεις επαγγελματικού «καθαρισμού» του συστήματος, ακόμη και αν αντικατασταθεί ο σκληρός δίσκος.


Ένας χρήστης μπορεί να πιστέψει λανθασμένα ότι το Computrace είναι ένα κακόβουλο λογισμικό, επειδή χρησιμοποιεί πολλά από τα κόλπα που είναι δημοφιλή ανάμεσα στα σύγχρονα malware: τεχνικές anti-debugging, εμπλοκή στη μνήμη άλλων διαδικασιών, χρήση μυστικών επικοινωνιών, διατήρηση της κρυπτογράφησης για τα αρχεία ρυθμίσεων και δημιουργία εκτελέσιμου Windows αρχείου απευθείας από το BIOS/firmware.


«Ένας “δυνατός παίκτης” που έχει τη δυνατότητα να χρησιμοποιήσει οπτικές ίνες, μπορεί, ενδεχομένως, να επιτεθεί σε υπολογιστές που “τρέχουν” το Absolute Computrace. Αυτό το λογισμικό μπορεί να χρησιμοποιηθεί για την ανάπτυξη spyware σε έναν υπολογιστή», προειδοποιεί ο Vitaly Kamluk, Principal Security Researcher, Global Research and Analysis Τeam της Kaspersky Lab. «Η δική μας εκτίμηση είναι ότι εκατομμύρια υπολογιστές “τρέχουν” το λογισμικό Absolute Computrace και ότι μεγάλος αριθμός χρηστών μπορεί να αγνοεί ότι το λογισμικό έχει ενεργοποιηθεί και λειτουργεί. Ποιος είχε λόγο να ενεργοποιήσει το Computrace σε όλους αυτούς τους υπολογιστές; Μήπως ένας άγνωστος φορέας τους παρακολουθεί; Αυτό είναι ένα μυστήριο που πρέπει να λυθεί», σχολίασε.


Στατιστικά στοιχεία
· Σύμφωνα με το Kaspersky Security Network, το Computrace “τρέχει” στις συσκευές περίπου 150.000 χρηστών. Ο εκτιμώμενος συνολικός αριθμός των χρηστών που διαθέτουν ενεργοποιημένο το Computrace μπορεί να υπερβαίνει τα 2 εκατομμύρια. Δεν είναι σαφές πόσοι από αυτούς τους χρήστες γνωρίζουν ότι το Computrace “τρέχει” στα συστήματά τους.
· Η πλειοψηφία αυτών των υπολογιστών βρίσκεται στις Ηνωμένες Πολιτείες και στη Ρωσία.


Κενά ασφαλείας
Το πρωτόκολλο δικτύου που χρησιμοποιεί το Computrace Small Agent παρέχει βασικά στοιχεία για την απομακρυσμένη εκτέλεση του κώδικα. Το πρωτόκολλο δεν απαιτεί τη χρήση οποιουδήποτε μηχανισμού κρυπτογράφησης ή ταυτοποίησης του απομακρυσμένου server, πράγμα που δημιουργεί πολλές ευκαιρίες για απομακρυσμένες επιθέσεις.


Μια πλατφόρμα επίθεσης
Δεν υπάρχει καμία απόδειξη ότι το Absolute Computrace χρησιμοποιείται ως πλατφόρμα για επιθέσεις. Ωστόσο, οι ειδικοί διαφόρων εταιρειών διακρίνουν δυνατότητες επιθέσεων. Μερικά ανησυχητικά και ανεξήγητα συμβάντα που περιλάμβαναν μη εξουσιοδοτημένες ενεργοποιήσεις του Computrace κάνουν το παραπάνω σενάριο ολοένα και πιο ρεαλιστικό.


Το 2009, ερευνητές της Core Security Technologies παρουσίασαν τα ευρήματά τους σχετικά με το Absolute Computrace. Οι ερευνητές προειδοποίησαν για τους κινδύνους αυτής της τεχνολογίας και για το πώς ένας εισβολέας θα μπορούσε να τροποποιήσει το μητρώο του συστήματος για να επιτεθεί στα “callbacks” του Computrace. Η επιθετική συμπεριφορά του Computrace Agent ήταν ο λόγος για τον οποίο στο παρελθόν ανιχνευόταν ως malware. Σύμφωνα με ορισμένες μελέτες, το Computrace χαρακτηρίστηκε από τη Microsoft ως “VirTool: Win32/BeeInject”. Παρ ‘όλα αυτά, αργότερα η Microsoft και κάποιοι πάροχοι λύσεων anti-malware εγκατέλειψαν αυτόν τον χαρακτηρισμό. Εκτελέσιμα αρχεία του Computrace ανήκουν σήμερα εγκεκριμένα στις “λευκές λίστες” των περισσότερων εταιρειών anti-malware.


«Ένα τόσο ισχυρό εργαλείο, όπως το λογισμικό Absolute Computrace, πρέπει να χρησιμοποιεί τους μηχανισμούς ταυτοποίησης και κρυπτογράφησης για να συνεχίσει να υπηρετεί το “καλό”. Είναι σαφές ότι εάν υπάρχουν πολλοί υπολογιστές που “τρέχουν” Computrace agents, είναι ευθύνη του κατασκευαστή (σε αυτή την περίπτωση της Absolute Software) να ενημερώσει τους χρήστες και να εξηγήσει πως το λογισμικό μπορεί να απενεργοποιηθεί και να αποκλειστεί», σημείωσε ο κύριος Kamluk. «Διαφορετικά, αυτά τα “ορφανά” agents θα συνεχίσουν να “τρέχουν” απαρατήρητα, προσφέροντας δυνατότητες απομακρυσμένης εκμετάλλευσης», συμπλήρωσε.