Скрытие вредоносных программ в микропрограмме UEFI — глубоко запрятанном коде, который указывает компьютеру, как загружать операционную систему, — стало коварным приемом в инструментарии хакеров. Но когда производитель материнской платы устанавливает свой собственный скрытый бэкдор («тайный вход») в прошивку миллионов компьютеров и даже не ставит соответствующий замок на этот скрытый бэкдор, он практически делает работу хакеров за них самих.

Исследователи из компании Eclypsium, специализирующейся на кибербезопасности, обнаружили сегодня скрытый механизм в прошивке материнских плат тайваньского производителя Gigabyte, чьи компоненты широко используются в игровых ПК и других высокопроизводительных компьютерах. По данным Eclypsium, при перезагрузке компьютера с материнской платой Gigabyte код в прошивке материнской платы незаметно инициирует программу обновления, которая запускается на компьютере и, в свою очередь, загружает и выполняет другую часть программного обеспечения.

Хотя Eclypsium утверждает, что бэкдор задуман как безобидный инструмент для обновления прошивки материнской платы, исследователи обнаружили, что он реализован небезопасно, что потенциально позволяет перехватить сам механизм и использовать его для установки вредоносного ПО вместо предназначенной Gigabyte программы. А поскольку программа обновления запускается из микропрограммы компьютера, вне операционной системы, пользователям сложно ее удалить или даже обнаружить.

«Если у вас есть такая машина, вы должны беспокоиться о том, что она, по сути, берет что–то из Интернета и запускает это без вашего участия, и делает это небезопасно», — говорит Джон Лоукайдес, руководитель отдела стратегии и исследований компании Eclypsium. «Концепция проникновения для конечного пользователя и захвата его машины не нравится большинству людей».

В своем блоге Eclypsium перечисляет 271 модель материнских плат Gigabyte, которые, по мнению исследователей, затронуты исследованием. Лоукайдес добавляет, что пользователи, которые хотят узнать, какая материнская плата используется в их компьютере, могут проверить это, перейдя в меню «Пуск» в Windows, а затем в «Сведения о системе».

Компания Eclypsium утверждает, что обнаружила скрытый механизм прошивки Gigabyte, проверяя компьютеры клиентов на наличие вредоносного кода на базе прошивки — все более распространенного инструмента, используемого искушенными хакерами. Например, в 2018 году хакеры, работающие на российскую военную разведку ГРУ, были обнаружены тихо устанавливающими на компьютеры жертв встроенное программное обеспечение LoJack в качестве тактики шпионажа. Два года спустя китайские хакеры, спонсируемые государством, были замечены в использовании шпионского инструмента на базе микропрограммного обеспечения, созданного фирмой Hacking Team, для атак на компьютеры дипломатов и сотрудников НПО в Африке, Азии и Европе. Исследователи Eclypsium были удивлены тем, что их автоматическое сканирование обнаружило, что механизм обновления Gigabyte выполняет те же самые действия, что и эти спонсируемые государствами инструменты взлома — прячется в прошивке и бесшумно устанавливает программу, загружающую код из Интернета.

Сам по себе механизм обновления Gigabyte мог бы вызвать беспокойство у пользователей, которые не доверяют Gigabyte в вопросе тайной установки кода на их компьютер с помощью почти невидимого инструмента — или которые опасаются, что механизм Gigabyte может быть использован хакерами, которые скомпрометируют производителя материнской платы, чтобы использовать этот скрытый доступ в атаках. Но Eclypsium также обнаружила, что механизм обновления реализован с очевидными уязвимостями, которые могут позволить его взломать: Он загружает код на машину пользователя без надлежащей аутентификации, иногда даже через незащищенное HTTP–соединение, а не HTTPS. Это позволяет подделать источник установки с помощью атаки «человек посередине», осуществляемой любым человеком, который может перехватить интернет–соединение пользователя, например, через нелегальную сеть Wi–Fi.

В других случаях программа обновления, установленная механизмом в прошивке Gigabyte, настроена на загрузку с локального сетевого устройства хранения данных (NAS). Эта функция, по–видимому, предназначена для бизнес–сетей, чтобы администрировать обновления без выхода всех машин в Интернет. Однако Eclypsium предупреждает, что в таких случаях злоумышленник, находящийся в той же сети, может подделать местоположение NAS, чтобы незаметно установить вместо него свое собственное вредоносное ПО.

Eclypsium утверждает, что она сотрудничала с Gigabyte, чтобы сообщить о своих выводах производителю материнских плат, и что Gigabyte заявила, что планирует устранить проблемы. Gigabyte не ответила на многочисленные просьбы WIRED прокомментировать результаты исследования Eclypsium.

Даже если Gigabyte выпустит исправление для своей прошивки — ведь проблема связана с инструментом Gigabyte, предназначенным для автоматизации обновления прошивки — Лоукайдес из Eclypsium отмечает, что обновление прошивки часто тихо прерывается на машинах пользователей, во многих случаях из–за их сложности и трудности согласования прошивки и оборудования. «Я все еще думаю, что в конечном итоге это будет довольно распространенной проблемой на платах Gigabyte в течение ещё многих лет», — говорит Лоукайдес.

Учитывая миллионы потенциально затронутых устройств, открытие Eclypsium вызывает «тревогу», — говорит Рич Смит, директор по безопасности компании Crash Override, специализирующейся на кибербезопасности в цепочке поставок. Смит опубликовал исследование об уязвимостях прошивки и ознакомился с выводами Eclypsium. Он сравнивает ситуацию со скандалом с руткитами Sony в середине 2000–х годов. Sony спрятала на компакт–дисках код управления цифровыми правами, который незаметно устанавливался на компьютеры пользователей и тем самым создавал уязвимость, которую хакеры использовали для скрытия вредоносных программ. «Вы можете использовать методы, которые традиционно применялись злоумышленниками, но это было неприемлемо, это переходило границы», — говорит Смит. «Я не могу сказать, почему Gigabyte выбрала именно такой способ доставки своего программного обеспечения. Но мне кажется, что это пересекает аналогичную черту в области прошивок».

Смит признает, что Gigabyte, вероятно, не имела злого или обманного умысла в своем инструменте скрытой прошивки. Но, оставляя уязвимости в невидимом коде, который лежит под операционной системой многих компьютеров, она тем не менее подрывает фундаментальный уровень доверия пользователей к своим устройствам. «Здесь нет никакого умысла, просто небрежность. Но я не хочу, чтобы кто–то писал мою прошивку небрежно», — говорит Смит. «Если у вас нет доверия к своей прошивке, вы строите дом на песке».

https://eclypsium.com/blog/supply–chain–risk–from–gigabyte–app–center–backdoor/