Миллионы материнских плат Gigabyte были проданы с бэкдором прошивки

Dec 14, 2023

Энди Гринберг

Сокрытие вредоносных программ в прошивке компьютера UEFI — глубоко укорененном коде, который сообщает ПК, как загружать операционную систему, — стало коварной уловкой в ​​арсенале скрытных хакеров. Но когда производитель материнских плат устанавливает свой собственный скрытый черный ход в прошивку миллионов компьютеров — и даже не запирает должным образом этот скрытый черный ход — он практически выполняет за них хакерскую работу.

Исследователи из компании Eclypsium, специализирующейся на кибербезопасности и занимающейся прошивками, обнаружили сегодня скрытый механизм в прошивке материнских плат тайваньского производителя Gigabyte, чьи компоненты обычно используются в игровых ПК и других высокопроизводительных компьютерах. Eclypsium обнаружил, что всякий раз, когда компьютер с поврежденной материнской платой Gigabyte перезагружается, код встроенного ПО материнской платы незаметно запускает программу обновления, которая запускается на компьютере и, в свою очередь, загружает и запускает другую часть программного обеспечения.

Хотя Eclypsium утверждает, что скрытый код предназначен быть безобидным инструментом для обновления прошивки материнской платы, исследователи обнаружили, что он реализован небезопасно, что потенциально позволяет перехватить механизм и использовать его для установки вредоносного ПО вместо предполагаемой программы Gigabyte. А поскольку программа обновления запускается из встроенного ПО компьютера, за пределами его операционной системы, пользователям сложно удалить или даже обнаружить ее.

«Если у вас есть одна из этих машин, вам придется беспокоиться о том, что она, по сути, захватывает что-то из Интернета и запускает это без вашего участия, и при этом ничего из этого не делает безопасно», — говорит Джон Лукайдес, руководитель отдела стратегии. и исследования в Eclypsium. «Идея подчиниться конечному пользователю и взять на себя управление его машиной не нравится большинству людей».

В своем блоге об исследовании Eclypsium перечисляет 271 модель материнских плат Gigabyte, которые, по словам исследователей, затронуты. Лукайдес добавляет, что пользователи, которые хотят узнать, какую материнскую плату использует их компьютер, могут это проверить, выбрав «Пуск» в Windows, а затем «Информация о системе».

Eclypsium заявляет, что обнаружила скрытый механизм встроенного ПО Gigabyte при проверке компьютеров клиентов на наличие вредоносного кода на основе встроенного ПО — инструмента, который становится все более распространенным среди опытных хакеров. В 2018 году, например, было обнаружено, что хакеры, работающие по поручению российской военной разведки ГРУ, тайно устанавливали на компьютеры жертв встроенное антивирусное программное обеспечение LoJack в качестве тактики шпионажа. Спонсируемые китайским государством хакеры были замечены два года спустя, перепрофилировавшими встроенный шпионский инструмент, созданный хакерской фирмой Hacking Team для атак на компьютеры дипломатов и сотрудников НПО в Африке, Азии и Европе. Исследователи Eclypsium были удивлены, увидев, что их автоматические проверки обнаруживают, что механизм обновления Gigabyte выполняет те же сомнительные действия, что и спонсируемые государством хакерские инструменты, — прячется в прошивке и незаметно устанавливает программу, загружающую код из Интернета.

Лорен Гуд

ПРОВОДНОЙ персонал

Brenda Stolyar

Уилл Найт

Само по себе средство обновления Gigabyte могло бы вызвать обеспокоенность у пользователей, которые не доверяют Gigabyte в тихой установке кода на свой компьютер с помощью почти невидимого инструмента, или которые обеспокоены тем, что механизм Gigabyte может быть использован хакерами, которые скомпрометируют производителя материнской платы, чтобы использовать его скрытый доступ в атака на цепочку поставок программного обеспечения. Но Eclypsium также обнаружил, что механизм обновления был реализован с явными уязвимостями, которые могли позволить его перехватить: он загружает код на компьютер пользователя без его надлежащей аутентификации, иногда даже через незащищенное соединение HTTP, а не HTTPS. Это позволит подделать источник установки с помощью атаки «человек посередине», осуществляемой любым, кто может перехватить интернет-соединение пользователя, например мошеннической сетью Wi-Fi.

В других случаях программа обновления, установленная с помощью механизма встроенного ПО Gigabyte, настроена на загрузку с локального сетевого устройства хранения данных (NAS), функция, которая, по-видимому, предназначена для бизнес-сетей для администрирования обновлений без доступа всех своих компьютеров. в Интернет. Но Eclypsium предупреждает, что в таких случаях злоумышленник в той же сети может подделать местоположение NAS, чтобы вместо этого незаметно установить собственное вредоносное ПО.